Il cookie wall è stato un meccanismo molto diffuso nei siti web ma, con l'entrata in vigore del GDPR, ha finito per confliggere con la normativa vigente. Fino a quando l'EDPB ne ha vietato l'uso.

Cookie wall: definizione

Iniziamo dalle basi: il cookie wall è una tecnica usata per impedire agli utenti che negano il consenso ai cookie e tracker di poter visitare il sito web. La parola inglese "wall" rende bene il concetto. E' una vera e propria barriera che obbliga l'utente a scegliere tra prestare consenso al tracciamento o abbandonare il sito web. Sarà possibile superare "il muro" solo prestando il consenso ai cookie di tracciamento.

La popolarità di questa tecnica è dovuta al fatto che consente al gestore del sito web di raccogliere quanti più dati possibili dai visitatori del sito web, quasi estorcendoli.

Cookie wall: come appare

Il cookie wall è nei fatti una versione del cookie banner. La grande differenza è che il cookie banner permette di offrire un consenso granulare, cioè di indicare preferenze, accettando alcune tipologier di cookie e rifiutandone altre. Il cookie wall invece non permette alcunma scelta, è un "prendere o lasciare". Non garantendo alcuna possibilità di scelta, come invece il cookie banner deve fare, non si può più parlare di strumento interattivo, ma appunto di un "muro". L'utente non potrà accedere ai contenuti del sito se non cliccando OK o Accetta tutti i cookie.

Come funziona il cookie wall?

Tutti i siti web utilizzano diverse tipologie di cookie. Alcuni sono necessari al funzionamento stesso del sito (cookie tecnici), altri hanno mera finalità statistica e forniscono dati anonimizzati. I cookie di profilazione raccolgono invece i dati per profilare gli utenti. Questi dati sono molto appetitosi per i pubblicitari, che tramite questi profili comportamentali possono personalizzare la pubblicità.

I responsabili del trattamento devono ottenere il consenso preventivo dell'utente e il banner cookie serve a questo scopo. Il cookie wall, anzichè garantire di esprimere un consenso per ogni finalità dei cookie, accettandone alcuni e rifiutandone altri, obbliga a consentire in blocco. Ecco perchè il cookie wall è non conforme rispetto al GDPR.

L'intervento dell'EDPB: nuove linee guida

Il cookie wall è stato estremamente diffuso perchè consentiva la raccolta di tutti i dati collezionabili su un utente. Consentiva quindi la creazione di profili utenti altamente dettagliati e profilati. Profili che, molto spesso, finivano in vendita a finalità di marketing. Almeno così ha funzionato il web fino all'intervento dell'European Data Protection Board. L'EDPB il 4 Maggio 2020 ha pubblicato nuove linee guida per fare chiarezza sulla gestione dei cookie e dei consensi degli utenti. Con queste, il cookie wall viene ufficialmente vietato.

Per approfondire > Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 

Per l'EDPB infatti i cookie obbligano gli utenti ad un consenso al trattamento dei propri dati personali come pre condizione per accedere ad un contenuto o ad un servizio. Come indicato dal GDPR, questo non è un valido meccanismo di raccolta dei consensi.

"Affinchè il consenso possa essere liberamente prestato, l'acccesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell'utente alla memorizzazione di informazioni o all'accesso di informazioni già memorizzate nel terminale dell'utente"

si legge nelle linee guida.

Insomma, in breve, il cookie wall è illegale secondo le previsioni del GDPR. I siti web che ancora ne fanno uso devono provvedere a sostituirlo con un banner cookie che consenta un consenso libero, informato e granulare.

Come deve funzionare un cookie banner conforme al GDPR?

E' doverosa una premessa: il GDPR impone che il consenso prestato debba essere:

• libero;
• informato;
• specifico (per ogni finalità di utilizzo dati);
• inequivocale.

Il banner cookie, per la conformità al GDPR, deve raccogliere i consensi secondo questi quattro principi cardine. Alla luce di questo, il Garante per la Protezione dei dati personali italiano, recependo le linee guida dell'EDPB, ha pubblicato linee guida nazionali in tema di cookie.

Per approfondire > Nuove Linee Guida del Garante su privacy e cookie nei sitiweb: quali obblighi?

Riassumendone in breve i contenuti, un cookie banner è conforme al GDPR se:

• presenta i pulsanti “Accetta” e “Rifiuta”. Le informative che non prevedono la possibilità di rifiutare il consenso non sono più legali.
• i Cookie sono disabilitati di default:
• per impostazione predefinita ogni sito web dovrà avere disabilitati cookie (eccezion fatta per quelli tecnici) e tutti gli strumenti di tracking. No anche a cookie di terze parti o altre forme di tracciamento, fintantoché l’utente non abbia espresso esplicito consenso.
• consente all'utente di esprimere scelte granulari: l’utente deve poter esprimere scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare.
• le preferenze modificabili in qualsiasi momento: l’utente deve poter aggiornare le proprie preferenze di tracciamento in qualsiasi momento.

Sono illegali invece:

• la raccolta del consenso per scorrimento: il consenso via semplice scorrimento del mouse (scrolling) è stato reso non valido.
• il cookie wall: appunto. Le nuove disposizioni hanno infatti reso illegale l’obbligo di accettare i cookie per poter accedere ai contenuti di un sito web.

Inoltre il consenso ai cookie deve essere espresso una sola volta e mantenuto per 6 mesi prima di poterlo chiedere nuovamente, salvo se viene svuotata la cache o se vengono cambiate le preferenze dall’utente stesso. È fatto esplicito divieto di mostrare insistentemente il cookie banner agli utenti che hanno negato il consenso