Deși mulți vedeau în grupul de lucru Cookie Banner Task Force un adevărat „apărător al drepturilor utilizatorilor” care să ne salveze de miile de site-uri ce ne impun folosirea abuzivă de cookies, recentul raport dat publicității nu face decât să confirme existența unor nereguli, fără să propună acțiuni concrete.

Când, în septembrie 2021, Comitetul European pentru Protecția Datelor (EDPB) a decis să formeze un grup de lucru pentru analiza modului în care  sunt folosite bannerele pentru cookies, toată lumea spera că în sfârșit, cineva va reuși să facă ordine într-o zonă plină de contradicții privind respectarea drepturilor la confidențialitate pentru utilizatorii de Internet. Cookie Banner Task Force se anunța un instrument puternic care ar urma să coordoneze prevederile privind colectarea și utilizarea de cookies, în acord cu interesele și legislația europeană. Dar menirea principală a grupului de lucru este pur consultativă, acest organism urmând să analizeze plângerile depuse la mai multe Autorități de Supraveghere din Spațiul Economic European de către NOYB – European Center for Digital Rights – un grup nonprofit înființat în anul 2017 la inițiativa lui Max Schrems. Același Max Schrems care „s-a luat la trântă” cu Facebook și care a contestat acordul Privacy Shield. Același grup NOYB (None of Your Business) care a reclamat folosirea ilegală a reclamelor personalizate de către Facebook, Instagram și WhatsApp… În fine, potrivit EDPB, menirea principală a grupului operativ Cookie Banner Task Force ar fi aceea de eficientizare a comunicării dintre autorități, favorizarea schimbului de analize juridice și de opinii cu privire la posibile încălcări și oferirea de sprijin autorităților de supraveghere la nivel național.

De la ce a pornit totul

Folosind o aplicație specială, în martie 2021 NOYB a scanat peste 3.600 de site-uri și a colectat date despre modul de folosire a bannerelor de cookies. Pe baza acestor date, au fost depuse peste 700 de reclamații împotriva celor mai vizitate pagini ale căror bannere aveau încălcări ale GDPR, cum ar fi absența unui buton de „respingere” sau folosirea de modele înșelătoare. Această campanie a declanșat un proces masiv de regândire în rândul furnizorilor de software pentru bannere și site-uri web, care au preferat să modifice setările implicite în mod preventiv, fără să fi primit vreo plângere…

În octombrie 2022, un an și jumătate mai târziu, scanarea a fost repetată și au fost calculate valori de comparație pentru 1.631 de site-uri web. Acestea arată îmbunătățiri semnificative pentru utilizatori: 56% din toate paginile scanate s-au schimbat în bine în ultimul an și jumătate și au încetat să mai folosească culori înșelătoare pentru link-uri și butoane și subcategorii pre-bifate. Cea mai frecventă încălcare a fost și cea mai enervantă: 82% (1.377) dintre toate site-urile web nu aveau un buton pentru a respinge toate cookie-urile în martie 2021. Utilizatorii au trebuit navigheze prin sub-meniuri pentru a găsi o opțiune de „respingere” ascunsă. 574 (41%) dintre site-urile web scanate au introdus acum un buton de „respingere”, iar numărul total de cookie-uri setate a scăzut și el cu aproximativ 10% – contrar tendințelor recente….

Care sunt concluziile Cookie Banner Task Force

În comparație cu eficiența campaniilor NOYB, activitatea depusă de Grupul de lucru de la înființare pare apă de ploaie, dar este importantă pentru că reprezintă o primă recunoaștere a problemelor existente după aproape 5 ani de la intrarea în vigoare a GDPR. Greutatea vine și de la faptul că folosirea de cookies este încă guvernată de 2 legi: Directiva 58 din 2002 privind confidențialitatea electronică și Regulamentul 679 din 2016. Acest dualism se reflectă și în încercarea de stabilire a cadrului legal, ce face distincție între plasarea/citirea cookie-urilor și prelucrarea ulterioară a datelor colectate.

Pozițiile adoptate în Raportul grupului de acțiune, în urma a treisprezece întâlniri de coordonare a acțiunilor, nu constituie recomandări pentru o autoritate competentă și nici nu prejudiciază analiza ce va trebui făcută de către autoritățile de supraveghere în cazul fiecărei reclamații și pentru fiecare pagină de Internet vizate. În fine, se pare că este datoria fiecărei autorități, ca în funcție de specificul național să elaboreze și să impună niște reguli de bune practici pentru toți posesorii de site care folosesc tehnologii de tip cookies.

Aplicarea cadrului legal

În cazul în care plângerile se referă la plasarea sau citirea de cookies, raportul confirmă că aplicabilă este doar legislația națională care transpune Directiva 58/ 2002 privind confidențialitatea electronică la plasarea cookie-urilor.

În ceea ce privește activitățile ulterioare de prelucrare întreprinse de operatorul de date, adică prelucrarea care are loc după stocarea sau obținerea accesului la informațiile stocate în echipamentul terminal al unui utilizator în conformitate cu articolul 5 alineatul (3) din Directiva CE 58/2002, cadrul aplicabil este GDPR (inclusiv acordul, chiar dacă este dat în același moment al plasării cookie-urilor, în măsura în care acest consimțământ constituie temeiul juridic al prelucrare ulterioară), în conformitate cu concluziile Avizului 5/2019 al EDPB privind interacțiunea dintre Directiva privind confidențialitatea electronică și GDPR.

În conformitate cu ePrivacy, se admite că anumite concepte GDPR, precum condițiile pentru consimțământul valid și dreptul la informaresunt indispensabile pentru a evalua dacă există sau nu o încălcare a legislației naționale care transpune Directiva privind confidențialitatea electronică. Totodată, raportul arată că mecanismul „one stop shop” nu se aplică problemelor care intră sub incidența Directivei privind confidențialitatea electronică, iar regulile de prelucrare transfrontalieră (Art. 4, paragraf 23 (b) din GDPR) se pot aplica, dar nu se aplică în sine plângerilor împotriva proprietarilor de site-uri web doar pentru că site-ul respectiv poate fi accesat din toate statele membre.

Cele mai frecvente probleme în folosirea barelor de cookies

Iată câteva dintre cele mai frecvente practici negative întâlnite în campaniile de scanare NOYB și comentariile făcute de grupul de inițiativă Cookie Banner Task Force:

A – Lipsa unui buton de respingere pe bara principală

Unele bannere cookie folosite de proprietarii de site-uri conțin un buton de acceptare a stocării cookie-urilor și un buton care permite persoanei vizate să acceseze opțiuni suplimentare, dar fără să conțină și un buton de respingere a cookie-urilor pe același nivel. Deși marea majoritate a autorităților de supraveghere care au primit astfel  de reclamații au considerat că absența opțiunilor de refuz/respingere pe același banner cu un buton de consimțământ pentru utilizarea de cookies nu este în conformitate cu cerințele pentru un consimțământ valid și, prin urmare, constituie o încălcare, există totușiautorități naționale de supraveghere care au considerat că nu pot reține o încălcare în acest caz, deoarece articolul 5 alineatul (3) din Directiva privind confidențialitatea electronică nu menționează în mod explicit o „opțiune de respingere” la depozitarea cookie-urilor. Recomandarea grupului de lucru este că, în mod implicit, niciun cookie care necesită consimțământ nu poate fi setat în absența acordului utilizatorului și că acest consimțământ trebuie exprimat printr-o acțiune clară, pozitivă din partea utilizatorului.

Din experiența personală, această practică, care maschează eventualele opțiuni de respingere pe alte nivele decât bannerul primar, nu constituie decât un caz particular al celor mai des întâlnite situații în care bara de cookies nu oferă nici-o altă alternativă în afara butonului de acceptare, fără linkuri către o politică de cookies sau către  meniuri secundare, singura explicație oferită fiind cunoscuta formulă de impunere: „Navigând în continuare pe site-ul nostru înseamnă că sunteți de acord cu utilizarea de cookies”.

B – Folosirea de casete pre-bifate

În generozitatea lor, mulți operatori oferă utilizatorilor posibilitatea de aplicare a unui consimțământ granular, afișând un meniu secundar cu opțiuni pentru diferitele categorii de cookies, în care una sau mai multe casete (altele decât categoria de cookies esențiale, apar pre-bifate, ca să nu se mai chinuie omul cu marcarea lor… De obicei la un astfel de meniu se ajunge accesând un buton de setări prezent în primul strat.

Membrii grupului de lucru au confirmat că folosirea de casete pre-bifate nu poate reprezenta un consimțământ valid, așa cum este menționat în GDPR, unde în Considerentul 32 se spune clar: „Lipsa de reacție, căsuțele pre-bifate sau inactivitatea nu ar trebui să fie considerate consimțământ”. Este foarte clar că o căsuță pre-bifată nu poate fi considerată decât ca un consimțământ impus, care este departe de a fi liber consimțit…

C – Acțiuni greoaie de respingere

Multe site-uri aplică un design înșelător, în sensul în care acțiunea de respingere se asigură printr-un link și nu printr-un buton prezent în primul strat al bannerului de cookies. Reacția grupului de lucru este destul de blândă în acest caz, sugerând că „ar trebui să existe o indicație clară despre ce este vorba în banner, despre scopul consimțământului solicitat și despre modul în care să consimți la cookie-uri”. Adică utilizatorul ar trebui să poată înțelege la ce își dă acordul și cum să facă acest lucru. Unele autorități de supraveghere sunt de părere că proprietarul unui site web nu trebuie să creeze bannere cookies într-un mod care să dea utilizatorilor impresia că trebuie să își dea consimțământul pentru a accesa conținutul site-ului web și nici că împinge în mod clar utilizatorul să-și dea consimțământul, ceea ce este în totală contradicție cu aplicarea corectă a prevederilorarticolul 5 alineatul (3) din Directiva privind confidențialitatea electronică, precum și a cerințelor de acordare a consimțământului impuse de GDPR.

În acest context, membrii grupului de lucru au fost de acord că nu pot fi acceptate situații de consimțământ valid cazurile în care singura acțiune alternativă oferită (altele decât acordarea consimțământului) constă într-un link accesibil printr-o formulare de tip „refuzați” sau „continuați fără a accepta” încorporată într-un paragraf de text din bannerul cookie, în absența unui suport vizual suficient de clar, precum prezența unui buton de respingere.  

Ca opinie personală aș menționa aici că era mai important ca membrii grupului să insiste pe obligativitatea informării utilizatorului și pe prezența obligatorie a unei Politici de cookies, către care să existe o trimitere din textul bannerului sau chiar dintr-un buton.

D – Folosirea unui design cu culori înșelătoare sau cu un contrast înșelător

Se pare că există cazuri de configurarea a unor bannere cookie în ceea ce privește culorile și contrastele butoanelor în care raportul de contrast între butonul de acceptare și fundal poate duce la evidențierea clară a butonului „Accept tot” mascând astfel celelalte opțiunile disponibile. Practic este oferită o acțiune alternativă (alta decât acordarea consimțământului) sub forma unui buton în care contrastul dintre text și fundalul butonului este atât de slab, încât textul este imposibil de citit pentru aproape orice utilizator.

S-a convenit că un standard general privind culoarea și/sau contrastul folosite la un banner nu poate fi impus operatorilor de date. Se recomandă o analiză de la caz la caz pentru a verifica dacă contrastul și culorile utilizate nu sunt în mod evident înșelătoare pentru utilizatori și nu au ca rezultat obținerea unui consimțământ impus, ca în cazul castelor pre-bifate.

E –  Invocarea interesului legitim al operatorului

O practică destul de curentă este utilizarea unor meniuri pentru bannerele de cookies oferite de unii furnizori de aplicații software, în care setarea opțiunilor este greșit înțeleasă sau voit impusă. Multe dintre nivelele secundare ale bannerelor de cookies conțin opțiunile granulare de selecție pentru diferitele categorii de cookies, dar mai  au un rând de butoane prezentate ca interesele legitime ale operatorului pentru diferite activități de prelucrare, cum ar fi, de exemplu: „Crearea unui profil de conținut personalizat” sau „Selectare reclame personalizate”, butoane activate în mod implicit.Această practică generează confuzie la nivelul unui utilizator neavizat, care poate confunda astfel setările pentru cookies esențiale cu opțiunile prezentate ca obligatorii pentru scopurile și interesul legitim al  utilizatorului.

Membrii grupului de lucru au fost de acord că această practică nu este în conformitate cu prevederile Art. 5 alineatul (3) din directiva ePrivacy (și cu normele naționale de implementare), și nici cu condițiile de obținere a consimțământului din GDPR, iar consimțământul este  singurul temei legal care poate fi luat în considerare la folosirea de cookies.

F –  Clasificare inexactă, înșelătoare a cookie-urilor esențiale sau strict necesare

Există cazuri în care unii operatori clasifică după bunul plac cookie-urile și operațiunile de prelucrare „esențiale” sau „strict necesare” care utilizează date cu caracter personal și servesc unor scopuri care nu ar fi considerate „strict necesare” în sensul articolului 5 alineatul (3) din Directiva privind confidențialitatea electronică sau sensul obișnuit de „strict necesar” sau „esențial” conform GDPR.

Membrii grupului de lucru au fost de acord că evaluarea cookie-urilor pentru a determina care dintre ele sunt esențiale ridică dificultăți practice, în special datorită faptului că caracteristicile cookie-urilor se modifică în mod regulat, ceea ce împiedică stabilirea unei liste stabile și de încredere a acestor cookie-uri esențiale.S-a discutat despreexistența unor instrumente specifice de analiză a tipurilor de cookies folosite de un site web și pentru a crea un raport care arată toate cookie-urile care au fost plasate la vizitarea site-ului web. Problema e mult mai complexă, dar una dintre modalitățile de rezolvare este publicarea unor liste cu toate cookie-urile utilizate, scopuri și termene de retenție a datelor caracter personal – în acest caz, adresele de IP. Aceste liste sau tabele de cookies trebuie incluse în Politica de cookies, care trebuie publicată cât mai accesibil,  cu trimitere directă dintr-un meniu principal sau din bannerul de cookies.

G. Opțiuni greoaie de retragere a consimțământului

De multe ori, chiar dacă operatorii oferă o opțiune care permite retragerea consimțământului, punerea în practică e destul de greoaie necesitând mai multe tipuri de activități, în pagini sau la nivele diferite ale bannerului de cookies.

În conformitate cu cerințele pentru ca colectarea consimțământului impuse de GDPR și cu Articolul 5 alineatul (3) din Directiva privind confidențialitatea electronică, este obligatorie existența a trei condiții suplimentare cumulate: (i) posibilitatea de a retrage consimțământul, (ii) capacitatea de a retrage consimțământul în orice moment, (iii) retragerea consimțământului trebuie să fie la fel de ușoară ca și a da consimțământul.

Se recomandă folosirea de soluții ușor accesibile care să permită utilizatorilor să-și retragă consimțământul în orice moment, cum ar fi o pictogramă mică flotantă și vizibilă permanent sau un link plasat într-un loc vizibil și standardizat.

Concluzionând, aș fi preferat o clasificare mai clară a cazurilor de încălcare a conformității, eventual pornind de la criteriile de evaluare a consimțământului:

• Voluntar – prezența butoanelor de Accept și Refuz
• Informat – prezența textului de informare de pe bara de cookies, la toate nivelele
• Explicit – claritatea informării privind folosirea sau renunțarea la cookies
• Granular – prezența opțiunii de selectare a categoriilor de cookies dorite, fără casete pre-bifate
• În avans – utilizatorul trebuie să știe despre ce e vorba înainte de începerea navigării
• Simplu de revocat – Refuzul să fie la fel de ușor precum Acceptarea
• Documentat – prezența unei Politici de cookies trebuie să fie obligatorie și să conțină lista de cookie-uri folosite.