Cookie pop-up: cinque motivi per cui non possono funzionare

Su molti siti web, i visitatori sono infastiditi dai pop-up dei cookie. Non solo sono fastidiosi, ma sono anche inaffidabili e quindi generano una massa di violazioni legali. Questo articolo dimostra che gli strumenti di consenso sono di per sé inaffidabili.

Introduzione

Se una pagina web si collega a un servizio come Google Analytics, questo servizio può essere caricato solo dopo l'autorizzazione del visitatore della pagina web. La base giuridica è la direttiva ePrivacy, almeno quando si tratta di cookie. Altri motivi per cui è richiesta l'autorizzazione sono forniti dall' Art. 5 GDPR (minimizzazione dei dati) e dall'art. 44ff GDPR (trasferimento dei dati in paesi terzi non sicuri).

La richiesta di consenso sui siti web viene spesso definita anche pop-up dei cookie, blocco dei cookie, strumento di consenso o pop-up del consenso. Le piattaforme di gestione del consenso sono spesso chiamate anche.

Questo articolo dimostra che le promesse di marketing di molti fornitori di strumenti per il consenso sono insostenibili. In pratica, gli strumenti per il consenso peggiorano spesso le pagine web. La conseguenza è un gran numero di errori giuridici. Ciò l'ho dimostrato nel mio grande test pratico sui bloccatori dei cookie.

In questo articolo scoprirai perché Strumenti per il consenso ai cookie non possono funzionare mai con affidabilità, se si ha fiducia nell'automaticità o se vengono utilizzati strumenti comuni di Google, Facebook, Vimeo ecc. Ma ci sono anche altre inaffidabilità sempre presenti, perché i cookie possono arrivare su un dispositivo tramite molti canali (ecco il motivo per cui si parla della direttiva ePrivacy).

Motivi dell'inaffidabilità dei blocchi dei cookie

Io nominerò cinque motivi che sono oggettivamente validi e generalmente dimostrabili. È importante per me che tu capisca questo. I cinque motivi si basano su fatti duri, inoppugnabili.

1. Il blocco dei cookie

Il primo motivo, per cui Cookie Blocker non possono funzionare in modo affidabile, è di natura tecnica. Il funzionamento di uno script di consenso, come suggerisce la pubblicità di numerosi produttori, è il seguente:

1. Il Consent Script viene integrato in ogni pagina di un sito web in modo che venga caricato prima di tutti gli altri script e file.
2. Lo script di consenso dovrebbe riconoscere tutti i processi che richiedono il consenso e bloccarli fino a quando l'utente non ha dato il suo consenso

La pratica è diversa. I browser moderni caricano più file quasi contemporaneamente. Ciò accade soprattutto quando i file vengono caricati da server diversi. Se ad esempio una pagina web incorpora Google Maps, Google Fonts e uno script di tool di consenso, avviene qualcosa di simile:

1. Inizia il processo di caricamento dello script del consenso
2. Il processo di caricamento per lo script Google Maps inizia
3. Inizia il processo di caricamento di Google Fonts
4. A un certo punto, prima o dopo il punto 2 o 3, il Consent Script ha terminato il caricamento. Solo allora lo script consenso può tentare di annullare i processi di caricamento successivi. Questo funziona solo per i processi di caricamento non ancora avviati

Non è possibile prevedere se lo script di consenso si caricherà abbastanza velocemente da essere completamente carico e pronto a funzionare prima che Google Maps o Google Fonts inizino a caricarsi. In pratica, si può constatare migliaia di volte che l'interruzione desiderata dei processi di caricamento non funziona.

Ho deliberatamente incluso i font di Google nell'esempio perché probabilmente non impostano alcun cookie. Ovviamente, il caricamento dei font di Google sui siti web non è impedito dagli strumenti di consenso. Il motivo è spiegato di seguito.

2. Lo scanner dei cookie

Come suggerisce il nome Cookie Blocker o Cookie Consent, molti strumenti di consenso si concentrano su bloccare i cookie. La funzionalità di tali blocker è la seguente:

1. Uno scanner di cookie attraversa un sito web
2. Ogni pagina del sito web viene controllata per verificare se i cookie sono impostati
3. I processi di caricamento a cui possono essere assegnati i cookie sono i seguenti
4. Se si accede al sito web in un secondo momento, lo script di consenso integrato tenta ora di impedire tutti i processi di caricamento precedentemente riconosciuti come contenenti cookie fino a quando non viene dato il consenso

Evidentemente questo approccio non funziona per Google Fonts e nemmeno per il video YouTube integrato con impostazioni di privacy estese. Ciò significa infatti che non vengono creati alcun cookie YouTube. Come ho mostrato in un mio articolo precedente, i processi di elaborazione dei dati di YouTube sono così ampi da richiedere una obbligatorietà dell'informativa ai sensi del art. 5 GDPR. Inoltre si potrebbe ancora citare il trasferimento dei dati in paesi terzi non sicuri come argomento. ([1])

Un'altra ragione dell'inaffidabilità oggettivamente riconoscibile degli strumenti di consenso è di natura tecnica.

Immaginiamo che un sito web carichi Google Maps. Supponiamo che lo script della mappa non imposti i propri cookie, ma carichi i file dall'indirizzo google.com.

Un Cookie Scanner esegue ora la scansione del sito web su cui è inserita la mappa. A tale scopo simula il browser. Questo browser corrisponde a un browser che viene chiamato per la prima volta assolutamente. Nel browser non sono quindi mai stati memorizzati alcun cookie. Il browser è vergine. Lo scanner riconosce in questo caso nessun cookie.

In realtà la situazione è diversa. Supponiamo di richiamare il sito web google.com. In questo caso vengono impostati i cookie. Ciò è effettivamente così (data: 03.02.2021). Provateci da soli! Ora richiamate un sito che Google Maps integri. Questo caricherà ora file dal sito google.com. In questo caso, i cookie memorizzati sul vostro dispositivo verranno trasmessi alla destinazione di caricamento (google.com) quando si carica il file da google.com. La mappa caricherà quindi i cookie. Lo scanner dei cookie non è riuscito a riconoscere questi cookie!

Per questo bisogna sapere che ogni utente in tutto il mondo ha potenzialmente altri cookie sul suo dispositivo (PC, smartphone, notebook, tablet). È impossibile conoscerli tutti. Sul Google Tag Manager viene spesso spiegato che sia una domanda senza cookie. È un falso. Troverai più sotto un link a un articolo di Bullshit Basics mio su questo argomento con la prova del contrario. Sui miei dispositivi ci sono sicuramente cookies per la domana googletagmanager.com e vengono trasmessi su ogni pagina web che utilizza il Tag Manager. Questo è un atto che richiede l'autorizzazione.

Ulteriori informazioni sui cookie si trovano nel mio articolo di base .

3. Mancanza di conoscenza del mondo

Supponiamo che il punto precedente sia stato risolto, ovvero che uno scanner di cookie conosca tutti i cookie del mondo per nome e contenuto. Ovviamente non è così, come ammetterete senza doverci pensare a lungo.

Ora il Cookie Scanner dovrebbe conoscere lo scopo di ogni singolo cookie. Da dove viene questo sapere? Supponiamo che offrite un servizio di newsletter. Fuori da voi, nessuno sa chi ha scritto l'ultima mail di newsletter. Ora è il destinatario della mail di newsletter a dover spiegare chi ha scritta questa mail. Evidentemente non è possibile farlo senza le vostre informazioni aggiuntive.

Lo stesso vale per i cookie: se il fornitore di uno strumento che utilizza determinati cookie non rivela nulla sulle finalità dei cookie, non è possibile per un terzo fare una dichiarazione sulle finalità di tali cookie.

L'articolo 13 del GDPR obbliga però a spiegare gli scopi dei cookie. Ciò è possibile solo per l'Anbieter dei cookie stesso. Per i Google Tools, si può spesso constatare che il fornitore, cioè il gruppo Google, non fa alcuna o nessuna dichiarazione precisa sull'uso dei cookie di Google. ([1])

Quasi tutte le spiegazioni che si trovano sui cookie di terze parti nelle informative sulla privacy o nei moduli di consenso sono inventate o congetturali. Google spiega il cookie NID, ad esempio:

Il cookie NID contiene un ID univoco che utilizziamo per memorizzare le impostazioni preferite e altre informazioni, come ad esempio la lingua preferita, il numero di risultati di ricerca da visualizzare per pagina (ad esempio 10 o 20) e l'eventuale attivazione del filtro Google SafeSearch.

Fonte: https://policies.google.com/technologies/cookies?hl=it

Il cookie NID viene utilizzato principalmente per identificare unico i utenti. Ad esempio, dopo aver effettuato l'accesso a google.de, si può fornire una identificazione unica in modo da non dover confermare le norme sulla protezione dei dati ogni volta. Nella stessa dichiarazione si parla anche di altre informazioni. Questa affermazione è quasi impossibile da superare per quanto riguarda la vaghezza e non soddisfa in nessun modo le richieste del Articolo 12 GDPR per una informazione trasparente e completa.

Per molti altri cookie, Google non fornisce alcuna informazione, eppure si trovano informazioni di terzi su questo argomento. La dichiarazione menzionata nel titolo di questo articolo viene spesso ripetuta. Non sono riuscito a trovarla sulle pagine del gruppo Google. Indipendentemente da ciò, la dichiarazione è incomprensibile e quindi inefficace.

Tutto ciò che è stato detto sui Cookies vale anche per i Servizi (strumenti). I cookies vengono creati e gestiti dai servizi e non si verificano semplicemente così. Anche per i servizi devono essere spiegati gli scopi. Ecco, solo l'offerta di un servizio sa esattamente le elaborazioni dei dati, luoghi di raccolta dei dati e destinatari dei dati.

Inoltre rispetto agli scopi, sono da fare ulteriori dichiarazioni sui cookie. A ciò appartiene la dichiarazione dell'editore. Sapete se "Google" intende con "Google" quando parla di "Google" in numerose indicazioni sulla protezione dei dati e condizioni d'uso di "Google"? Per favore, ditemelo. Sotto questo post si trova un campo per commenti. Naturalmente il responsabile del sito web deve poter fornire questa informazione per tutti i servizi utilizzati.

4. I Cookies come motivo centrale

Non a caso molti strumenti di consenso vengono definiti come bloccatori di cookie o simili. I cookies sono solo una delle ragioni per cui è necessario richiedere il consenso dell'utente. La base giuridica di ciò è la ePrivacy Directive, precisamente l'articolo 5 comma 3 di questa direttiva.

Un altro motivo per un consenso è il principio della Dati minimizzazione. In pratica significa: collega una pagina web Google Fonts in modo che le fonti vengano caricate da un server di Google, richiede quindi un consenso. Di fatto la fonte non potrebbe essere utilizzata. La soluzione sarebbe semplice: memorizza la fonte localmente e caricala dal proprio server. Con il gruppo Google non si può, a quanto ne so, stipulare un valido DPA che possa giustificare l'inserimento di fonti esterne Google senza consenso.

Nonostante ciò, si diventa ancora più plastici caricando video di YouTube:

• Numerose file vengono caricati dalle domeniche youtube-nocookie.com, ytimg.com e ggpht.com.
• Le scritture di Google vengono caricate dalla domanda gstatic.com.
• Il tracciatore pubblicitario DoubleClick viene caricato dalla domanda doubleclick.net.
• Youtube invia i dati dopo il caricamento della pagina a un server di Google.
• DoubleClick invia in intervalli casuali dati a un server di Google.

Tutti dovranno ammettere che si tratta di un trasferimento di dati evitabile. L'interesse legittimo è quindi escluso in questo caso.

Dopo la sentenza del Tribunale di giustizia dell'Unione europea sul Privacy Shield, è probabile che si sia diffusa la notizia che il trasferimento dei dati negli Stati Uniti e in altri paesi terzi non sicuri non possa essere protetto neanche con l'aiuto delle clausole contrattuali standard o Regole vincolanti per le aziende.

Soluzioni di consenso centrato sui cookie sembrano chiedere spesso solo una consenso per i cookie. L'utente dovrebbe invece accedere ai servizi. Google Analytics ad esempio imposta in molte configurazioni tre cookie. Non ha senso chiedere un consenso per questi tre cookie. Giusto sarebbe chiedere un consenso per l'utilizzo di Google Analytics. A questo servizio viene poi spiegato che utilizza tre cookie. Questa dettagliata descrizione può avvenire su un livello successivo.

L'immagine mostra tre cookie che vengono associati al Google Tag Manager. Questa assegnazione è falsa. Il gestore dei tag viene qui menzionato come fornitore, non come servizio. La reale denominazione di fornitore manca evidentemente. L'assegnazione è falsa perché il gestore dei tag tunnelizza altri servizi e quindi anche i loro cookie gestiti.

In ogni caso, da nessuna parte viene chiesto se l'utente accetta o meno Google Analytics. Per questo strumento, lo scopo non è indicato nella richiesta di consenso. Il consenso informato non è quindi possibile. L'errore di centratura dei cookie è particolarmente evidente nei video incorporati di YouTube. Chiunque spieghi i cookie che vengono impostati quando viene integrato lo script YouTube associato non ha spiegato lo scopo dello script YouTube. Ciò può essere dimostrato molto bene dal fatto che lo script di YouTube può essere caricato anche senza cookie.

5. La mancanza di un approccio alla protezione dei dati

Molti conoscono il fatto che, oltre alla richiesta di consenso, anche la dichiarazione sulla protezione dei dati è importante. Poi ci sono quelli che pensano allo SSL-Zertifikat, soprattutto perché spesso è incluso nel tariffario del Web Hosting. La reindirizzamento al chiamare una pagina web senza https a quella con SSL dimenticano alcuni.

Il link all'informativa sulla privacy non è disponibile su tutte le pagine della homepage di un numero considerevole di siti web, secondo le mie stime il 75%.

Molti ancora incorporano i video di YouTube in modo tale che i cookie entrino in gioco. Non è necessario che sia così, perché il rimedio è semplice.

Tutti questi punti e altri ancora non vengono presi in considerazione dagli strumenti di consenso, ma sono importanti per motivi legali.

Extra: 5+1: cancellazione spesso non possibile

I cookie tecnici di terze parti sono cookie che esistono in un dominio di un fornitore di strumenti che non è lo stesso del sito web visitato. L'operatore del sito web non ha alcun controllo tecnico sul dominio di terze parti. Ciò significa che i cookie di questo dominio possono essere cancellati (cancellazione da parte del visitatore di un sito web!) solo se il fornitore di strumenti offre un'interfaccia per farlo. Spesso questa interfaccia non esiste. La revoca non è quindi oggettivamente possibile. Se, eccezionalmente, l'interfaccia di cancellazione è offerta dal fornitore di strumenti, dovrebbe essere esplicitamente richiamata dal controllore (gestore del sito web). Purtroppo, questo accade così raramente nei pochi casi possibili che non è necessario discuterne.

Esempio: Plugin video YouTube (presumibilmente senza cookie con il dominio youtube-nocookie.com). Il plugin imposta un cookie chiamato CONSENT, nonostante il nome del dominio. Questo cookie può essere cancellato solo dall'editore di YouTube stesso. Fino a quanto ne so, YouTube non offre alcuna interfaccia per farlo. Pertanto, il plugin video YouTube non può essere utilizzato in modo conforme al diritto, perché la revoca ai sensi dell'Art. 7 comma 3 GDPR non è possibile. Che il Player di YouTube richieda l'autorizzazione ha motivazioni ulteriori oltre al cookie. ([1])

Conclusione

Come annunciato all'inizio, sono stato in grado di mostrare e dimostrare quanto segue:

• Il processo di caricamento degli strumenti che richiedono il consenso non può essere impedito in modo affidabile
• Gli strumenti che non utilizzano i cookie non possono essere riconosciuti in modo affidabile da un sistema automatico. Nessuno degli strumenti di consenso che conosco fa un tentativo significativo in questo senso, probabilmente per paura di bloccare un file importante dal punto di vista funzionale per il sito web
• Ciascuno di voi ha diversi cookie memorizzati sul proprio dispositivo finale. Nessuno dei più diffusi cookie scanner è in grado di scoprire di quali cookie si tratta. I cookie non possono essere riconosciuti in modo affidabile e quindi non possono essere gestiti in modo legalmente sicuro
• Gli scopi dei servizi e dei cookie non sono legalmente noti per la maggior parte degli strumenti più diffusi
• L'attenzione ai cookie nella richiesta di consenso è sbagliata
• Oltre alla questione del consenso, esistono numerose altre norme per i siti web

La mia raccomandazione: evitate le richieste di consenso il più possibile. Ecco una breve guida (è descritta con maggiore precisione nei miei altri contributi):

• Tralasciare gli strumenti che non sono realmente necessari
• Sostituire strumenti come Google Maps e altri con alternative
  • Google Maps: Pulsante "Route planen"
  • Google Analytics: Matomo
  • Video di YouTube o Vimeo: video locale o immagine di anteprima con salto alla piattaforma video
  • Google reCAPTCHA: altra soluzione, come ad esempio il plugin WordPress per Contact Form 7

Interessante anche

• Lista di controllo per i popup dei cookie
• Cookiegeddon: Pratico test delle soluzioni di consenso più popolari
• Alternativa agli strumenti di Google
• Fondamenti di B.S.: I cookie non sono file di testo
• I fondamenti di B.S.: Il Google Tag Manager utilizza anche cookie