L’Autorità per la protezione dei dati del Belgio (APD) ha recentemente sanzionato Mediahuis, un noto gruppo editoriale, per violazioni del regolamento generale sulla protezione dei dati (GDPR) relative all’utilizzo dei cookie banners su quattro dei suoi principali siti di informazione: De Standaard, Het Belang van Limburg, Het Nieuwsblad e Gazet van Antwerpen.
Le principali violazioni riguardano l’uso di design ingannevoli all’interno delle cookie banners (dark pattern) che rendevano più difficile per gli utenti esercitare un valido consenso all’installazione di cookie non essenziali. In particolare, i banner oggetto di analisi da parte dell’APD:
- non contenevano un pulsante “rifiuta tutti” per consentire agli utenti di rifiutare tutti i cookie non necessari al primo livello del banner, costringendo questi ultimi ad accedere alle funzioni di personalizzazione del banner per effettuare il rifiuto;
- i colori utilizzati dai pulsanti inducevano in maniera fuorviante gli utenti a cliccare sul pulsante “accetta tutto” e ad acconsentire all’uso dei cookie non necessari;
- non era permesso agevolmente di revocare il consenso conferito all’utilizzo dei cookie; in particolare Mediahuis aveva strutturato il sistema in modo tale che rifiutare o modificare il consenso ai cookie richiedesse più passaggi rispetto all’accettazione, un approccio che contraddice i principi fondamentali di trasparenza e semplicità stabiliti dal GDPR
era presente un riferimento al legittimo interesse, come base giuridica per il trattamento dei dati personali svolto tramite i cookie.
Un’altra contestazione è stata mossa rispetto all’utilizzo del legittimo interesse quale base giuridica individuata da Mediahuis per legittimare l’installazione dei cookie, anche analitici. L’APD, sottolineava in particolare che il trattamento dei dati personali per scopi analitici non può essere considerato “strettamente necessario”, perciò l’utilizzo dei cookie analitici deve sempre richiedere il consenso dell’utente.
L’APD ha quindi ordinato a Mediahuis di conformare i banner dei cookie dei propri siti di notizie online al GDPR entro 45 giorni dalla sua decisione. In caso di mancata conformità, è prevista una sanzione di 25.000 euro al giorno per ogni sito non adeguato.
La decisione dell’APD conferma che la gestione dei cookie e il relativo meccanismo di acquisizione e gestione dei consensi, rappresenta [ancora] un tema prioritario per le autorità di protezione dei dati europee. La sanzione, in particolare, è conseguente a reclami verso quindici siti di notizie belgi che utilizzavano banner dei cookie non conformi al GDPR.
Le società, specialmente quelle operanti nel settore editoriale e digitale, devono adottare pratiche trasparenti e conformi alle normative europee, garantendo agli utenti il diritto di scegliere in modo semplice e consapevole.
