La Commissione europea sta valutando un testo “omnibus”, previsto per dicembre, finalizzato a ridurre la burocrazia digitale, includendo una revisione del caos dei banner cookie provocato dal requisito di consenso stabilito dalla direttiva e-Privacy del 2009.
L’obiettivo è ampliare le eccezioni al consenso per i cookie e permettere che le preferenze siano impostate una volta sola a livello di browser, rispondendo così alle richieste dell’industria pubblicitaria, rappresentata dall’associazione IAB, e degli utenti, che si trovano sommersi da questi banner.
Cookie, troppe richieste di consenso: la proposta in arrivo dall’UE
La normativa attuale richiede il consenso degli utenti prima di caricare i cookie sui loro dispositivi, salvo nel caso di cookie “strettamente necessari” per la fornitura di un servizio, come il carrello e-commerce. Tuttavia, questa consapevolezza ha portato alla proliferazione di banner di consenso, i quali vengono frequentemente ignorati dagli utenti.
Il nuovo progetto di legge, anticipato da Politico, mira a ridurre i pop-up e semplificare i processi, sebbene ci sia già un acceso dibattito tra l’industria e i sostenitori della privacy. Si sta anche discutendo la possibilità di integrare parte della regolamentazione nel Regolamento generale sulla protezione dei dati, orientandosi verso un approccio basato sul rischio.
Cookie, consensi pochi o troppi? L’equilibrio da trovare
La realtà attuale evidenzia che troppi consensi possono compromettere l’autenticità del consenso e indurre gli utenti a cliccare automaticamente. Al contempo, spostare il controllo al browser può ridurre l’attrito, ma svuota il consenso di significato rendendolo una mera preferenza tecnica iniziale.
Le proteste
Le lobby della privacy europee hanno già espresso contrarietà, sostenendo che “concentrarsi sui cookie è come sistemare le sedie a sdraio sul Titanic, mentre la nave è la pubblicità di sorveglianza.”
Itxaso Domínguez de Olazábal, consulente politico presso European Digital Rights, ha aggiunto che ampliare la categoria dei cookie per includere altre forme di tracciamento “essenziale” potrebbe introdurre insidiosamente pratiche di analisi o personalizzazione per l’adtech.
Si prevede che la controversia sugli aspetti della normativa si riaccenderà nel prossimo anno, con l’introduzione del Digital Fairness Act da parte della Commissione, mirato a proteggere i consumatori online anche da design manipolatori o personalizzazioni inique.
Pacchetto omnibus digitale per semplificare le regole e aiutare l’economia europea
Negli ultimi mesi, la Commissione Europea ha manifestato l’intenzione di promuovere la crescita economica attraverso una semplificazione significativa delle normative digitali. Uno dei principali interventi annunciati è il “Pacchetto Omnibus Digitale”, previsto per dicembre 2025, finalizzato a ridurre la burocrazia legata alla normativa digitale del 25% per le imprese e del 35% per le PMI, fondamentali per l’economia europea.
Il progetto mira a diminuire gli oneri amministrativi e semplificare procedure e obblighi burocratici, facilitando la competitività delle imprese nel mercato digitale europeo.
La Commissione ha sottolineato l’importanza di mantenere elevati standard di equità e sicurezza online, mantenendo un approccio semplificato per ridurre la complessità e le sovrapposizioni regolatorie.
Tra le misure previste si annotano adeguamenti mirati alle normative sull’intelligenza artificiale, una revisione strategica del Chips Act per rafforzare l’autonomia europea in materia di semiconduttori e nuove linee guida per un accesso semplificato ai fondi europei dedicati alla digitalizzazione.
Henna Virkkunen, Vicepresidente Esecutivo della Commissione per la Sovranità Tecnologica, ha evidenziato l’importanza di un “regolamento favorevole all’innovazione”, con minori adempimenti e procedure più lineari, al fine di favorire la competitività tecnologica dell’Europa e facilitare gli investimenti nelle imprese digitali, in particolare tra le PMI.
Un finto consenso per i cookie?
Se, come accade con alcuni browser, il sistema chiede solo una volta quali cookie accettare e non presenta ulteriori scelte, non si può più considerare questa pratica come un genuino “consenso”.
Il consenso richiede un’informativa aggiornata e una manifestazione chiara di volontà; se queste condizioni non vengono soddisfatte, il risultato è che non c’è alcuna possibilità di un “no” espresso da parte dell’utente. Così, il consenso si riduce a una mera preferenza tecnica iniziale.
Inoltre, si viola il principio di granularità: una regola fondamentale del consenso che impone la distinzione tra le finalità del trattamento e consente all’utente di scegliere consensualmente per ciascuna di esse. Senza questa separazione, gli utenti sono forzati ad accettare un pacchetto di attività, non avendo la possibilità di valutare separatamente l’impatto di ciascuna.
Non è chiaro in che modo si intenda ridurre gli obblighi di consenso per i cookie considerati a basso impatto. Per i cookie analitici, è fondamentale distinguere tra quelli limitati a statistiche e quelli con funzionalità aggiuntive, in quanto in quest’ultimo caso rimane necessario il consenso.
A questo punto, sarebbe più trasparente dichiarare chiaramente la volontà di superare i cookie, piuttosto che celare questa scelta dietro soluzioni tecniche che svuotano il consenso.
I cookie reggono le PMI digitali
Questa è una scelta legittima, ma si deve tenere a mente che i cookie sostengono prevalentemente micro e piccole imprese, che costituiscono il pilastro dell’economia europea. Le aziende utilizzano i cookie legittimamente per attrarre clienti e ottimizzare le proprie campagne, e le piccole imprese, in particolare, potrebbero subire un impatto negativo significativo da eventuali limitazioni.
Attorno ai cookie si è sviluppato un intero mercato di competenze e professioni, pertanto non è possibile considerare l’idea di una rimozione improvvisa senza valutare l’impatto economico e occupazionale risultante.
Il peso della sentenza della Corte Ue su dati pseudonimizzati
Recentemente, la sentenza della Corte di Giustizia dell’Unione Europea ha stabilito che i dati pseudonimizzati non devono sempre essere considerati “dati personali”, a condizione che l’identificazione dell’utente non sia ragionevolmente probabile.
Questa interpretazione apre a possibilità significative: i cookie con identificatori non collegabili e con un rischio di re-identificazione minimo potrebbero rimanere al di fuori del perimetro delle normative più severe. Tuttavia, se il titolare o i partner pubblicitari mantengono le chiavi di collegamento o associano i cookie ad altre informazioni identificative, si rientra immediatamente nella categoria dei dati personali, con tutti gli obblighi correlati.
È cruciale mantenere un approccio di neutralità tecnologica: le normative dovrebbero concentrarsi sui principi di tutela e trasparenza, lasciando ai tecnici il compito di individuare soluzioni pratiche, per garantire che la legge non diventi obsoleta di fronte a un’innovazione tecnologica in continua evoluzione.
