Foto di Immo Wegmann.

La Commissione Europea ha presentato ieri un pacchetto di misure denominato Digital Omnibus, finalizzato a semplificare diverse normative digitali esistenti. Tra queste ci sono le norme relative alla gestione dei cookie sui siti web, come peraltro già anticipato un paio di mesi fa. Una delle componenti principali riguarda la revisione delle regole sul consenso, attualmente disciplinate dalla direttiva ePrivacy in combinazione con il GDPR. Dal 2018 hanno portato alla proliferazione di banner e pop-up su quasi tutti i siti accessibili dall'Unione Europea.

Il meccanismo attuale richiede un consenso esplicito per i cookie non strettamente necessari, spesso ripetuto su ogni dominio visitato, generando quella che viene definita consent fatigue: gli utenti tendono a cliccare rapidamente senza leggere, riducendo l'effettiva consapevolezza delle scelte. La proposta introduce due fasi principali. In una prima fase transitoria, i banner dovranno essere semplificati con un'interfaccia che offra un consenso o un rifiuto con un solo click, senza opzioni intermedie complesse o design che rendano più difficile il rifiuto rispetto all'accettazione. Le preferenze espresse resteranno valide per almeno sei mesi, evitando richieste ripetute sui siti già visitati in quel periodo.

Nella fase successiva, il consenso verrà spostato a livello centrale: browser e sistemi operativi dovranno implementare impostazioni che permettano agli utenti di definire una volta per tutte le proprie preferenze, trasmettendole automaticamente anche ai siti web. Questi ultimi saranno obbligati a rispettare tali segnali senza mostrare banner aggiuntivi, salvo i casi in cui sia necessario un consenso specifico non coperto dalle impostazioni generali. Sono previste eccezioni per i cookie strettamente necessari al funzionamento del servizio, come quelli per il carrello degli acquisti o l'autenticazione; per usi innocui come la misurazione aggregata del traffico si punta a eliminare del tutto la richiesta di consenso.

La Commissione stima che queste modifiche genereranno risparmi superiori a 800 milioni di euro l'anno per le imprese europee entro il 2029, riducendo i costi di implementazione e gestione dei sistemi di consenso. Il pacchetto include anche altre semplificazioni, come l'unificazione delle segnalazioni di incidenti di sicurezza e chiarimenti sull'uso dei dati per l'addestramento di modelli di IA. La parte sui cookie è quella che ha attirato maggiore attenzione per il suo impatto diretto sugli utenti finali.

Proposte di lettura:

Cookie, si va verso il consenso unico. L'Europa valuta l'integrazione ne...

I Captcha? Ormai non servono più a niente

Cookie: che si fa?

65 siti su 100 ignorano la richiesta di rifiuto dei cookie

La proposta non vuole rappresentare un indebolimento delle tutele previste dal GDPR, ma una modernizzazione per renderle più efficaci: il livello di protezione - sostengono i promotori - rimane lo stesso, con l'obiettivo di favorire scelte più consapevoli invece di clic automatici. I siti dovranno comunque documentare il rispetto delle preferenze e fornire meccanismi per revocare o modificare il consenso in qualsiasi momento. Resta da definire come gestire i cookie di prima parte rispetto a quelli di terze parti, e quali standard tecnici adotteranno i principali browser come Chrome, Firefox, Safari e Edge per implementare i segnali automatici.

Il testo deve ora passare al vaglio del Parlamento Europeo e del Consiglio dei 27 Stati membri. L'iter potrebbe richiedere mesi o anni, con negoziati che coinvolgeranno editori, inserzionisti pubblicitari, associazioni dei consumatori e produttori di software. Alcuni osservatori sottolineano che tentativi precedenti di riformare la direttiva ePrivacy si sono arenati proprio su questi temi. Altri ritengono che l'attuale contesto possa favorire un'approvazione più rapida, con una maggiore maturità tecnologica. Nel frattempo, le regole esistenti continuano a applicarsi.

Consigliamo la lettura di:

La beffa dei cookie rifiutati

La navigazione in incognito non è in incognito

Class action contro Google per la modalità incognito, trovato l'accordo

Microsoft Edge curiosa nei dati degli altri browser a ogni avvio