Què és realment el Grup de treball de l'EDPB sobre banners de cookies

El grup de treball és un organisme de coordinació, no un regulador pròpiament dit. Es va crear a l'empara de l'Article 70 del GDPR, que faculta l'EDPB per facilitar la cooperació entre les autoritats nacionals de protecció de dades en qüestions d'interès comú. El detonant va ser una campanya de reclamacions presentades per noyb — el grup de defensa de la privadesa de Max Schrems — contra centenars de llocs web a tota la UE. Com que aquestes reclamacions van afectar autoritats de gairebé tots els estats membres, l'EDPB va decidir crear un fòrum únic on les APD poguessin comparar notes i arribar a un marc analític compartit. La producció del grup de treball pren la forma d'informes que documenten quines opcions de disseny es consideren violacions dels requisits de consentiment, organitzades per categories.

Aquesta estructura importa a la pràctica. Els informes no són vinculants de la manera que ho és un reglament o una multa nacional, però descriuen la posició de consens de totes les APD europees. Quan una autoritat nacional obre una investigació, pot i cada vegada ho fa més apuntar a les conclusions del grup de treball com a evidència que un patró de banner contestat ja ha estat jutjat com a no conforme per la comunitat reguladora més àmplia. Per als editors, l'efecte pràctic és que qualsevol banner autoritzat d'acord amb els criteris del grup de treball és defensable a tota la UE. Qualsevol banner que no compleixi aquests criteris queda exposat a tot arreu alhora.

Les sis categories en què se centra el grup de treball

El grup de treball agrupa les seves conclusions en sis àrees problemàtiques superposades. Cadascuna correspon a un patró de disseny que va aparèixer repetidament en les reclamacions de noyb i que les APD han marcat col·lectivament com una infracció.

1. Cap botó de rebuig a la primera capa

La conclusió més citada dels informes. Si un visitant veu un botó Acceptar-ho tot al banner inicial però no hi ha cap botó equivalent Rebutjar-ho tot, l'elecció no es dona lliurement. Les opcions d'acceptar i rebutjar s'han de presentar amb la mateixa prominència a la mateixa capa. Amagar el camí de rebuig darrere d'un enllaç Gestionar preferències és el patró individual més comú en les accions d'aplicació actuals.

2. Caselles de verificació prèviament marcades

Preseleccionar el consentiment per a qualsevol categoria no essencial — fins i tot una sola — invalida tot el registre de consentiment en virtut del Recital 32 del GDPR. El grup de treball tracta això com una infracció per se. Els CMPs moderns es lliuren amb aquesta opció desactivada per defecte, però les implementacions antigues i els banners fets a casa sovint encara premarquen les categories d'anàlisi o màrqueting.

3. Disseny d'enllaços enganyós

Anomenar el camí de rebuig Més informació o dissenyar-lo com un enllaç de text de poc contrast mentre el botó d'acceptació és un bloc de color d'alt contrast crea un desequilibri que el grup de treball considera un patró de disseny enganyós. La solució és senzilla: pes de font coincident, contrast de color i estil de botó entre acceptar i rebutjar.

4. Classificar incorrectament les cookies com a essencials

Alguns operadors han intentat escapar completament del requisit de consentiment reetiquetant les cookies d'anàlisi, publicitat o xarxes socials com a estrictament necessàries. El grup de treball és explícit: una cookie és essencial només si el lloc web no pot funcionar sense ella des de la perspectiva de l'usuari. Les cookies d'anàlisi, proves A/B, publicitat i personalització no qualifiquen. Etiquetar-les malament és en si mateixa una infracció independent del seguiment subjacent.

5. Cap mecanisme de retirada

Retirar el consentiment ha de ser tan fàcil com donar-lo. Un banner que accepta el consentiment en un clic però obliga els usuaris a navegar per un menú de configuració de diversos passos per revocar-lo no supera aquesta prova. El grup de treball demana específicament un control persistent — normalment una icona flotant o un enllaç al peu de pàgina — que retorna el visitant a la superfície de consentiment original.

6. Disseny de banner que oculta l'elecció

Aquesta és la categoria més àmplia i més subjectiva. Inclou superposicions que bloquegen el contingut de la pàgina fins que es concedeix el consentiment, banners el botó de rebuig dels quals es troba per sota del plec, esquemes de colors que fan el camí de rebuig gairebé invisible i animacions que desvien l'atenció de l'elecció. El fil conductor és que el disseny pressiona l'usuari cap a l'acceptació en lloc de presentar una elecció neutral.

Què significa això per a l'aplicació

El grup de treball no imposa multes. Les APD nacionals sí. Però com que totes les autoritats europees s'han adherit a l'anàlisi del grup de treball, el risc d'aplicació en aquests patrons específics és ara uniforme a tota la UE. La CNIL a França ha emès la sèrie de multes relacionades amb cookies més gran fins ara, però el Garante italià, l'AEPD espanyola, les autoritats alemanyes a nivell estatal i la DPC irlandesa han obert investigacions citant raonaments alineats amb el grup de treball. Fins i tot el ICO del Regne Unit, que queda fora del perímetre regulatori de la UE, ha publicat orientació que reflecteix estretament les categories del grup de treball.

Aquesta convergència significa a la pràctica que els editors ja no poden tractar el compliment com un exercici país per país. Una auditoria de banners s'hauria de mesurar amb les categories del grup de treball com a llista de verificació unificada. Si el banner falla en qualsevol dels sis, el risc no és una APD sinó tota la xarxa supervisora europea.

Una llista de verificació d'auditoria pràctica

La manera més ràpida d'adequar un banner existent és executar-lo en relació amb les categories anteriors i respondre a cada element amb un sí o no documentat. Les preguntes són deliberadament concretes.

• Equilibri de la primera capa. El banner inicial ofereix un botó explícit Rebutjar-ho tot o Continuar sense acceptar a la mateixa superfície que Acceptar-ho tot, amb un estil comparable?
• Estat per defecte. Tots els controls de categoria no essencial estan desactivats per defecte a la vista de preferències?
• Claredat de l'enllaç. El camí de rebuig està etiquetat amb un verb que descriu l'acció, no una frase ambigua com Més opcions o Configuració?
• Classificació de cookies. Heu verificat que cada cookie que figura com a estrictament necessària és genuïnament necessària perquè el lloc funcioni, no per a anàlisi, publicitat o funcions de comoditat?
• Accés a la retirada. Hi ha un element d'interfície d'usuari persistent a cada pàgina que torna a obrir el banner de consentiment, sense més clics dels que va requerir l'acceptació original?
• Sense patrons foscos. El banner evita opcions de color, mida o animació que creïn un desequilibri visual significatiu entre acceptar i rebutjar?

Un banner que retorna sis síes clares a aquesta llista de verificació és defensable davant l'aplicació actual alineada amb el grup de treball. Un banner que retorna fins i tot un no hauria de tractar-se com un projecte de remediació en lloc d'una tasca de manteniment.

On es dirigeix el grup de treball a continuació

Els informes publicats cobreixen els patrons que van desencadenar l'onada original de reclamacions. La feina en curs del grup de treball — visible a través de les actualitzacions periòdiques publicades per l'EDPB — s'endinsa ara en un terreny més difícil i menys consolidat. Tres àrees probablement definiran la propera ronda d'orientació.

Models de pagar o consentir

La decisió de diversos grans editors europeus d'oferir als visitants una elecció binària entre pagar una subscripció i consentir el seguiment ha atret un escrutini explícit. L'EDPB va emetre una opinió el 2024 qüestionant si una elecció d'aquest tipus pot considerar-se donada lliurement quan l'alternativa és un mur de pagament. S'espera que el grup de treball publiqui criteris coordinats per a quan el model de pagar o consentir és permissible i quan passa a la coacció.

Fatiga del consentiment i granularitat

Les superfícies de consentiment per proveïdor molt granulars, com les generades per l'IAB TCF, han estat criticades per generar fatiga del consentiment i en última instància per no ser informades en el sentit del GDPR. Les futures orientacions del grup de treball probablement exigiran controls a nivell de categoria en lloc de nivell de proveïdor a la primera capa, amb la divulgació a nivell de proveïdor disponible però no requerida per a un consentiment inicial vàlid.

Superfícies mòbils i de televisió connectada

La majoria del treball primerenc del grup de treball es va centrar en banners web. Els fluxos de consentiment en aplicacions mòbils i les interfícies de televisió connectada tenen restriccions de disseny diferents i encara no han estat objecte de conclusions detallades. Els editors que operen en aquestes superfícies haurien d'esperar orientació coordinada en els propers 12 a 18 mesos, i no haurien de suposar que un patró de banner web conforme es trasllada automàticament.

Posant-ho tot junt

El grup de treball ha fet quelcom que el GDPR sol no podia fer: ha produït una interpretació única i operativa del que sembla el consentiment a la pràctica a tota la Unió Europea. Per als editors, la lliçó és que l'era de l'elecció de jurisdicció o de confiar en una aplicació nacional laxa ha acabat. La resposta correcta és tractar les categories del grup de treball com a estàndard intern vinculant, auditar els banners existents en relació amb ells i configurar la infraestructura de gestió del consentiment de manera que les categories s'apliquin a nivell de plataforma en lloc de deixar-se a la implementació per pàgina. Un CMP modern que s'ajusta netament a les sis categories — botons equilibrats de primera capa, controls desactivats per defecte, etiquetes de rebuig en llenguatge senzill, classificació precisa de cookies, accés persistent de retirada i disseny neutral — converteix una posició de compliment exposada en una de defensable a tots els mercats europeus simultàniament.