UK GDPR e Consenso sui Cookie: Requisiti ICO dopo la Brexit
Il panorama della privacy nel Regno Unito dopo la Brexit
Quando il Regno Unito ha lasciato l'Unione Europea, non ha abbandonato la protezione dei dati. Il Regno Unito ha incorporato il GDPR dell'UE nel diritto interno come UK GDPR, affiancato dal Data Protection Act 2018. Per quanto riguarda specificamente i cookie, il Privacy and Electronic Communications Regulations (PECR) — l'attuazione nel Regno Unito della direttiva ePrivacy — continua ad applicarsi. Il risultato è un quadro normativo sulla privacy che rispecchia da vicino quello dell'UE ma che è applicato in modo indipendente dall'Information Commissioner's Office (ICO) del Regno Unito.
Per i gestori di siti web, ciò significa che servire visitatori nel Regno Unito richiede attenzione a un insieme distinto di regole, linee guida e prassi di applicazione. Sebbene la sostanza sia simile al GDPR dell'UE, le sfumature contano.
UK GDPR vs EU GDPR: principali differenze
L'UK GDPR è sostanzialmente identico all'EU GDPR nei suoi principi e requisiti fondamentali. Tuttavia, dalla Brexit sono emerse diverse differenze:
- Autorità di controllo: L'ICO è l'unica autorità di controllo per l'UK GDPR, sostituendo il ruolo delle autorità di protezione dei dati dell'UE. Non puoi essere sanzionato sia dall'ICO che da un'autorità di protezione dati dell'UE per la stessa attività di trattamento che riguarda solo residenti nel Regno Unito.
- Adeguatezza dei dati: L'UE ha concesso al Regno Unito una decisione di adeguatezza nel giugno 2021, consentendo il libero flusso di dati personali dall'UE al Regno Unito. Questa decisione è soggetta a revisione periodica. Il Regno Unito ha a sua volta riconosciuto l'EEA come adeguata.
- Trasferimenti internazionali: Il Regno Unito dispone di un proprio quadro per i trasferimenti internazionali di dati, con il Segretario di Stato (anziché la Commissione Europea) che adotta decisioni di adeguatezza. Il Regno Unito ha segnalato un approccio più flessibile ai trasferimenti internazionali, sebbene le tutele fondamentali rimangano.
- Approccio all'applicazione: Storicamente l'ICO ha privilegiato il dialogo e le linee guida rispetto a sanzioni aggressive. Le sanzioni massime previste dall'UK GDPR rispecchiano quelle dell'UE: fino a 17,5 milioni di GBP o il 4 percento del fatturato annuo globale, a seconda di quale importo sia superiore.
- Potenziale divergenza: Il governo del Regno Unito ha preso in considerazione riforme tramite il Data Protection and Digital Information Bill, che potrebbe introdurre modifiche alle valutazioni del legittimo interesse, alle esenzioni per la ricerca e al ruolo dei Data Protection Officer. I gestori di siti web dovrebbero monitorare questa legislazione per futuri cambiamenti.
PECR: la legge sui cookie del Regno Unito
Mentre l'UK GDPR fornisce il quadro generale per il trattamento dei dati personali, il PECR disciplina specificamente i cookie e tecnologie simili. PECR è precedente al GDPR e attua nel diritto del Regno Unito la direttiva ePrivacy dell'UE. I suoi requisiti principali per i cookie sono:
- È richiesto il consenso prima di impostare qualsiasi cookie non essenziale sul dispositivo di un utente. Ciò include cookie di analytics, cookie pubblicitari e cookie dei social media.
- Devono essere fornite informazioni su quali cookie vengono impostati e per quali finalità, in un linguaggio chiaro e semplice.
- Il consenso deve essere libero, specifico e informato. Le caselle preselezionate non costituiscono un consenso valido.
- I cookie strettamente necessari sono esenti. I cookie essenziali per un servizio esplicitamente richiesto dall'utente (come i cookie di sessione per funzionalità di accesso o i cookie del carrello) non richiedono il consenso.
Lo standard di consenso del PECR è allineato alla definizione di consenso del GDPR, il che significa che, in pratica, i requisiti sono molto simili a quelli previsti dalla direttiva ePrivacy dell'UE. Un banner cookie conforme alle regole dell'UE sarà generalmente conforme anche al PECR.
Linee guida ICO sui banner cookie
L'ICO ha pubblicato linee guida dettagliate sulla conformità in materia di cookie che vanno oltre il testo del PECR stesso. I punti chiave delle linee guida dell'ICO includono:
Il consenso deve essere affermativo
Semplicemente continuare a navigare su un sito web non costituisce consenso. L'ICO afferma esplicitamente che il consenso implicito non è valido. Gli utenti devono compiere un'azione chiara e positiva (come cliccare su un pulsante "Accetta") prima che possano essere impostati cookie non essenziali.
Il rifiuto deve essere altrettanto semplice
L'ICO è sempre più esplicito riguardo ai dark patterns nei banner cookie. In particolare:
- Un'opzione "Rifiuta tutto" o equivalente deve essere disponibile allo stesso livello di "Accetta tutto". Nascondere l'opzione di rifiuto dietro una schermata "Gestisci preferenze" non è accettabile.
- Il design visivo non deve utilizzare colore, dimensione o posizionamento per manipolare gli utenti verso l'accettazione.
- Il linguaggio deve essere neutrale e non progettato per far sentire in colpa o fare pressione sugli utenti affinché prestino il consenso.
Controllo granulare per categoria
Gli utenti dovrebbero poter prestare il consenso a specifiche categorie di cookie (analytics, marketing, funzionali) anziché essere costretti a una scelta tutto-o-niente. Sebbene l'ICO non imponga un numero specifico di categorie, fornire un controllo granulare rappresenta una buona prassi e può essere richiesto dal principio di limitazione delle finalità del GDPR.
I cookie wall sono problematici
L'ICO considera i cookie wall — in cui l'accesso a un sito web è negato a meno che l'utente non accetti tutti i cookie — come difficilmente in grado di costituire un consenso valido, poiché il consenso non sarebbe liberamente prestato. Possono esistere eccezioni per contenuti a pagamento in cui viene offerta una reale alternativa senza cookie.
Recenti azioni di enforcement dell'ICO
Negli ultimi anni l'ICO ha aumentato costantemente l'attenzione sulla conformità in materia di cookie. Tra le azioni più rilevanti si annoverano:
- Audit a livello di settore: L'ICO ha condotto audit sui 100 principali siti web del Regno Unito in diversi settori, pubblicando risultati che evidenziavano un'ampia non conformità. Problemi comuni includevano cookie impostati prima del consenso, assenza di un'opzione di rifiuto e informazioni inadeguate sulle finalità dei cookie.
- Lettere di avvertimento: A seguito degli audit, l'ICO ha inviato lettere di avvertimento alle organizzazioni le cui pratiche sui cookie risultavano carenti. La maggior parte delle organizzazioni ha adeguato le proprie pratiche dopo aver ricevuto tali lettere.
- Indagini sull'adtech: L'ICO ha condotto indagini in corso sull'ecosistema del real-time bidding, sollevando preoccupazioni sul volume di dati personali condivisi tramite cookie per la pubblicità programmatica senza un consenso adeguato.
- Enforcement nel settore pubblico: L'ICO non ha esentato i siti web governativi, emettendo linee guida e avvertimenti alle organizzazioni del settore pubblico in merito alle loro pratiche sui cookie.
Trasferimenti internazionali di dati: dal Regno Unito all'UE e oltre
Il consenso sui cookie si interseca con i trasferimenti internazionali di dati in modo importante. Quando i cookie di analytics o pubblicitari inviano dati a server al di fuori del Regno Unito — come Google Analytics che invia dati ai server di Google e Facebook Pixel che invia dati ai server di Meta — questi costituiscono trasferimenti internazionali di dati ai sensi dell'UK GDPR.
Situazione attuale:
- Dal Regno Unito all'EEA: I dati fluiscono liberamente in base al riconoscimento da parte del Regno Unito dell'adeguatezza dell'EEA.
- Dal Regno Unito agli USA: L'UK Extension to the EU-US Data Privacy Framework fornisce un meccanismo per i trasferimenti verso organizzazioni statunitensi certificate. Google e Meta sono certificate nell'ambito di questo framework.
- Dal Regno Unito ad altri paesi: Sono richieste garanzie adeguate, come le Standard Contractual Clauses (versione UK) o le binding corporate rules.
Dal punto di vista pratico, se utilizzi Google Analytics, Google Ads o altre principali piattaforme pubblicitarie, i meccanismi per i trasferimenti internazionali sono in atto. Tuttavia, dovresti documentare questi trasferimenti nella tua informativa sulla privacy e assicurarti che il tuo banner cookie menzioni che i dati possono essere trasferiti a livello internazionale.
Geo-targeting di FlexyConsent per la conformità specifica del Regno Unito
FlexyConsent offre un geo-targeting dedicato per i visitatori del Regno Unito, garantendo la conformità al quadro normativo specifico del paese:
- Banner conforme al PECR: I visitatori del Regno Unito vedono un banner di consenso che soddisfa i requisiti dell'ICO, inclusa un'opzione di rifiuto altrettanto prominente e controlli granulari per categoria. Nessun cookie viene impostato finché non viene ricevuto un consenso affermativo.
- Separato dalla configurazione UE: Sebbene i requisiti siano simili, FlexyConsent mantiene la possibilità di configurare in modo indipendente le esperienze di consenso per Regno Unito e UE. Ciò rende la tua implementazione pronta ad affrontare una potenziale divergenza normativa tra Regno Unito e UE.
- Design allineato all'ICO: I template predefiniti dei banner di FlexyConsent seguono le linee guida dell'ICO sull'evitare i dark patterns. Le opzioni di accettazione e rifiuto sono visivamente equivalenti, il linguaggio è neutrale e il design non manipola le scelte degli utenti.
- Integrazione con Consent Mode V2: In qualità di Google-certified CMP, FlexyConsent invia i corretti segnali di consenso ai servizi Google per i visitatori del Regno Unito. Ciò garantisce che il conversion modelling e lo Smart Bidding continuino a funzionare correttamente nel rispetto dei requisiti di consenso del Regno Unito.
- Supporto IAB TCF 2.3: Per gli editori che utilizzano pubblicità programmatica, FlexyConsent genera TCF consent string appropriate per il Regno Unito, riconosciute dalle demand-side platform e dalle supply-side platform che operano nel mercato britannico.
FlexyConsent è disponibile con piani a partire da EUR 0 al mese, con integrazioni native per WordPress, Shopify e PrestaShop. In particolare per le aziende con sede nel Regno Unito, l'implementazione di un CMP certificato dimostra una conformità proattiva all'ICO — un fattore che il regolatore ha indicato di considerare quando decide le azioni di enforcement.
Conclusione chiave: Il quadro sulla privacy del Regno Unito post-Brexit rispecchia da vicino quello dell'UE, ma opera con un proprio regolatore, proprie prassi di applicazione e potenzialmente una propria futura direzione legislativa. Trattare i visitatori del Regno Unito come soggetti alle stesse regole dei visitatori dell'UE è al momento un approccio sicuro, ma mantenere la capacità di configurare esperienze di consenso specifiche per il Regno Unito mette il tuo sito nella posizione di adattarsi qualora i due quadri normativi dovessero divergere. Un CMP con funzionalità di geolocalizzazione è il modo più pratico per gestire questa complessità.