I meccanismi di consenso ai cookie funzionano tramite l'implementazione di banner o popup che invitano gli utenti a compiere scelte informate riguardo all'archiviazione dei dati quando visitano un sito web. Studi empirici indicano che queste interfacce offrono tipicamente tre azioni principali: (1) accettazione globale, (2) rifiuto globale, e (3) selezione granulare delle categorie di cookie (Urs et al., 2020; Degeling et al., 2019). La maggior parte delle implementazioni distingue tra cookie strettamente necessari—che sono esenti dal consenso ai sensi del GDPR—e altre categorie come i cookie analitici, di marketing e funzionali (Comitato europeo per la protezione dei dati, 2020).
Scelte degli utenti osservate:
- Una percentuale significativa di utenti accetta tutti i cookie a causa del design dell'interfaccia o della preminenza del pulsante "accetta tutto" (Nouwens et al., 2020).
- I controlli granulari sono spesso meno visibili o richiedono clic aggiuntivi, riducendo la probabilità di un consenso specifico.
- I cookie strettamente necessari sono abilitati per impostazione predefinita, mentre le altre categorie richiedono un consenso esplicito (opt-in) (o un rifiuto esplicito (opt-out), a seconda della giurisdizione).
Meccanismi di revoca del consenso:
- I banner dei cookie includono spesso un widget o un pulsante persistente, che consente agli utenti di rivedere le proprie preferenze in qualsiasi momento, come previsto dall'articolo 7, paragrafo 3, del GDPR (Voigt & Von dem Bussche, 2017).
- Tuttavia, la ricerca evidenzia un'implementazione incoerente: mentre alcuni siti onorano la revoca aggiornando tempestivamente le impostazioni dei cookie, altri ritardano le modifiche o mantengono gli script di tracciamento, sollevando problemi di conformità (Sørensen & Kosta, 2019).
Sfide di progettazione e conformità:
- La variabilità nella progettazione dei banner influisce sulla comprensione e sull'autonomia dell'utente. Ad esempio, i "dark pattern" possono spingere gli utenti verso un consenso ampio (Gray et al., 2018).
- L'efficacia del controllo granulare è compromessa quando le opzioni "rifiuta tutto" o di personalizzazione sono meno accessibili di "accetta tutto" (Urs et al., 2020).
Risultati di audit recenti:
- Un'analisi di oltre 10.000 siti web dell'UE ha rivelato che solo l'11,8% forniva un'opzione “rifiuta tutto” altrettanto accessibile quanto “accetta tutto” (Degeling et al., 2019).
- I widget di consenso persistenti sono presenti sul 65% dei siti web conformi, ma la loro usabilità varia in modo significativo.
Punti chiave estratti dalla letteratura:
- Il consenso ai cookie è binario e/o granulare, con la libertà di scelta dell'utente modellata dal design del banner.
- La revoca è richiesta per legge ma agevolata in modo incoerente.
- Usabilità e design hanno un impatto diretto sui risultati in termini di privacy.
