L'analisi degli attuali quadri normativi non rivela una durata fissa universalmente stabilita per la validità del consenso degli utenti ai cookie. Il Regolamento generale sulla protezione dei dati (GDPR) non si esprime su un arco temporale esplicito, richiedendo invece che il consenso sia “liberamente dato, specifico, informato e inequivocabile”. Questa mancanza di definizione ha spinto le autorità nazionali per la protezione dei dati (DPA) a emanare le proprie linee guida pratiche sul rinnovo periodico.
- La ePrivacy Directive stabilisce che il consenso dovrebbe essere riesaminato regolarmente, con molte interpretazioni che convergono su un periodo massimo di 12 mesi di validità prima che sia necessario il rinnovo.
- La Irish Data Protection Commission (DPC) raccomanda che il consenso ai cookie sia riottenuto ogni sei mesi.
- La CNIL francese impone anch'essa una validità massima di sei mesi per il consenso prima che sia richiesto il rinnovo.
Studi empirici mostrano pratiche divergenti tra le organizzazioni:
- Un'indagine del 2022 di Degeling et al. ha rilevato che meno del 20% dei principali siti web implementa meccanismi di rinnovo periodico del consenso.
- Il rinnovo frequente (ogni 6–12 mesi) è associato a una maggiore trasparenza e fiducia dell'utente, ma può influire negativamente sull'esperienza utente a causa di richieste ripetute.
Punti chiave:
- Nessuno standard unico: Gli intervalli di rinnovo dipendono dalle linee guida delle DPA locali; l'intervallo è tipicamente di 6–12 mesi.
- Periodi di rinnovo più brevi (sei mesi) sono sempre più favoriti dalle autorità di regolamentazione per garantire un controllo e una trasparenza continui da parte dell'utente.
- Migliore pratica: Le organizzazioni dovrebbero monitorare le linee guida della loro DPA di riferimento e applicare l'intervallo raccomandato più breve per minimizzare il rischio di conformità.
In sintesi, sebbene il GDPR non imponga una durata specifica per il consenso, fonti autorevoli sottolineano il rinnovo regolare, con un consenso crescente per un periodo massimo di sei mesi in linea con le raccomandazioni delle principali DPA. Ciò garantisce che il consenso rimanga significativo e rifletta le preferenze attuali dell'utente.
