noyb deposita 422 reclami formali GDPR su snervanti "Cookie Banners"
Come parte di un progetto di un anno su "design ingannevoli" e "modelli oscuri", noyb mira a scansionare, avvertire e far rispettare il GDPR su fino a 10.000 siti web in Europa. Dopo aver inviato un avvertimento scritto e una "bozza di denuncia" a più di 500 aziende il 31 maggio, il 42% di tutte le violazioni sono state sanate entro 30 giorni. Tuttavia, l'82% di tutte le aziende non ha completamente smesso di violare il GDPR. Di conseguenza, noyb ha presentato oggi 422 reclami a dieci autorità di protezione dei dati.
Il 42% di tutte le violazioni nel primo lotto di 516 siti web risolti. Nel primo lotto di reclami, le aziende hanno rimediato il 42% delle violazioni che noyb ha individuato nella primavera 2021. Delle aziende che in precedenza avevano violato la legge in questo senso, il 42% ha aggiunto un'opzione "rifiuta". Il 68% ha rimosso le caselle "pre-selezionate". Il 46% ha risolto i problemi relativi all'uso di colori diversi per i pulsanti "accetta" e "rifiuta". Il 22% ha rinunciato a sostenere di avere un "interesse legittimo" che permetterebbe il tracciamento senza il consenso dell'utente. Nel complesso, 1028 violazioni individuali su più di 516 siti web sono state rimosse dalle aziende. Tra le aziende che hanno completamente smesso di usare "modelli oscuri" per ottenere il consenso degli utenti, ci sono marchi globali come Mastercard, Procter & Gamble, Forever 21, Seat o Nikon
"Ritiro" opzione più grande ostacolo per la conformità. La più grande resistenza da parte dei siti web riguarda il requisito del GDPR di rendere il ritiro del consenso facile come dare il consenso. Solo il 18% ha aggiunto una tale opzione (una "icona di ritiro") al proprio sito web.
Max Schrems, presidente di noyb: "Abbiamo visto molti miglioramenti su molti siti web e siamo molto felici dei primi risultati. Alcuni grandi attori come Seat, Mastercard o Nikon hanno cambiato immediatamente le loro pratiche. Tuttavia, molti altri siti web hanno fermato solo le pratiche più problematiche. Per esempio, possono aver aggiunto un'opzione di 'rifiuto', ma la rendono ancora difficile da leggere. Il requisito di mostrare un'opzione di recesso prominente ha chiaramente affrontato la maggiore resistenza da parte dei proprietari di siti web.”
422 casi presentati alle DPA in dieci paesi Poiché molte aziende hanno risolto solo alcune violazioni, noyb hanno dovuto ancora presentare reclami in 422 dei 516 casi, o nell'82% di tutti i progetti iniziali di reclamo Spetterà quindi alle autorità di protezione dei dati (DPA) esaminare i reclami di noyb e far rispettare la legge.
Max Schrems: "Nel feedback informale abbiamo sentito che le aziende si preoccupano che i concorrenti non si conformino, il che creerebbe vantaggi sleali. Altri hanno detto che vogliono una chiara decisione da parte delle autorità, prima di iniziare a conformarsi. Speriamo quindi che le autorità di protezione dei dati emettano presto decisioni e sanzioni"
Altre 36 pagine "importanti" hanno resistito completamente. Indipendentemente dalla scansione dei siti web nel primo lotto, noyb ha anche esaminato i siti web globali e nazionali più grandi che utilizzano "banner cookie" personalizzati e hanno richiesto una revisione manuale. Questo include tutte le principali piattaforme come Amazon, Twitter, Google o Facebook. Tutti loro hanno resistito a sistemare i loro banner. noyb presenterà di conseguenza altri 36 reclami riguardanti questi siti web. Queste pagine non sono incluse nelle statistiche di cui sopra, poiché le loro violazioni erano un po' diverse dalle pagine scansionate automaticamente.
Max Schrems: "C'è una tendenza che i giocatori più grandi e le pagine che sono molto dipendenti dalla pubblicità hanno ampiamente ignorato la nostra offerta di risolvere i casi. Alcuni sostengono apertamente che sarebbe legale manipolare gli utenti a cliccare 'ok'. Ovviamente porteremo casi anche qui"
Necessità di armonizzazione europea. Molte DPA hanno già emesso linee guida non vincolanti sull'uso di "modelli scuri" nei banner dei cookie. Mentre vanno tutte nella stessa direzione, spesso discutono solo alcuni tipi di dark pattern e tacciono su altri. noyb ha basato i suoi reclami sulle varie linee guida, ma le imprese hanno regolarmente respinto le linee guida di altre DPA di un altro Stato membro.
Max Schrems: "Abbiamo bisogno di regole chiare e paneuropee. In questo momento, un'azienda tedesca sente che l'interpretazione delle autorità francesi del GDPR si applica solo alla Francia, anche se operano sotto la stessa legge all'interno dello stesso mercato europeo."
Ruolo speciale della DPA austriaca. noyb ha cercato di depositare direttamente con la DPA locale del sito web quando possibile. Abbiamo contattato le DPA pertinenti in anticipo. Circa il 50% di tutti i reclami saranno presentati alla DPA austriaca ("Datenschutzbehörde") che, a sua volta, dovrà trasmettere questi casi ad altri paesi, poiché noyb non è in grado di presentare i reclami nelle lingue pertinenti. In circa 100 casi non c'è uno stabilimento nell'UE, il che rende la DPA austriaca l'unica autorità in quanto i denuncianti hanno sede a Vienna. Il fatto che circa la metà dei casi passa attraverso l'Austria, rende la piccola DPA austriaca un attore centrale in questo caso che è piuttosto impegnativo per un'autorità con budget limitato e personale.
Max Schrems: "Abbiamo fatto tutto il possibile per razionalizzare queste denunce. Tuttavia, siamo pienamente consapevoli che questa prima 'denuncia di massa' nell'UE sarà impegnativa per le autorità"
I prossimi passi. Poiché la prima fase di test è ora completata, noyb punterà all'obiettivo attuale e scansionare, rivedere, avvertire e far rispettare la legge su fino a 10.000 siti web entro un anno, in modo che gli utenti abbiano una vera scelta in futuro.
Max Schrems:"Ci aspettiamo le prime decisioni entro la fine dell'anno. Per allora dovremmo vedere la maggior parte degli altri siti web passare a semplici opzioni 'sì' o 'no'"