Conformità al consenso sui cookie: disabilitazione di JavaScript e accessibilità da tastiera
Ho notato che la maggior parte delle soluzioni per il consenso dei cookie sono basate su JavaScript e quando JS è disabilitato, le impostazioni per il consenso dei cookie potrebbero non essere accessibili.
A proposito di accessibilità, alcune soluzioni per il consenso ai cookie non sono accessibili da tastiera, il che significa che anche le persone con determinate disabilità non sarebbero in grado di gestire i propri cookie.
È conforme al GDPR, alla direttiva e-privacy e al CCPA?
Risposte
È improbabile che questo rappresenti un problema: la maggior parte delle cose che richiedono il consenso avviene solo per JS e il consenso deve essere comunque attivo. Tuttavia, i problemi di accessibilità potrebbero essere legittimi.
I cookie vengono solitamente impostati tramite un campo di intestazione nella risposta dal server web. Tali cookie sono tipicamente (ma non necessariamente) utilizzati per motivi benigni come i token di sessione. E i cookie strettamente necessari non richiedono consenso. Al contrario, gli usi problematici dei cookie sono solitamente attivati dal codice JavaScript nella pagina. Quando JavaScript è disabilitato, non può impostare i cookie e non è necessario chiedere il consenso.
Questo ci porta al motivo successivo: il consenso è opt-in. La direttiva ePrivacy richiede il consenso per gli usi dei cookie che non sono strettamente necessari e l'articolo 4 (11) e l'articolo 7 del GDPR definisce il consenso a essere un opt-in attraverso un'azione o un'espressione affermativa che indichi in modo inequivocabile i desideri del visitatore. Le caselle preselezionate o i meccanismi di consenso in stile "continuando a utilizzare questa pagina ..." non sono conformi. Se il meccanismo di richiesta del consenso di un sito web non funziona, non può presumere che il consenso sia stato dato e non è consentito eseguire il trattamento dei dati pertinenti.
Naturalmente, è anche possibile avere una visione opposta: che JavaScript è una parte fondamentale dello standard HTML e che i programmi utente senza supporto JavaScript interrompono il corretto funzionamento del sito a rischio del visitatore. L'operatore del sito non può ragionevolmente garantire la corretta funzionalità del sito su tali browser non standard. Ma sebbene questo sia un argomento valido di fronte ai problemi di accessibilità, non importa per il consenso GDPR: il responsabile del trattamento dei dati deve essere in grado di dimostrare che il consenso è stato effettivamente dato (Art 7 (1)). Sebbene questa prova non debba essere una registrazione esplicita, assumere il consenso dall'assenza di prove sembra non conforme.
Il GDPR richiede l'accessibilità? Non esplicitamente. I requisiti di accessibilità possono essere derivati da altre leggi. Ma il GDPR ha alcuni principi di base che puntano in questa direzione. Come caso speciale per le dichiarazioni scritte che prendono in considerazione anche altre questioni, la richiesta di consenso deve essere in "una forma intelligibile e facilmente accessibile" (articolo 7 (2)), che verosimilmente si applica anche ai media testuali come i siti web. Più in generale, si potrebbe sostenere che il principio di trasparenza di cui all'articolo 5, paragrafo 1, lettera a), implichi l'accessibilità alle informazioni relative al trattamento dei dati. Per il contesto dei diritti dell'interessato, l'articolo 12, paragrafo 1, fornisce dettagli su come devono essere fornite le informazioni (linguaggio trasparente, intelligibile, facilmente accessibile, chiaro e semplice) e l'articolo 12, paragrafo 2, richiede ai responsabili del trattamento dei dati di "facilitare l'esercizio di diritti dell'interessato ”. Questa facilitazione significa che l'interessato non deve affrontare ostacoli irragionevoli all'esercizio dei propri diritti. Un sito web completamente inaccessibile potrebbe essere un ostacolo di questo tipo, ad esempio inserendo informazioni di contatto in un'immagine.
Tuttavia, non ne consegue che funzionalità specifiche come l'accessibilità della tastiera o il markup ARIA siano richieste dal GDPR. Anche se interpretiamo il GDPR per richiedere un certo livello di accessibilità, un'autorità per la protezione dei dati o un tribunale dovrebbe considerare il contesto: quale livello di accessibilità può essere ragionevolmente richiesto?
Questa risposta copre principalmente ePrivacy / GDPR poiché non ho una comprensione più approfondita del CCPA. Tuttavia, il CCPA è probabilmente più accessibile, perché richiede tecnologie (collegamenti) e titoli specifici (Non vendere le mie informazioni personali) che risultano essere abbastanza accessibili. Il CCPA autorizza e richiede inoltre ulteriori regolamenti per garantire che gli avvisi e le informazioni siano accessibili ai consumatori con disabilità.