Il banner dei cookie come campo minato per la conformità

Lo sappiamo tutti: il più o meno fastidioso «clic» sulle opzioni dei cookie. Ciò che è diventato un'abitudine per i visitatori dei siti web comporta una notevole mole di lavoro per i gestori di questi siti. E dal punto di vista legale, i cookie sono tutt'altro che banali, come spiega un esperto qui di seguito - soprattutto perché Internet sta rapidamente diventando un'arena internazionale.

Un campo minato oltre il GDPR

Secondo l'avvocato tedesco per la protezione dei dati Asmus Eggert, molte aziende sottovalutano il fatto che le violazioni dei cookie spesso non sono perseguite principalmente attraverso il GDPR, ma attraverso i regolamenti ePrivacy e le loro implementazioni nazionali - senza un ombrello di protezione unico. Ciò significa che praticamente qualsiasi autorità di vigilanza nazionale può essere responsabile non appena i dispositivi finali degli utenti sono accessibili sul proprio territorio, indipendentemente dal fatto che abbia una sede locale. Chi si culla in un falso senso di sicurezza rischia procedimenti paralleli in diversi Stati membri dell'UE.

La non conformità tecnica come problema principale

Secondo Eggert, il rischio principale risiede nella discrepanza tra i requisiti legali e l'effettivo funzionamento del sito web. Gli errori più comuni includono l'impostazione di cookie non necessari prima che sia stato dato un consenso effettivo, testi di consenso non sufficientemente informati e pulsanti «rifiuta tutto» tecnicamente difettosi o solo apparentemente efficaci. A ciò si aggiungono strumenti di gestione del consenso configurati in modo errato che, dopo gli aggiornamenti, scivolano inosservati verso la non conformità, creando così il rischio di multe da un giorno all'altro.

La responsabilità rimane dell'operatore del sito

Rivolgersi al fornitore di gestione del consenso non è utile in caso di emergenza, poiché l'operatore del sito web rimane sempre legalmente responsabile. In pratica, i problemi derivano raramente dallo strumento stesso, ma da un'implementazione non corretta, da un'errata categorizzazione dei cookie e dalla mancanza di un monitoraggio regolare. Eggert raccomanda quindi controlli tecnici delle funzioni, modifiche documentate e responsabilità chiare tra protezione dei dati, IT e marketing.

Trasparenza invece di motivi scuri

Secondo Eggert, la trasparenza non è un optional, ma un dovere: gli utenti devono essere in grado di riconoscere chiaramente quali sono gli scopi perseguiti, quali fornitori terzi sono coinvolti e per quanto tempo i dati vengono conservati. Sono necessarie descrizioni comprensibili delle finalità, elenchi completi di fornitori terzi, pulsanti di consenso e di opt-out di primo livello progettati in modo uguale e una semplice opzione di cancellazione in qualsiasi momento. I design che utilizzano opzioni di opt-out nascoste o pulsanti di consenso visivamente dominanti per forzare il consenso possono essere considerati modelli oscuri non autorizzati e mettono in dubbio la natura volontaria del consenso.

Multe elevate e vendite globali di riferimento

I rischi sanzionatori sono considerevoli: in molti Paesi, i regimi sanzionatori ePrivacy sono legati al concetto di società noto dal diritto della concorrenza, il che significa che il fatturato globale del gruppo può diventare rilevante. Mentre il quadro tedesco per alcuni reati relativi ai cookie è formalmente limitato a 300.000 euro, altri Paesi come Francia, Spagna o Italia consentono importi significativamente più elevati, fino a somme a nove cifre o all'intero quadro sanzionatorio del GDPR. Questo può assumere rapidamente dimensioni esistenziali, soprattutto per le piattaforme internazionali.

Tre blocchi di misure per una maggiore sicurezza

Eggert consiglia alle aziende di adottare una triade strutturata di analisi tecnica, revisione dei contenuti e governance. In primo luogo, occorre verificare nel dettaglio quali cookie, script e tecnologie di tracciamento vengono attivati quando e in quali scenari decisionali e se le decisioni degli utenti vengono coerentemente rispettate. Seguono testi di banner chiaramente formulati, elenchi completi di fornitori di terze parti, un pulsante di opt-out ugualmente posizionato e un'architettura del consenso che consenta una vera libertà di scelta - supportata da una piattaforma, ma affiancata da controlli legali e tecnici.

La governance continua come programma obbligatorio

Infine, Eggert chiede un processo di test e monitoraggio permanente per garantire che nuovi strumenti o rilanci non portino inavvertitamente a violazioni. Chi è in grado di dimostrare alle autorità di vigilanza di avere un sistema di test e documentazione seriamente implementato si trova in una posizione molto migliore nel processo - chi tratta i cookie banner come un esercizio tecnico obbligatorio una tantum, invece, è seduto su una «bomba a orologeria di conformità».

Fonte: mip Consultare

 

Normativa sui cookie in Svizzera

Fino a poco tempo fa, la normativa sui cookie in Svizzera non era così chiara come nell'UE. L'IFPDT 2025 ha quindi pubblicato nuove linee guida per l'impostazione dei cookie. Queste linee guida rappresentano un inasprimento delle norme e un allineamento con la situazione giuridica dell'UE.

Secondo la revisione della legge svizzera sulla protezione dei dati (DSG) e della legge sulle telecomunicazioni (FMG), i cookie sono generalmente consentiti a condizione che gli utenti siano informati in modo trasparente sul tipo, lo scopo e le possibilità di opposizione e che non vengano violati i loro diritti personali. I cookie necessari possono essere utilizzati senza consenso, mentre i requisiti più severi si applicano ai cookie non essenziali: A seconda del rischio, è sufficiente un opt-out o una giustificazione basata su interessi legittimi, ma in caso di profilazione ad alto rischio o di trattamento di dati particolarmente sensibili, è necessario un consenso esplicito opt-in con informazioni chiare, volontarietà e possibilità di revoca.

Le sanzioni sono rivolte principalmente alle persone fisiche responsabili; sono previste multe fino a 250.000 franchi svizzeri, in casi più semplici fino a 50.000 franchi svizzeri se l'indagine sulla specifica persona responsabile sarebbe sproporzionata. Inoltre, l'IFPDT può imporre misure di vigilanza come l'ordine di adattare o astenersi da determinate pratiche di tracciamento e cookie.

Fonti: 

• https://datenrecht.ch/edoeb-leitlinien-zu-cookies-und-aehnlichen-technologien/
• https://www.cookiebot.com/de/datenschutz-schweiz/
• https://e-dialog.group/blog/consent-management/cookie-banner-2025-was-schweizer-webseitenbetreiber-wissen-muessen/