Il banner dei cookie: un campo minato in materia di conformità

Lo sappiamo tutti: il più o meno fastidioso «cliccare via» le opzioni dei cookie. Quello che per i visitatori dei siti web è diventata un'abitudine, per i gestori di queste pagine comporta uno sforzo non indifferente. E dal punto di vista giuridico i cookie sono tutt'altro che banali, come spiega di seguito un esperto, soprattutto perché su Internet ci si muove rapidamente a livello internazionale.

Un campo minato oltre il GDPR

Secondo l'avvocato tedesco specializzato in protezione dei dati Asmus Eggert, molte aziende sottovalutano il fatto che le violazioni relative ai cookie spesso non vengono perseguite principalmente attraverso il GDPR, ma attraverso le normative ePrivacy e le loro implementazioni nazionali, senza la protezione di uno sportello unico. Ciò significa che praticamente qualsiasi autorità di controllo nazionale può essere competente non appena si accede ai dispositivi degli utenti nel proprio territorio, indipendentemente dalla presenza di una filiale locale. Chi si culla in una falsa sicurezza rischia di trovarsi coinvolto in procedimenti paralleli in diversi Stati membri dell'UE.

La non conformità tecnica come problema principale

Secondo Eggert, il rischio principale risiede nella discrepanza tra i requisiti legali e l'effettivo funzionamento del sito web. Errori frequenti sono l'impostazione di cookie non necessari prima di un consenso efficace, testi di consenso insufficientemente informativi e pulsanti «Rifiuta tutto» tecnicamente difettosi o solo apparentemente efficaci. A ciò si aggiungono strumenti di gestione del consenso configurati in modo errato, che dopo gli aggiornamenti scivolano inosservati nella non conformità, generando così da un giorno all'altro il rischio di una sanzione pecuniaria.

La responsabilità rimane a carico del gestore del sito

Il riferimento al fornitore di servizi di gestione del consenso non è di aiuto in caso di emergenza, poiché la responsabilità legale rimane sempre a carico del gestore del sito web. Nella pratica, i problemi derivano raramente dallo strumento stesso, ma piuttosto da un'implementazione errata, da una categorizzazione errata dei cookie e dalla mancanza di controlli regolari. Eggert raccomanda quindi di effettuare controlli tecnici delle funzioni, di documentare le modifiche e di definire chiaramente le responsabilità tra i reparti di protezione dei dati, IT e marketing.

Trasparenza anziché dark pattern

Secondo Eggert, la trasparenza non è un optional, ma un obbligo: gli utenti devono poter riconoscere chiaramente quali sono gli scopi perseguiti, quali fornitori terzi sono coinvolti e per quanto tempo vengono conservati i dati. Sono necessarie descrizioni comprensibili degli scopi, elenchi completi dei fornitori terzi, pulsanti di accettazione e rifiuto di pari valore al primo livello e una possibilità di revoca semplice in qualsiasi momento. I design che spingono al consenso attraverso opzioni di rifiuto nascoste o pulsanti di accettazione visivamente dominanti possono mettere in discussione la volontarietà del consenso in quanto modelli oscuri non consentiti.

Multe elevate e riferimento al fatturato globale

I rischi di sanzioni sono notevoli: in molti Stati, il regime sanzionatorio previsto dalla normativa ePrivacy si basa sul concetto di impresa noto nel diritto della concorrenza, per cui può essere rilevante il fatturato globale del gruppo. Mentre il quadro normativo tedesco per determinate violazioni relative ai cookie è formalmente limitato a 300.000 euro, altri paesi come Francia, Spagna o Italia consentono importi notevolmente più elevati, fino a somme a nove cifre o all'intero quadro sanzionatorio previsto dal GDPR. Soprattutto per le piattaforme internazionali, ciò può assumere rapidamente dimensioni esistenziali.

Tre blocchi di misure per una maggiore sicurezza

Eggert consiglia alle aziende di adottare un approccio strutturato basato su tre elementi: analisi tecnica, revisione dei contenuti e governance. Innanzitutto, occorre verificare in dettaglio quali cookie, script e tecnologie di tracciamento vengono attivati, quando e in quali scenari decisionali, e se le decisioni degli utenti vengono rispettate in modo coerente. A ciò seguono testi dei banner chiaramente formulati, elenchi completi di fornitori terzi, un pulsante di rifiuto posizionato in modo equivalente e un'architettura di consenso che consente una reale libertà di scelta, supportata da una piattaforma ma affiancata da controlli legali e tecnici.

La governance continua come programma obbligatorio

Infine, Eggert richiede un processo di verifica e controllo permanente affinché i nuovi strumenti o i rilanci non causino violazioni involontarie. Chi è in grado di dimostrare alle autorità di vigilanza di disporre di un sistema di verifica e documentazione seriamente applicato si trova in una posizione nettamente migliore nel procedimento, mentre chi considera i banner dei cookie come un obbligo tecnico una tantum si trova su una «bomba a orologeria» della conformità.

Fonte: mip Consult

 

Normativa sui cookie in Svizzera

Fino a poco tempo fa, la regolamentazione sui cookie in Svizzera non era così chiara come nell'UE. Per questo motivo, nel 2025 l'IFPDT ha pubblicato nuove linee guida per l'utilizzo dei cookie. Queste linee guida comportano un inasprimento delle norme e un adeguamento alla situazione giuridica nell'UE.

Secondo la revisione della legge svizzera sulla protezione dei dati (LPD) e della legge sulle telecomunicazioni (LTC), i cookie sono generalmente consentiti, purché gli utenti siano informati in modo trasparente sul tipo, lo scopo e le possibilità di opposizione e non vengano violati i loro diritti personali. I cookie necessari possono essere utilizzati senza consenso, mentre per i cookie non necessari si applicano requisiti più severi: a seconda del rischio, è sufficiente un opt-out o una giustificazione basata su interessi legittimi, ma in caso di profilazione ad alto rischio o di trattamento di dati particolarmente sensibili è necessario un consenso esplicito con informazioni chiare, volontarietà e possibilità di revoca.

Le sanzioni sono rivolte principalmente alle persone fisiche responsabili; sono previste multe fino a 250 000 franchi, in casi più semplici fino a 50 000 franchi, se l'identificazione della persona concretamente responsabile fosse sproporzionata. Inoltre, l'IFPDT può adottare misure di vigilanza, come ordinanze di adeguamento o di cessazione di determinate pratiche di tracciamento e di utilizzo dei cookie.

Fonti: 

• https://datenrecht.ch/edoeb-leitlinien-zu-cookies-und-aehnlichen-technologien/
• https://www.cookiebot.com/de/datenschutz-schweiz/
• https://e-dialog.group/blog/consent-management/cookie-banner-2025-was-schweizer-webseitenbetreiber-wissen-muessen/

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/cookie-banner-als-compliance-minenfeld/