Il 3 febbraio 2025, il Commissario federale svizzero per la protezione dei dati e l’informazione (FDPIC) ha rilasciato nuove linee guida sull’uso dei cookie in Svizzera. Anche se non è legalmente vincolante, offre un’idea della direzione che l’autorità intende seguire e del futuro delle pratiche relative al consenso sui cookie nel paese.
Fondamenti legali
La normativa svizzera sui cookie è regolata principalmente da due leggi:
Queste leggi costituiscono la base della posizione dell’autorità sui cookie e sulla loro implementazione sui siti web.
Consenso e basi legali
L’FDPIC ha chiarito che, sebbene il consenso sia una base giuridica per il trattamento dei cookie, le aziende possono anche basarsi su interessi privati prevalenti in determinate situazioni. Questo approccio differisce dai rigidi requisiti di consenso previsti dal GDPR dell’UE.
Categorie di cookie
La guida classifica i cookie in base alle loro finalità:
Ecco una sintesi dei punti chiave:
Consenso vs. Altre basi legali
L’autorità ha chiarito che, mentre il consenso è una delle basi giuridiche per il trattamento dei cookie, le aziende possono anche basarsi su interessi privati prevalenti in determinate situazioni. Si tratta di una differenza significativa rispetto al rigido requisito di consenso previsto dal GDPR dell’UE e potrebbe avere un impatto su come i CMP vengono applicati in Svizzera.
Punti salienti: Le CMP possono prevedere scenari in cui le aziende si basano su interessi privati piuttosto che sul consenso per specifiche categorie di cookie, in particolare i cookie funzionali e di statistica di base, anche se dipende dal contesto.
Il blocco preventivo non è sempre necessario
La guida dice che in alcuni casi il blocco preventivo dei cookie potrebbe non essere necessario, in particolare per i cookie ritenuti essenziali, come i cookie funzionali o di statistica di base. Questo potrebbe offrire una certa flessibilità di implementazione alle aziende che operano in Svizzera.
Punti salienti: Le aziende devono valutare il tipo di cookie che utilizzano e stabilire se è necessario un blocco preventivo, tenendo presente che la guida suggerisce un approccio più flessibile rispetto agli standard dell’UE.
Meccanismo di opt-out e di recesso
La guida afferma chiaramente che le aziende devono fornire agli utenti un modo semplice per ritirare il consenso o fare opt-out. Secondo la legge svizzera, il principio dell’opt-out è fondamentale: ciò significa che il consenso preventivo non annulla il diritto all’opt-out. Questo distingue le normative svizzere da quelle dell’UE e garantisce una costante conformità ai requisiti di privacy.
Punti salienti: Assicurati che il tuo CMP offra un meccanismo intuitivo e accessibile che permetta agli utenti di ritirare il consenso, di opt-out o di modificare le preferenze sui cookie in qualsiasi momento.
Vietato l’uso dei dark pattern
L’autorità svizzera segue le linee guida dell’Unione Europea vietando i dark pattern, ovvero i design manipolativi che ingannano gli utenti per indurli ad acconsentire al trattamento dei dati. Le CMP devono essere progettate con trasparenza e semplicità, evitando tattiche confuse o coercitive.
Punti salienti: Quando crei la tua tuo CMP, evita di utilizzare un linguaggio fuorviante o un design che possa spingere gli utenti ad accettare i cookie.
Considerazioni sull’interfaccia utente del CMP
La guida non approfondisce gli aspetti specifici della progettazione dell’interfaccia utente del CMP, ma sottolinea che qualsiasi soluzione deve essere in linea con questi principi. Le aziende hanno una certa flessibilità nelle modalità di implementazione delle CMP, ma devono garantire il rispetto dei principi generali di trasparenza, semplicità e controllo da parte degli utenti.
Cosa dovrebbero fare le aziende?
Sebbene la guida dell’autorità svizzera offra una maggiore flessibilità nell’implementazione delle CMP, è fondamentale ricordare che la guida non è vincolante. Con le linee guida ora disponibili, è il momento giusto per le aziende di considerare l’implementazione di un CMP.
Per allinearsi alle linee guida dell’FDPIC, le aziende devono:
Le aziende conservano la propria autonomia nella gestione del consenso dei cookie e devono rimanere aggiornate sull’evoluzione delle normative per garantire la conformità e preservare la fiducia degli utenti.