Il 3 febbraio 2025, il Commissario federale svizzero per la protezione dei dati e l’informazione (FDPIC) ha rilasciato nuove linee guida sull’uso dei cookie in Svizzera. Anche se non è legalmente vincolante, offre un’idea della direzione che l’autorità intende seguire e del futuro delle pratiche relative al consenso sui cookie nel paese.

Fondamenti legali

La normativa svizzera sui cookie è regolata principalmente da due leggi:

Legge sulle telecomunicazioni (FMG/TCA): Richiede che i siti web informino gli utenti sui cookie e offrano un’opzione di opt-out.

Legge federale sulla protezione dei dati (DSG/FADP): In vigore dal 1° settembre 2023, con enfasi sulla trasparenza, proporzionalità e giustificazione per il trattamento dei dati.

Queste leggi costituiscono la base della posizione dell’autorità sui cookie e sulla loro implementazione sui siti web.

Consenso e basi legali

L’FDPIC ha chiarito che, sebbene il consenso sia una base giuridica per il trattamento dei cookie, le aziende possono anche basarsi su interessi privati prevalenti in determinate situazioni. Questo approccio differisce dai rigidi requisiti di consenso previsti dal GDPR dell’UE.

Categorie di cookie

La guida classifica i cookie in base alle loro finalità:

Cookie tecnicamente necessari: Essenziali per il funzionamento del sito web, come le funzionalità del carrello, la gestione degli input dell’utente, l’autenticazione del login, le preferenze linguistiche, il bilanciamento del carico, il CAPTCHA e il salvataggio delle preferenze sul consenso ai cookie. Questi sono generalmente considerati proporzionati e non richiedono il consenso esplicito.

Cookie non necessari: Utilizzati per finalità di tracciamento, statistica e marketing. Questi richiedono una giustificazione attraverso interessi prevalenti o un consenso esplicito, soprattutto quando si tratta di profilazione ad alto rischio o di trattamento di dati sensibili.

Ecco una sintesi dei punti chiave:

Consenso vs. Altre basi legali

L’autorità ha chiarito che, mentre il consenso è una delle basi giuridiche per il trattamento dei cookie, le aziende possono anche basarsi su interessi privati prevalenti in determinate situazioni. Si tratta di una differenza significativa rispetto al rigido requisito di consenso previsto dal GDPR dell’UE e potrebbe avere un impatto su come i CMP vengono applicati in Svizzera.

Punti salienti: Le CMP possono prevedere scenari in cui le aziende si basano su interessi privati piuttosto che sul consenso per specifiche categorie di cookie, in particolare i cookie funzionali e di statistica di base, anche se dipende dal contesto.

Il blocco preventivo non è sempre necessario

La guida dice che in alcuni casi il blocco preventivo dei cookie potrebbe non essere necessario, in particolare per i cookie ritenuti essenziali, come i cookie funzionali o di statistica di base. Questo potrebbe offrire una certa flessibilità di implementazione alle aziende che operano in Svizzera.

Punti salienti: Le aziende devono valutare il tipo di cookie che utilizzano e stabilire se è necessario un blocco preventivo, tenendo presente che la guida suggerisce un approccio più flessibile rispetto agli standard dell’UE.

Meccanismo di opt-out e di recesso

La guida afferma chiaramente che le aziende devono fornire agli utenti un modo semplice per ritirare il consenso o fare opt-out. Secondo la legge svizzera, il principio dell’opt-out è fondamentale: ciò significa che il consenso preventivo non annulla il diritto all’opt-out. Questo distingue le normative svizzere da quelle dell’UE e garantisce una costante conformità ai requisiti di privacy.

Punti salienti: Assicurati che il tuo CMP offra un meccanismo intuitivo e accessibile che permetta agli utenti di ritirare il consenso, di opt-out o di modificare le preferenze sui cookie in qualsiasi momento.

Vietato l’uso dei dark pattern

L’autorità svizzera segue le linee guida dell’Unione Europea vietando i dark pattern, ovvero i design manipolativi che ingannano gli utenti per indurli ad acconsentire al trattamento dei dati. Le CMP devono essere progettate con trasparenza e semplicità, evitando tattiche confuse o coercitive.

Punti salienti: Quando crei la tua tuo CMP, evita di utilizzare un linguaggio fuorviante o un design che possa spingere gli utenti ad accettare i cookie.

Considerazioni sull’interfaccia utente del CMP

La guida non approfondisce gli aspetti specifici della progettazione dell’interfaccia utente del CMP, ma sottolinea che qualsiasi soluzione deve essere in linea con questi principi. Le aziende hanno una certa flessibilità nelle modalità di implementazione delle CMP, ma devono garantire il rispetto dei principi generali di trasparenza, semplicità e controllo da parte degli utenti.

Cosa dovrebbero fare le aziende?

Sebbene la guida dell’autorità svizzera offra una maggiore flessibilità nell’implementazione delle CMP, è fondamentale ricordare che la guida non è vincolante. Con le linee guida ora disponibili, è il momento giusto per le aziende di considerare l’implementazione di un CMP.

Per allinearsi alle linee guida dell’FDPIC, le aziende devono:

Analizzare l’uso dei cookie: Determinare quali cookie sono necessari e quali richiedono il consenso o una giustificazione.

Ottimizzare le CMP: Garantire che le CMP tengano conto degli scenari in cui gli interessi privati prevalenti sono la base giuridica e forniscano chiare opzioni di opt-out.

Evitare i dark pattern: Progetta cookie banner che diano priorità alla scelta dell’utente e alla trasparenza.

Fornire meccanismi di opt-out: Consentire agli utenti di revocare facilmente il consenso, di fare opt-out o di modificare le preferenze sui cookie in qualsiasi momento.

Le aziende conservano la propria autonomia nella gestione del consenso dei cookie e devono rimanere aggiornate sull’evoluzione delle normative per garantire la conformità e preservare la fiducia degli utenti.

Le nuove linee guida sui cookie dell’Autorità svizzera: cosa c’è da sapere