Nel gennaio 2025, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) aveva pubblicato la prima guida dedicata all’utilizzo di cookie e tecnologie simili.
A distanza di pochi mesi, la nuova versione di ottobre 2025 introduce modifiche e chiarimenti sostanziali su alcuni punti chiave: proporzionalità, profilazione pubblicitaria e libertà del consenso.
L’obiettivo è rendere più chiaro quando e come i dati personali possono essere trattati tramite cookie, in particolare in ambiti come la pubblicità personalizzata e i sistemi di tracciamento online.
La guida aggiornata sottolinea che il consenso, ove previsto, deve essere informato, specifico e realmente libero limitando quindi ad esempio ad un’attenta valutazione da parte dei gestori di siti web i cosiddetti cookie paywall. In presenza di questi strumenti l’utente deve scegliere se prestare il consenso al tracciamento mediante cookie oppure pagare un prezzo prestabilito (tipicamente si tratta di abbonamenti) per poter visualizzare i contenuti di un sito web. In questo caso, l’utente paga un corrispettivo per fruire dei servizi online se decide di non prestare il consenso al tracciamento mediante cookie. In tali circostanze scrive l’IFPDT “la volontarietà del consenso al trattamento dei dati dipende dal fatto che il contributo finanziario sia, in primo luogo, proporzionato e, in secondo luogo, non comporti un indebolimento del carattere fondamentale del diritto alla protezione dei dati delle persone interessate. Per quanto riguarda il rispetto del criterio di proporzionalità, i gestori di siti web dovranno garantire che il prezzo richiesto sia proporzionato alla perdita di entrate derivante dalla rinuncia alla trasmissione dei dati a terzi.”.
Operativamente, questo comporta, un’attenta analisi preventiva da parte dei gestori dei siti web che dovranno valutare la proporzionalità del contributo economico richiesto all’utente a fronte del mancato rilascio del consenso al tracciamento mediante cookie.
Ma cosa succede se una società Svizzera offre servizi o prodotti a interessati nell’UE? Ricordiamo che, in tale contesto, i gestori dei siti web dovranno altresi’ verificare l’applicazione di normative extra confederazione che, con riferimento al tema del cookie paywall, hanno direttive piu’ o meno rigide. L’EDPB (Parere 8/2024, maggio 2024) ha chiarito che un modello “pay or consent” può essere legittimo solo in casi ben delimitati, ad esempio per media online finanziati dalla pubblicità, ma non per servizi essenziali o istituzionali. I gestori dovranno anche valutare, l’applicazione di regole piu’ stringenti applicabili nei singoli stati membri UE.
La Guida riprende e approfondisce anche i concetti di tracciamento pubblicitario mediante “normale profilazione” e tracciamento pubblicitario mediante “profilazione a rischio elevato”
Possiamo parlare di “normale” profilazione come analisi del comportamento e degli interessi dell’utente solo all’interno di un sito o di un servizio per offrire pubblicità personalizzata “di base”.
In questo caso il livello di ingerenza nella personalità è considerato “moderato” dall’IFPDT in quanto si deducono interessi e abitudini di consumo, ma entro limiti prevedibili per l’utente.
Possiamo invece parlare di “profilazione a rischio elevato” quando si ha la raccolta e combinazione di dati su più siti o piattaforme, con analisi approfondite del comportamento (cross-site tracking, data sharing, arricchimento con dati di terzi).
In questo caso il livello di ingerenza nella personalità dell’individuo è considerato “elevato” dall’IFPDT in quanto consente di costruire profili complessi sulla persona (preferenze, movimenti, relazioni, caratteristiche anche di ritenute sensibili).
Questa distinzione deve essere debitamente analizzata dai gestori di siti web al fine di adottare sistemi di “opt out” in alcuni casi o prevedere meccanismi di “opt in” in altri casi.
L’IFPDT, come già aveva prescritto nella versione della Guida rilasciata a gennaio 2025, richiede ai gestori di siti web di effettuare una valutazione d’impatto sulla protezione dei dati (secondo l’articolo 22 LPD) se il tracciamento personale porta a una profilazione a rischio elevato per la personalità o i diritti fondamentali della persona interessata secondo l’articolo 5 lettera g) della LPD.
