La protezione dei dati personali e la trasparenza nell’uso delle tecnologie digitali sono temi di primaria importanza per le aziende e gli utenti della rete. Con la crescente dipendenza dalle tecnologie di tracciamento e dalla profilazione online, l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) ha pubblicato le proprie linee guida per chiarire gli obblighi legali e le migliori pratiche per i titolari del trattamento.
Il documento, datato 22 gennaio 2025, è disponibile sul sito dell’IFPDT.
Di seguito, riassumiamo i principali adempimenti richiesti ai titolari del trattamento.
1. Obblighi di Informazione
I titolari del trattamento devono garantire che gli utenti siano adeguatamente informati riguardo alla raccolta e all’uso dei loro dati attraverso cookie e tecnologie simili. L’IFPDT distingue tra:
- Informative di primo livello, che devono essere chiare, concise e fornite immediatamente all’utente, ad esempio tramite un cookie banner.
- Informative di secondo livello, che forniscono dettagli più approfonditi sulla gestione dei dati e devono essere facilmente accessibili, ad esempio in una pagina dedicata alla privacy policy.
Il cookie banner è sempre necessario quando vengono utilizzati cookie non essenziali, ovvero quelli impiegati per finalità di marketing, analisi avanzata o personalizzazione dell’esperienza utente. In questo caso, il banner deve:
- Indicare chiaramente la presenza di cookie e il loro scopo.
- Consentire all’utente di accettare o rifiutare l’uso dei cookie con la stessa facilità.
- Fornire un link all’informativa di secondo livello per maggiori dettagli (si consiglia di tenere la cookie policy separata dalla privacy policy generale del sito internet).
Se il sito utilizza solo cookie essenziali per il funzionamento tecnico, non è obbligatorio proporre un cookie banner, ma è comunque necessario informare l’utente con un’informativa dedicata (es. cookie policy – informativa di secondo livello).
2. Profilazione a Rischio Elevato
L’IFPDT evidenzia che alcuni trattamenti dei dati possono configurarsi come profilazione a rischio elevato, in particolare quando:
- Vengono raccolti dati da diverse fonti per creare un profilo dettagliato dell’utente.
- Le informazioni raccolte influenzano in modo significativo il comportamento dell’utente, ad esempio nel caso di decisioni automatizzate.
- Si utilizzano dati sensibili, come informazioni sulla salute, sulle preferenze politiche o sull’orientamento sessuale.
In questi casi, il titolare del trattamento deve:
- Effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) prima di implementare la profilazione.
- Garantire che gli utenti siano informati in modo esplicito e dettagliato sull’uso dei loro dati.
- Ottenere un consenso esplicito prima di avviare il trattamento.
Se il trattamento comporta un rischio elevato per i diritti e le libertà delle persone, potrebbe essere necessario consultare l’IFPDT prima di procedere. In alternativa, è possibile richiedere un parere al Consulente per la Protezione dei Dati (CPD|DPO), qualora l’azienda ne abbia nominato uno.
3. Consenso e Diritto di Opposizione
Per i cookie non essenziali, è necessario ottenere un consenso informato e specifico dagli utenti. Inoltre, deve essere garantito un diritto di opposizione facilmente esercitabile.
- L’utente deve poter rifiutare o revocare il consenso con la stessa facilità con cui lo ha fornito.
- I banner di consenso devono essere chiari, senza preselezioni che possano indurre l’utente a un’accettazione involontaria.
Sul punto, l’IFPDT sottolinea i vantaggi dell’utilizzo di Cookie Management Platforms (CMP) per garantire la conformità con la normativa sulla protezione dei dati. Le CMP devono:
- Consentire agli utenti di visualizzare e modificare le proprie preferenze in qualsiasi momento.
- Garantire che il consenso sia registrato correttamente e che sia possibile dimostrare la sua validità in caso di verifiche.
- Offrire opzioni granulari per il consenso, permettendo agli utenti di scegliere quali categorie di cookie accettare o rifiutare.
Inoltre, l’IFPDT evidenzia che le CMP devono essere progettate in modo trasparente e accessibile, evitando tecniche ingannevoli (dark patterns) che inducano l’utente a fornire il consenso in modo non volontario. Per garantire la massima conformità, si consiglia di utilizzare CMP certificate e aggiornate alle più recenti normative europee e svizzere. Resta inteso che utilizzare le CMP rimane una mera facoltà per i titolari del trattamento, poiché l’IFPDT non vincola i titolari a farvi ricorso.
4. Verifica della Base Giuridica
L’uso dei cookie deve basarsi su una delle basi giuridiche previste dalla normativa. In particolare:
- Consenso esplicito: se il cookie raccoglie dati personali non strettamente necessari alla fornitura del servizio, ad esempio nel caso in cui si proceda con l’installazione di cookies di terza parte con scopo di profilazione per fini pubblicitari.
- Interesse preponderante del titolare del trattamento: ad esempio nel caso di cookie necessari per il corretto funzionamento, oltre che ai fini di una migliore esperienza, per l’utente di un e-commerce (es. cookie per conservare i prodotti inseriti nel c.d. “carrello della spesa”).
5. Minimizzazione dei Dati e Proporzionalità
Nel rispetto dei noti principi di privacy by design e di privacy by default, i dati raccolti devono essere proporzionati rispetto alla finalità dichiarata. In particolare:
- I cookie essenziali devono limitarsi a garantire il corretto funzionamento del sito.
- I dati devono essere conservati solo per il tempo strettamente necessario.
- Deve essere attuata una politica di minimizzazione dei dati trattati, evitando la raccolta indiscriminata di informazioni.
Conclusioni
Queste ampie linee guida (22 pagine) si concentrano, come visto, sull’uso dei cookie e di tecnologie simili, offrendo direttive chiare su come garantire il rispetto dei diritti degli utenti. L’IFPDT sottolinea l’importanza della trasparenza, ricordandoci che “Die Bearbeitung von Personendaten muss transparent, verhältnismäßig und rechtmäßig erfolgen” (“Il trattamento dei dati personali deve essere trasparente, proporzionato e legittimo”).
Gli adempimenti sopra riassunti sono una conferma della linea interpretativa data dall’IFPDT sull’applicazione della LPD alle problematiche concrete sollevate dal mondo digitale.
Per ulteriori approfondimenti su come implementare queste misure nella tua azienda, il nostro team di consulenti è a tua disposizione per supportarti.