Ormai su quasi tutti i siti web compaiono subito banner che ci invitano ad accettare o a rifiutare i cookie. Oppure, ancor prima che iniziamo a navigare, ci informano che il sito web in questione utilizza i cookie.
Devo installare un banner dei cookie anche sul mio sito web?
Per quanto riguarda la Svizzera, è sufficiente dare un’occhiata alla Legge sulle telecomunicazioni (LTC) per trovare la risposta a questa domanda. L’articolo 45c della LTC sancisce che “l’elaborazione, attraverso la trasmissione mediante telecomunicazione, di dati memorizzati su apparecchi di terzi è autorizzata unicamente se gli utenti sono informati dell’elaborazione medesima e del suo scopo ed è data loro la possibilità di rifiutarla”.
In Svizzera, dunque, l’impiego di cookie e altre tecnologie è consentito in linea di massima senza richiesta del consenso, purché l’utente non eserciti il proprio diritto di rifiuto o il sito web in questione non utilizzi metodi che mettono a rischio i dati personali. Secondo il diritto svizzero è sufficiente mettere a disposizione informazioni relative al trattamento dei dati e al diritto di rifiuto. Non è necessario un consenso per il banner dei cookie.
Secondo il diritto svizzero non è necessario un banner dei cookie per i siti web svizzeri.
Tuttavia, si può anche immaginare che non sia sempre obbligatorio fornire informazioni sul trattamento dei dati e relative finalità o ricordare il diritto di rifiuto. L’obbligo sancito nella legge sulle telecomunicazioni, infatti, sussiste solo nei casi in cui sono soddisfatti i seguenti requisiti:
- Le informazioni personali vengono trattate dal titolare del trattamento dei dati (gestori di siti web). Non è inclusa, quindi, l’elaborazione di dati anonimi, quando ad esempio si utilizzano cookie per archiviare impostazioni relative agli utenti, con i quali non si può stabilire alcun riferimento a una persona.
- Per l’elaborazione dei dati il titolare del trattamento utilizza un dispositivo che non gli appartiene. Questo succede, ad esempio, quando il titolare salva un cookie sul dispositivo di chi visita il sito web.
- Il dispositivo viene utilizzato da una persona che è la stessa che elabora le informazioni personali.
- L’elaborazione dei dati deve mirare a garantire al titolare del trattamento (o una terza parte) l’accesso alle informazioni personali dell’utente.
- L’elaborazione dei dati deve avvenire attraverso la trasmissione mediante telecomunicazione e il trattamento o la trasmissione non può avvenire per iniziativa dell’utente.
A questo punto è doveroso ricordare ancora una volta quanto segue: l’articolo 45c della LTC non fa alcun riferimento a tecnologie specifiche. In altre parole, le disposizioni ivi contenute non vanno applicate solo quando si impiegano i cookie ma valgono indipendentemente dal fatto che si utilizzino i cookie o qualsiasi altra tecnologia paragonabile. Ciò che conta è se i requisiti appena menzionati sono soddisfatti oppure no.
Quali novità introduce la nuova legge svizzera sulla protezione dei dati?
In breve: per quel che riguarda i banner dei cookie non cambia nulla. Questi non sono necessari nemmeno secondo quanto stabilito dal nuovo diritto svizzero.
La nuova Legge sulla protezione dei dati (LPD), che entrerà in vigore il 1° settembre 2023, contiene una nuova disposizione nell’articolo 7 punto 3 secondo la quale il titolare del trattamento (gestore del sito web) è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti. Alcuni potrebbero interpretare questa disposizione come un obbligo per un banner dei cookie. Un’interpretazione errata secondo il parere degli esperti legali dello studio VISCHER: il titolare del trattamento può sì mettere a disposizione dell’utente più opzioni per i cookie e la protezione dei dati. Se il titolare offre simili possibilità di scelta e i cookie contengono dati personali, allora - e solo allora - si applica la nuova disposizione secondo cui l’impostazione predefinita deve prevedere l’impostazione più restrittiva. Se invece il sito web non mette a disposizione alcuna possibilità di scelta, logicamente non servono nemmeno le impostazioni predefinite.
In quest’ottica, quindi, la nuova legge non introduce alcuna novità: per i siti web che sono strutturati per visitatori e visitatrici in Svizzera, da settembre 2023 non è previsto alcun obbligo per i banner dei cookie. Peraltro, non sussiste nemmeno alcun obbligo secondo cui è vietato spuntare prima un riquadro sul banner in cui si richiede il consenso.
Per quanto riguarda il trattamento dei dati personali (ad es. tramite cookie o altre tecnologie), oltre alla legge sulle telecomunicazioni bisogna osservare anche le disposizioni della LPD. La verifica della legittimità al trattamento dei dati così come della necessità di un consenso può rendersi necessaria in particolare quando si trasmettono informazioni a terzi o all’estero oppure per attività di tracciamento su larga scala.
Maggiori informazioni:
In un precedente articolo pubblicato sul blog di Hostpoint, l’ufficio legale VISCHER aveva spiegato a quali aspetti della nuova legge sulla protezione dei dati prestare particolare attenzione. Leggete l’articolo «Nel 2023 arriverà la nuova legge sulla protezione dei dati. Cosa c’è da sapere».
Cosa devo fare ora in quanto gestore di un sito web?
Come già detto, in linea di massima non è necessario alcun banner dei cookie. Né per raccogliere il consenso né per informare circa l’utilizzo dei cookie.
Se si impiegano cookie o altre tecnologie, nell’informativa sulla privacy consultabile direttamente sul sito web bisogna segnalare il trattamento dei dati e la relativa finalità. L’informativa sulla privacy deve anche contenere una nota in cui si avvisa che è possibile rifiutare tale trattamento dei dati modificando le impostazioni del proprio browser.
Nel sito si può anche integrare un metodo semplice per esprimere il proprio dissenso se non sono disponibili opzioni per le impostazioni. Altrimenti bisognerebbe prevedere l’impostazione più restrittiva per la navigazione nel sito web.
Maggiori informazioni:
In un precedente articolo pubblicato sul blog di Hostpoint, l’ufficio legale VISCHER aveva raccolto consigli importanti e utili per redigere un’informativa sulla privacy per il proprio sito web. Leggete l’articolo «Come scrivere una buona informativa sulla privacy per il proprio sito web».
Diritto europeo
Attenzione! Anche se secondo il diritto svizzero non vi è alcuna necessità legale per i siti web in Svizzera di prevedere banner dei cookie, c’è un inconveniente non trascurabile:
Sulla base del diritto europeo, le imprese e i gestori di siti svizzeri possono essere tenuti a utilizzare un banner dei cookie e a raccogliere il consenso degli utenti. Se un sito web è destinato all’area UE, può trovare applicazione il cosiddetto regolamento sull’e-privacy o le rispettive leggi nazionali per l’attuazione di tale regolamento. Il regolamento sull’e-privacy dice che l’archiviazione di informazioni o l’accesso a informazioni che sono già salvate sul dispositivo finale dell’utente è consentito solo previo consenso chiaro e informato, a meno che non si tratti di dati tecnicamente indispensabili per mettere a disposizione il servizio richiesto. A differenza della legge svizzera, secondo il diritto europeo per la raccolta e il trattamento delle informazioni serve un consenso preliminare che, ad esempio, può essere raccolto tramite un banner dei cookie.
Come la legge svizzera sulle telecomunicazioni anche il regolamento sull’e-privacy non contiene riferimenti a tecnologie specifiche e viene applicato indipendentemente dal fatto che vengano salvati i cookie oppure si acceda a informazioni disponibili su un dispositivo finale attraverso altre tecnologie (ad esempio il cosiddetto “fingerprinting”). Conta dunque la configurazione precisa della tecnologia e non la denominazione della tecnologia. Se si parla di un metodo “cookieless” (senza cookie), non si deve giungere in automatico alla conclusione che non è necessario alcun consenso. Secondo il regolamento sull’e-privacy, ciò che conta veramente è se le informazioni vengono salvate sul dispositivo finale o se si accede a informazioni già archiviate. Secondo un parere diffuso (ma non incontestato), in quest’ultimo caso occorre fare un’ulteriore distinzione relativamente al fatto se si elaborano solo informazioni che il browser invia comunque al server (le cosiddette “informazioni Header”) o se si accede in maniera attiva ad altre informazioni. Per il trattamento di informazioni semplicemente inviate in genere non è necessario alcun consenso secondo il regolamento sull’e-privacy.
Se attraverso siti web si propongono prodotti nell’area SEE, secondo il regolamento sulla e-privacy e il GDPR può sussistere un obbligo per i banner dei cookie.
Ora la situazione diventa ancora più complessa: se un’azienda svizzera propone merci o prodotti (ad es. tramite un sito web) nello Spazio economico europeo (SEE) oppure monitora il comportamento di persone sempre nell’area SEE, potrebbe essere tenuta a osservare anche le disposizioni del Regolamento generale europeo sulla protezione dei dati (GDPR) oltre al regolamento sull’e-privacy. Il GDPR, infatti, non vale solo nell’UE ma nell’intera area SEE (ad es. anche nel Liechtenstein), e si applica solo nel momento in cui si può fare un riferimento a persone. Secondo il parere di diverse autorità per la tutela dei dati nello spazio SEE, il riferimento a una persona avviene già nel momento in cui è possibile individuare singoli utenti tramite l’associazione dei numeri di identificazione. Quando si impiegano tecnologie per monitorare gli utenti durante le loro visite e successivamente per creare un profilo per fini di marketing, secondo svariate autorità per la tutela della privacy nello spazio SEE bisogna di principio richiedere il consenso, anche quando non è possibile identificare l’utente.
Il gestore di un sito web farebbe bene a verificare sempre in anticipo se si applicano il regolamento sull’e-privacy e il GDPR. In caso positivo, per l’utilizzo dei cookie è necessario in linea di massima richiedere un consenso tramite un banner dei cookie. In caso di un metodo “cookieless” sarebbe opportuno verificare meglio la configurazione precisa. Per ridurre al minimo possibili rischi, potrebbe essere opportuno raccogliere il consenso per ragioni di semplicità. Al momento l’UE sta mettendo a punto un’ordinanza sulla e-privacy che in futuro dovrebbe introdurre altre novità.
Nota sugli autori:
Questo articolo è stato redatto dagli esperti legali Lucian Hunger (avvocato) e Alisa Winter (Junior Associate) dello studio legale VISCHER e messo a disposizione come contributo esterno per il blog di Hostpoint.
