In una recente decisione, il Tribunale amministrativo austriaco si è espresso in modo dettagliato sulla progettazione di banner di cookie. Il tribunale chiarisce che i requisiti di protezione dei dati per i banner sui cookie devono essere rigorosamente rispettati e che non c'è spazio per le eccezioni. L'accettazione o il rifiuto dei cookie devono essere ugualmente possibili.
Il Garante per la protezione dei dati personali interviene sul banner dei cookie
Con una decisione del 14 dicembre 2023, l'autorità di protezione dei dati ha chiesto a o GmbH & Co KG di adattare il suo banner sui cookie. L'autorità di controllo è intervenuta a seguito di un reclamo sulla protezione dei dati da parte di un interessato. L'autorità ha riscontrato che l'attuale banner dei cookie di o GmbH & Co KG non soddisfa i requisiti del GDPR. In particolare, l'autorità ha criticato il fatto che nel primo livello del banner dei cookie, gli utenti avevano solo la possibilità di accettare i cookie o di cliccare sul pulsante "Mostra finalità". L'opzione di rifiutare direttamente i cookie, invece, era accessibile solo al secondo livello del banner dopo diversi clic.
Inoltre, l'autorità per la protezione dei dati ha riscontrato che il banner dei cookie ha favorito fortemente l'opzione di accettazione dei cookie a livello visivo. Il pulsante di consenso era chiaramente visibile, mentre l'opzione di non accettare i cookie era molto meno visibile. Secondo l'autorità, questo design costituiva una violazione del GDPR, in quanto, ai sensi dell'articolo 7, paragrafo 3, del GDPR, la revoca del consenso deve essere altrettanto facile della concessione del consenso.
o GmbH & Co KG ha presentato un ricorso contro questa decisione, che è stato respinto dal Tribunale amministrativo federale. Successivamente, o GmbH & Co KG ha presentato ricorso al Tribunale amministrativo. Il tribunale ha ora stabilito che l'autorità di protezione dei dati ha agito correttamente e ha respinto il ricorso.
Il rifiuto dei cookie è più difficile dell'accettazione
In questo caso, il Tribunale amministrativo (VwGH) ha ritenuto che il design del banner dei cookie di o GmbH & Co KG non fosse conforme ai requisiti legali del GDPR. In particolare, è stato criticato il fatto che per gli utenti fosse molto più difficile rifiutare i cookie che accettarli.
Il banner dei cookie di o GmbH & Co KG offriva solo due opzioni al primo livello: un pulsante "Accetta" ben visibile e codificato a colori e un link meno evidente con la dicitura "Mostra finalità". Cliccando su "Mostra finalità", l'utente veniva portato al secondo livello del banner, dove il rifiuto dei cookie era possibile solo dopo ulteriori clic.
Ai sensi dell'art. 7 par. 3 del GDPR, tuttavia, la revoca del consenso deve essere altrettanto facile quanto il suo rilascio. Il VwGH ha rilevato che il design del banner dei cookie non rispettava questo requisito. Mentre un utente poteva accettare i cookie con un solo clic, il rifiuto richiedeva almeno due clic ed era meno intuitivo.
Pulsante "Accetta" evidenziato a colori
Oltre all'opzione di opt-out più difficile, il VwGH ha criticato anche il design visivo del banner dei cookie. Un punto centrale della critica è stato il design visivo disomogeneo delle opzioni di selezione nel banner dei cookie. In questo caso, il pulsante per acconsentire ai cookie era molto più evidente dell'opzione per rifiutarli. Il pulsante "Accetta" era evidenziato a colori e si trovava in una posizione ben visibile sul primo livello del banner dei cookie. Al contrario, l'opzione di opt-out è stata integrata solo come link poco appariscente con la dicitura "Mostra scopi", meno evidente dal punto di vista visivo e meno percepita intuitivamente dagli utenti.
Il Tribunale amministrativo ha sottolineato che un simile design limita la libertà di scelta dell'utente e non soddisfa i requisiti del GDPR. Ai sensi dell'articolo 7, paragrafo 3, del GDPR, ritirare il consenso deve essere altrettanto facile che darlo. Ciò significa anche che entrambe le opzioni devono essere offerte in modo visivamente equivalente. Nascondendo l'opzione di opt-out con un elemento di design meno visibile e poco appariscente, è stato reso inutilmente difficile agli utenti l'opt-out.
Il tribunale ha inoltre sottolineato che questa disparità di progettazione non può essere giustificata facendo riferimento a "standard industriali". Si deve piuttosto garantire che l'utente possa riconoscere a prima vista le modalità di rifiuto o di revoca del consenso. Il Comitato europeo per la protezione dei dati (EDPB) raccomanda inoltre che il primo livello di un banner sui cookie includa sempre un pulsante altrettanto evidente ed equivalente per rifiutare i cookie e per accettarli.
Nessuna eccezione per l'utilizzo dei cookie
Nell'ambito del procedimento, o GmbH & Co KG ha invocato il cosiddetto privilegio dei media ai sensi dell'articolo 9 (1) della legge sulla protezione dei dati. Questo privilegio prevede alcune eccezioni ai requisiti generali di protezione dei dati se i dati personali sono trattati per scopi giornalistici. La ricorrente ha sostenuto che l'uso dei cookie rientra in questo contesto giornalistico, poiché il sito web serve anche a fornire informazioni.
Il Tribunale amministrativo ha chiarito che il privilegio dei media si applica solo se il trattamento dei dati in questione serve direttamente a comunicare informazioni, opinioni o idee al pubblico. Nel farlo, il tribunale ha fatto esplicito riferimento alla giurisprudenza della Corte di giustizia europea, che ha stabilito che le finalità giornalistiche sussistono in particolare se il trattamento dei dati personali è direttamente collegato alla diffusione di informazioni su argomenti di interesse pubblico.
L'impostazione di cookie per scopi di marketing, pubblicità e analisi non soddisfa questo requisito secondo il VwGH. L'uso di cookie di questo tipo non è finalizzato a riferire su questioni di interesse pubblico o a trasmettere contenuti giornalistici. Piuttosto, gli interessi economici e commerciali dell'operatore del sito web sono in primo piano in questi cookie. Poiché non si tratta di attività giornalistiche ai sensi dell'articolo 9 (1) della FADP, il privilegio dei media non era applicabile in questo caso.
Le opzioni al di fuori del cookie banner non sono sufficienti
È stata inoltre esaminata la questione se le misure alternative per il rifiuto dei cookie offerte al di fuori del banner dei cookie stessi siano sufficienti a soddisfare i requisiti del GDPR. La ricorrente ha sostenuto che esiste un link chiaramente visibile nel footer del suo sito web che consente agli utenti di revocare successivamente il proprio consenso. Questo link, denominato "Impostazioni e revoca dei cookie", è accessibile in qualsiasi momento e rappresenta quindi un modo adeguato e semplice per garantire la revoca del consenso.
Tuttavia, questo argomento non è stato considerato sufficiente dal VwGH. Tale opzione di cancellazione a valle può essere vista solo come un'opzione supplementare, ma non come un'alternativa equivalente al rifiuto immediato dei cookie. Il GDPR richiede inoltre ai responsabili del trattamento dei dati di offrire l'opzione di rifiuto dei cookie immediatamente e allo stesso modo dell'accettazione dei cookie nel primo livello del banner dei cookie. Il riferimento a opzioni di revoca successive non soddisfa questo requisito.
Suggerimento di lettura: Gestione del consenso dei cookie - consenso sicuro per le aziende
Requisiti delle aziende per i banner sui cookie
La decisione chiarisce che le aziende devono progettare i loro banner sui cookie in modo tale che rifiutarli sia altrettanto facile che accettarli. In concreto, ciò significa che un pulsante visivamente equivalente per rifiutare i cookie deve essere disponibile già al primo livello del banner dei cookie.
La semplice indicazione di un link a valle per rifiutare i cookie nel footer o in una struttura di menu separata non è sufficiente e viola i requisiti del GDPR.
Inoltre, la sentenza chiarisce che il riferimento a presunti standard "industriali" non è una giustificazione per banner cookie inadeguati. Le aziende devono verificare attivamente se i loro meccanismi di consenso soddisfano i principi di trasparenza, semplicità ed equivalenza.
La violazione di questi requisiti può comportare sanzioni significative. Le autorità preposte alla protezione dei dati sono autorizzate ad obbligare le aziende ad adeguare i loro cookie banner e a comminare multe in caso di violazione. Si consiglia pertanto alle aziende di rivedere i cookie banner esistenti e di assicurarsi che siano conformi ai requisiti del GDPR.
Fonte: Decisione del Tribunale amministrativo del 16 gennaio 2025 (Ra 2024/04/0424-9)
Volete verificare se il vostro banner sui cookie è conforme alla legge? Contattateci: saremo lieti di consigliarvi.
☎️ +49 (228) 926165-100
📧 verona@2b-advice.com
Italian 
German 
English 
French