In una recente decisione, il Tribunale amministrativo austriaco si è espresso in modo dettagliato sulla progettazione di banner di cookie. Il tribunale chiarisce che i requisiti di protezione dei dati per i cookie banner devono essere rigorosamente rispettati e che non c'è spazio per le eccezioni. L'accettazione o il rifiuto di Biscotti devono essere ugualmente possibili.
Il Garante per la protezione dei dati personali interviene sul banner dei cookie
Con una decisione del 14 dicembre 2023, l'autorità per la protezione dei dati ha chiesto a o GmbH & Co KG di adattare il suo banner sui cookie. Il Autorità di vigilanza ha preso provvedimenti a seguito di un reclamo sulla protezione dei dati da parte di una persona interessata. L'autorità ha riscontrato che l'attuale banner dei cookie di o GmbH & Co KG non soddisfa i requisiti della legge sulla privacy. GDPR rispettati. In particolare, l'autorità ha criticato il fatto che gli utenti avessero l'opzione solo nel primo livello del banner dei cookie, Biscotti o fare clic sul pulsante "Mostra scopi". L'opzione, Biscotti direttamente era accessibile solo al secondo livello del banner dopo diversi clic.
Inoltre, l'autorità per la protezione dei dati ha riscontrato che il banner dei cookie non includeva l'opzione di accettare Biscotti fortemente favorito dal punto di vista visivo. Il pulsante per il consenso era chiaramente visibile, mentre l'opzione di non spuntare Biscotti era chiaramente meno visibile. Secondo l'autorità, questo disegno costituiva una Violazione contro il GDPR ai sensi dell'art. 7, comma 3 GDPR il Revoca uno Consenso deve essere altrettanto semplice che emetterli.
o GmbH & Co KG ha presentato ricorso contro questa decisione. Reclamo che è stato respinto dal Tribunale amministrativo federale. Successivamente, o GmbH & Co KG ha presentato ricorso al Tribunale amministrativo. Il tribunale ha ora stabilito che l'autorità di protezione dei dati ha agito correttamente e ha respinto il ricorso.
Il rifiuto dei cookie è più difficile dell'accettazione
In questo caso, il Tribunale amministrativo (VwGH) ha ritenuto che il design del banner dei cookie di o GmbH & Co KG non soddisfacesse i requisiti legali della legge. GDPR rispettati. In particolare, è stato criticato il fatto che il rifiuto di Biscotti per gli utenti è molto più difficile della loro accettazione.
Il banner dei cookie di o GmbH & Co KG offriva solo due opzioni al primo livello: un pulsante "Accetta" ben visibile e codificato a colori e un link meno evidente con la dicitura "Mostra finalità". Cliccando su "Mostra finalità", l'utente veniva portato al secondo livello del banner, in cui il rifiuto di Biscotti è stato possibile solo dopo ulteriori clic.
Ai sensi dell'articolo 7, paragrafo 3 GDPR il Revoca uno Consenso essere altrettanto semplice che concederli. Il VwGH ha rilevato che il design del banner dei cookie non soddisfa questo requisito. Mentre un utente Biscotti poteva essere accettata con un solo clic, il rifiuto richiedeva almeno due clic ed era meno intuitivo.
"Pulsante "Accetta" evidenziato con un colore diverso
Oltre all'opzione di opt-out più difficile, il VwGH ha criticato anche il design visivo del banner dei cookie. Un punto centrale della critica è stato il design visivo disomogeneo delle opzioni di selezione nel banner dei cookie. In questo caso, il pulsante per il consenso al Biscotti molto più evidente rispetto all'opzione di opt-out. Il pulsante "Accetta" era evidenziato a colori e si trovava in una posizione ben visibile sul primo livello del banner dei cookie. Al contrario, l'opzione di opt-out è stata integrata solo come un link poco appariscente con la dicitura "Mostra scopi", visivamente meno evidente e meno intuitivamente percepito dagli utenti.
Il VwGH ha sottolineato che una simile concezione limita la libertà di scelta degli utenti e non soddisfa i requisiti della legge. GDPR corrisponde. Ai sensi dell'articolo 7, paragrafo 3 GDPR il Revoca uno Consenso essere altrettanto facile che emetterli. Ciò significa anche che entrambe le opzioni devono essere offerte allo stesso modo dal punto di vista visivo. Nascondendo l'opzione di rifiuto con un elemento di design meno visibile e poco appariscente, si è reso inutilmente difficile il rifiuto agli utenti.
Il tribunale ha inoltre sottolineato che questo design diseguale non può essere giustificato facendo riferimento a "standard industriali". Piuttosto, occorre garantire che l'utente possa riconoscere a prima vista come può utilizzare il suo Consenso possono rifiutare o revocare. Il Comitato europeo per la protezione dei dati (EDPB) raccomanda inoltre che il primo livello di un banner sui cookie includa sempre un pulsante altrettanto evidente ed equivalente per il rifiuto dei cookie. Biscotti come dovrebbe essere disponibile per la loro accettazione.
Nessuna eccezione per l'utilizzo dei cookie
Nell'ambito del procedimento, o GmbH & Co KG ha invocato il cosiddetto privilegio dei media ai sensi dell'articolo 9 (1) della legge sulla protezione dei dati. Questo privilegio prevede alcune eccezioni ai requisiti generali di protezione dei dati se Dati personali sono trattati per scopi giornalistici. La ricorrente ha sostenuto che l'uso dei cookie rientrava in questo contesto giornalistico, in quanto il sito web serviva anche a fornire informazioni.
Il VwGH ha chiarito che il privilegio dei media si applica solo se il trattamento dei dati in questione è direttamente riconducibile all'azienda. Trasmissione di informazioni, opinioni o idee al pubblico. Nel fare ciò, il tribunale ha fatto esplicito riferimento alla giurisprudenza della Corte di giustizia europea, che ha stabilito che gli scopi giornalistici sussistono in particolare se la Elaborazione dei dati personali è direttamente collegato alla diffusione di informazioni su questioni di interesse pubblico.
L'impostazione di Biscotti per scopi di marketing, pubblicità e analisi non soddisfa questo requisito secondo la VwGH. L'utilizzo di Biscotti di questo tipo non ha lo scopo di riferire su questioni di interesse pubblico o di trasmettere contenuti giornalistici. Piuttosto, l'obiettivo di tali Biscotti Gli interessi economici e commerciali dei gestori del sito web erano in primo piano. Poiché non si tratta di attività giornalistiche ai sensi dell'articolo 9, paragrafo 1, della FADP, il privilegio dei media non era applicabile in questo caso.
Le opzioni al di fuori del cookie banner non sono sufficienti
La questione se le misure alternative al rifiuto di Biscottiche vengono offerti al di fuori dell'effettivo banner dei cookie sono sufficienti a soddisfare i requisiti del GDPR di conformarsi. La ricorrente ha sostenuto che nel footer del suo sito web era presente un link chiaramente visibile che consentiva agli utenti di Consenso per revocare successivamente il proprio consenso. Questo link, denominato "Impostazioni dei cookie e Revoca" può essere consultato in qualsiasi momento ed è quindi un modo adatto e semplice per Revoca il Consenso garantire.
Tuttavia, questo argomento non è stato ritenuto sufficiente dal Tribunale amministrativo. Una simile opzione di cancellazione a valle può essere considerata solo come un'opzione supplementare, ma non come un'alternativa equivalente all'immediato rifiuto di Biscotti essere considerata una "cosa buona". Il GDPR la possibilità di rifiutare l'applicazione di Biscotti direttamente ed equivalentemente all'accettazione di Biscotti nel primo livello del banner dei cookie. Il riferimento alle opzioni di cancellazione successive non soddisfa questo requisito.
Suggerimento di lettura: Gestione del consenso dei cookie - consenso sicuro per le aziende
Requisiti delle aziende per i banner sui cookie
La decisione chiarisce che le aziende devono progettare i loro banner di cookie in modo tale che il rifiuto di Biscotti è altrettanto facile che accettarli. Concretamente, ciò significa che il primo livello del banner dei cookie contiene già un pulsante visivamente equivalente per rifiutarli. Biscotti deve essere presente.
La sola previsione di un collegamento a valle per il rifiuto di Biscotti nel piè di pagina o in una struttura di menu separata non è sufficiente e viola i requisiti del GDPR.
Inoltre, la sentenza chiarisce che il riferimento a presunti standard "industriali" non è una giustificazione per banner cookie inadeguati. Le aziende devono verificare attivamente se i loro meccanismi di consenso sono conformi ai principi della Convenzione. TrasparenzaLa semplicità e l'equivalenza sono sufficienti.
La violazione di questi requisiti può comportare sanzioni significative. Le autorità preposte alla protezione dei dati sono autorizzate ad obbligare le aziende ad adeguare i loro cookie banner e a comminare multe in caso di violazione. Si consiglia pertanto alle aziende di rivedere i cookie banner esistenti e di assicurarsi che soddisfino i requisiti della direttiva. GDPR corrispondere.
Fonte: Decisione del Tribunale amministrativo del 16 gennaio 2025 (Ra 2024/04/0424-9)
Volete verificare se il vostro banner sui cookie è conforme alla legge? Contattateci: saremo lieti di consigliarvi.
☎️ +49 (228) 926165-100
📧verona@2b-advice.com
German 
English 
Italian 
French