← Torna al blog Compliance

Cookie Consent: Gli Errori che Rendono il Vostro Sito Illegale

Envestis Team 15 min di lettura

Andate su qualsiasi sito aziendale svizzero adesso e c'e una buona probabilita che il banner dei cookie sia implementato in modo sbagliato. Non solo esteticamente sbagliato, ma legalmente sbagliato. Caselle pre-selezionate per i cookie di analytics. Nessun modo per rifiutare i cookie non essenziali. Google Analytics che si attiva prima che venga dato qualsiasi consenso. Google Fonts che si carica dai server di Google facendo trapelare gli indirizzi IP dei visitatori a ogni caricamento pagina.

Non sono casi limite. Sono la norma. E ciascuno puo risultare in multe, reclami alle autorita di protezione dei dati e esposizione legale di cui la maggior parte degli imprenditori e completamente ignara.

Errore 1: Caselle di Consenso Pre-Selezionate

Molti banner cookie mostrano una lista di categorie di cookie (necessari, analytics, marketing) con caselle di controllo. Le caselle analytics e marketing sono pre-selezionate, il che significa che il consenso e presunto a meno che l'utente non le deselezioni attivamente.

Perche e Sbagliato

La Corte di Giustizia dell'Unione Europea (CGUE) ha stabilito nel caso Planet49 (2019) che le caselle pre-selezionate non costituiscono consenso valido ai sensi del GDPR. Il consenso deve essere dato attraverso un'azione affermativa chiara. Una casella pre-selezionata richiede all'utente di agire per ritirare qualcosa che non e mai stato concesso correttamente.

Come Correggerlo

Tutte le categorie di cookie non essenziali devono essere deselezionate per impostazione predefinita. L'utente deve attivamente optare per il consenso selezionando la casella o cliccando "Accetta Tutti."

Errore 2: Nessun Pulsante di Rifiuto (o Difficile da Trovare)

Molti banner cookie hanno un pulsante "Accetta Tutti" prominente ma nessun modo altrettanto visibile per rifiutare i cookie non essenziali. Alcuni nascondono l'opzione di rifiuto dietro un link "Impostazioni" o "Gestisci Preferenze" che richiede click aggiuntivi.

Perche e Sbagliato

Diverse autorita europee di protezione dei dati (la CNIL francese, il Garante italiano, la DSB austriaca) hanno stabilito che rifiutare i cookie deve essere facile quanto accettarli. La CNIL ha multato Google per 150 milioni di euro e Facebook per 60 milioni di euro nel 2022 specificamente per aver reso piu difficile rifiutare i cookie che accettarli.

Come Correggerlo

Mettete un pulsante "Rifiuta Tutti" o "Solo Necessari" allo stesso livello di prominenza visiva di "Accetta Tutti." Stessa dimensione, stesso peso di colore, stessa posizione nella gerarchia visiva.

Errore 3: Cookie Wall (Nessun Accesso Senza Consenso)

Alcuni siti bloccano completamente l'accesso al contenuto finche l'utente non accetta i cookie. Non potete leggere la pagina ne navigare il sito finche non cliccate "Accetta."

Come Correggerlo

Permettete agli utenti di accedere e usare il vostro sito indipendentemente dalla loro scelta sui cookie. Solo i cookie strettamente necessari possono essere impostati senza consenso.

Errore 4: Tracciamento Prima del Consenso

L'errore tecnicamente piu comune. Il banner cookie appare, ma Google Analytics, Facebook Pixel, Google Tag Manager e vari script di tracciamento hanno gia caricato e iniziato a raccogliere dati prima che l'utente abbia interagito con il banner.

Perche e Sbagliato

Ai sensi del GDPR, il consenso deve essere ottenuto prima dell'elaborazione. Caricare Google Analytics significa che l'indirizzo IP del visitatore, le informazioni del browser e il comportamento di navigazione sono gia stati inviati ai server di Google. Il banner del consenso e cosmetico a questo punto.

Come Correggerlo

Implementate una piattaforma di gestione del consenso che blocchi effettivamente gli script non essenziali fino a quando il consenso viene dato. Questo richiede un'implementazione tecnica, non solo l'aggiunta di un banner sovrapposto.

Errore 5: Google Analytics Senza Consenso

Google Analytics invia i dati dei visitatori ai server di Google negli Stati Uniti. Diverse autorita europee (DSB austriaca, CNIL francese, Garante italiano) hanno stabilito che l'uso di Google Analytics senza consenso adeguato viola il GDPR.

Come Correggerlo

  • Opzione 1: Usate Google Analytics con gestione del consenso adeguata. Non caricate GA finche l'utente non acconsente esplicitamente.
  • Opzione 2: Usate un proxy lato server per Google Analytics che rimuova i dati personali prima che raggiungano Google.
  • Opzione 3: Passate a uno strumento di analytics rispettoso della privacy che non imposta cookie e non trasferisce dati a terze parti.

Errore 6: Google Fonts Caricati dai Server Google

Quando un visitatore carica una pagina che scarica font dai server di Google, il browser fa una richiesta a Google. Questa richiesta include l'indirizzo IP del visitatore. Nel gennaio 2022, un tribunale tedesco (Landgericht Munich) ha stabilito che caricare Google Fonts dai server Google senza il consenso del visitatore viola il GDPR.

Come Correggerlo

Ospitate i Google Fonts localmente. Scaricate i file dei font e serviteli dal vostro server. Come bonus, i font ospitati localmente tipicamente si caricano piu velocemente perche non richiedono un DNS lookup separato verso il CDN di Google.

Errore 7: Dark Pattern nei Banner di Consenso

I dark pattern sono scelte di design intese a manipolare gli utenti verso un'azione specifica:

  • Manipolazione dei colori: Il pulsante "Accetta" e luminoso e prominente. Il link "Rifiuta" e grigio, piccolo o stilizzato come link di testo.
  • Etichette fuorvianti: "Accetta Tutti" e un pulsante chiaro. L'alternativa e etichettata "Scopri di Piu" invece di "Rifiuta."
  • Linguaggio emotivo: "Accetta i cookie per un'esperienza migliore" vs. "Rifiuta i cookie (potresti perdere funzionalita)."
  • Richiesta ripetuta: Dopo il rifiuto, il banner riappare a ogni pagina.

Come Correggerlo

Progettate l'interfaccia di consenso con genuina neutralita. Entrambe le opzioni devono essere ugualmente facili da usare. Nessun trucco di colori, nessuna etichetta fuorviante, nessuna pressione emotiva.

nLPD Svizzera vs. GDPR UE: Differenze per i Cookie

AspettoGDPR UEnLPD Svizzera
Consenso cookieRichiesto per cookie non essenzialiNessun requisito esplicito di consenso cookie nella legge
Base giuridicaRichiede consenso esplicito per i cookieBasata su trasparenza e interesse legittimo
MulteFino al 4% del fatturato globale o EUR 20 milioniFino a CHF 250.000 (contro individui)
AmbitoSi applica ai dati dei residenti UESi applica ai trattamenti che riguardano persone in Svizzera

Cosa Significa in Pratica

La raccomandazione pratica: implementate un consenso cookie conforme al GDPR. Soddisfa sia il GDPR (per i visitatori UE) che la nLPD (che ha requisiti meno rigidi ma sovrapposti). Costruire due meccanismi separati per visitatori svizzeri e UE e impraticabile e non necessario.

Per una guida dettagliata sulla conformita GDPR, vedete il nostro articolo sulla conformita GDPR del sito web. Per i requisiti specifici svizzeri, vedete la nostra guida sull'adeguamento del sito web alla nLPD.

Alternative Analytics Senza Cookie

  • Plausible Analytics: Open-source, rispettoso della privacy, nessun cookie, nessuna raccolta dati personali. Non richiede consenso cookie.
  • Fathom Analytics: Approccio simile a Plausible. Privacy-first, nessun cookie, conforme GDPR senza consenso.
  • Umami: Open-source, auto-ospitato. Nessun cookie, nessun tracciamento di dati personali. Gratuito da auto-ospitare.
  • Matomo (modalita senza cookie): Puo essere configurato per funzionare senza cookie. Quando auto-ospitato e configurato per tracciamento senza cookie, non serve consenso.

Il vantaggio e significativo: nessun banner cookie necessario per gli analytics, nessuna complessita di gestione del consenso, nessun rischio di conformita GDPR dagli analytics, e caricamenti pagina piu veloci.

Cosa Fare Ora

Aprite il vostro sito in una finestra browser in incognito/privata. Osservate:

  • Appare immediatamente un banner di consenso cookie?
  • Potete rifiutare tutti i cookie non essenziali con un click?
  • L'opzione di rifiuto e visibile e facile quanto l'accettazione?
  • Aprite gli strumenti sviluppatore (scheda Network). Prima di interagire con il banner, vengono fatte richieste a google-analytics.com, facebook.com o altri servizi di tracciamento?
  • I font vengono caricati da fonts.googleapis.com?
  • Sono gia impostati cookie prima di interagire con il banner?

Se qualcuno di questi controlli fallisce, la vostra implementazione del cookie consent ha bisogno di lavoro. Per un audit di conformita dell'implementazione cookie e tracking del vostro sito, contattate il nostro team. Aiutiamo le aziende svizzere a implementare siti web conformi alla privacy che soddisfano sia i requisiti GDPR che nLPD.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Compliance

GDPR e nDSG Svizzera: Cosa Deve Rispettare il Vostro Sito Web

Guida pratica alla conformita in materia di protezione dei dati per i siti web. Copre consenso cookie, informativa privacy, servizi di terze parti, moduli di contatto e le differenze tra GDPR UE e nDSG/LPD svizzera.

· 17 min di lettura
Compliance

nLPD svizzera: cosa deve cambiare sul tuo sito web

La nuova Legge sulla protezione dei dati svizzera (nLPD) e entrata in vigore il 1 settembre 2023. Introduce la responsabilita personale fino a CHF 250.000, requisiti piu stringenti per privacy policy, consenso cookie, analytics e trasferimenti dati transfrontalieri. Ecco una guida pratica alla conformita del tuo sito.

· 18 min di lettura
Compliance

Piano di Risposta agli Incidenti per PMI: Una Guida Pratica per le Aziende Svizzere

La maggior parte delle piccole e medie imprese non ha un piano per quando viene hackerata. Questa guida copre le 6 fasi della risposta agli incidenti, chi contattare in Svizzera (NCSC, autorita cantonali), un template IRP pratico per le risorse delle PMI, obblighi di notifica sotto nLPD e GDPR, comunicazione ai clienti ed esercitazioni tabletop.

· 16 min di lettura

Contatto Rapido