La guida dell'IFPDT in pratica: cosa significa davvero per i gestori di siti

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) è l'autorità di vigilanza centrale per le questioni di protezione dati in Svizzera. La sua guida sul tracking online e i cookie è dal 2019 il riferimento più importante per i gestori di siti svizzeri — anche se solo pochi l'hanno effettivamente letta. Ecco una contestualizzazione delle raccomandazioni più importanti, integrata dall'osservazione di come l'IFPDT le applica in pratica.

Cosa è la guida — e cosa non è

La guida V1.1 di febbraio 2024 non è un regolamento, non una legge, non una norma vincolante. È una dichiarazione dell'autorità che spiega la sua interpretazione della LPD per il settore del tracking online. Suona debole ma è praticamente molto efficace: chi viene indagato è misurato sulla guida. Chi se ne discosta deve giustificarsi.

Dal punto di vista giuridico: la guida non vincola direttamente, ma forma la «pratica sicura». In tribunale un argomento come «ma l'IFPDT ha raccomandato così» non sarebbe decisivo ma sarebbe un fattore sostanziale.

Le cinque raccomandazioni principali

1. Approccio a strati per l'informazione cookie

L'IFPDT raccomanda un'informazione in due fasi: primo livello come banner con i punti chiave, secondo livello con listaggio dettagliato dei cookie. Il secondo livello deve essere raggiungibile intuitivamente.

In pratica: la maggior parte dei banner l'ha implementato, ma spesso male — il clic su «Impostazioni» apre una lista a malapena leggibile. Quello che vuole l'IFPDT: listaggio leggibile, categoriale con possibilità di scelta chiara.

2. Equivalenza di accetta e rifiuta

«Accetta» e «Rifiuta» devono essere visivamente e logicamente equivalenti. Concretamente: entrambi i pulsanti dovrebbero essere della stessa dimensione, ugualmente prominenti, con contrasto simile.

In pratica: ci sono molte violazioni qui. Il pulsante «Accetta» verde e luminoso accanto al «Rifiuta» grigio e semi-trasparente è un classico dark pattern che l'IFPDT marca esplicitamente come non ammissibile.

3. Niente cookie wall

Un cookie wall — cioè «accetta o lascia il sito» — non è ammissibile secondo la posizione dell'IFPDT perché il consenso allora non è più libero. C'è margine per modelli come «pay-per-page» o «consent o abbonamento», ma è giuridicamente delicato.

In pratica: i cookie wall sono rari in Svizzera. La maggior parte dei siti permette di rifiutare senza bloccare l'accesso.

4. Possibilità di scelta granulare

Gli utenti devono poter scegliere non solo «accetta tutto» o «rifiuta tutto» ma anche categoricamente — ad esempio solo statistica, solo marketing. Idealmente per singolo strumento di terzi.

In pratica: la granularità è per lo più implementata, ma spesso con etichettatura categoriale poco chiara. «Marketing» significa cosa esattamente? Quali strumenti rientrano, quali no? La pagina di dettaglio deve chiarirlo.

5. Documentazione del consenso

Ogni consenso deve essere dimostrabile. Concretamente: log del consenso che registra per ogni clic utente cosa, quando, con quali categorie è stato scelto.

In pratica: il punto debole in molti siti svizzeri. Quando un utente fa una richiesta d'accesso e chiede il suo log del consenso, spesso segue silenzio radio — perché nessuno viene tenuto.

La prassi dell'autorità dal 2024

L'IFPDT ha controllato sensibilmente più attivamente negli ultimi 18 mesi. Procedura tipica:

1. Ricezione di un reclamo o selezione casuale da parte dell'autorità
2. Richiesta informale all'azienda con richiesta di parere
3. Raccomandazione di adattamento con termine appropriato (tipicamente 30-60 giorni)
4. In caso di mancata implementazione: raccomandazione formale con pubblicazione
5. In caso di ulteriore mancata implementazione: reclamo al Tribunale amministrativo federale

In pratica, la maggior parte dei casi si conclude allo stadio 2 — un adattamento informale basta. Lo stadio 3 diventa pubblico, lo stadio 4 è raro.

Cosa potrebbe portare la V2 (annunciata 2026)

L'IFPDT ha annunciato una V2 della guida. Focus attesi:

• Tracking legato all'IA — profilazione comportamentale tramite modelli ML
• Tracking lato server — bypass che impostano cookie first-party ma inviano dati a terzi
• Tracking di app mobili — interfaccia tra LPD e politiche di tracking app Apple/Google
• Estensioni dark pattern — nuove categorie di pattern UI ingannevoli

Chi implementa pulito oggi è preparato per la V2. Chi usa bypass dovrebbe aspettarsi nuovi requisiti.

Checklist pratica prima di un controllo a campione dell'IFPDT

Se l'IFPDT bussa, dovreste poter immediatamente mostrare i seguenti punti:

• Banner cookie con pulsanti accetta/rifiuta equivalenti
• Pagina di dettaglio con listaggio di tutti i cookie, selezione categoriale e individuale
• Log del consenso con consensi tracciabili
• Informativa privacy che corrisponde alla realtà cookie effettiva
• Processo di richiesta d'accesso con tempo di risposta documentato
• Esportazioni all'estero dichiarate con meccanismo
• Registro delle attività di trattamento (se richiesto)

Dove Aiara implementa la guida

Il banner di Aiara è costruito di default secondo l'approccio a strati. Accetta e rifiuta hanno la stessa dimensione e prominenza. La pagina di dettaglio elenca ogni cookie individualmente, con fornitore, finalità e durata di conservazione. Il log del consenso gira automaticamente in background — a una richiesta d'accesso vedete a colpo d'occhio quando l'utente ha fatto quale scelta. Non è magia, è l'applicazione di ciò che l'IFPDT raccomanda come «pratica sicura».