Le violazioni della protezione dei dati possono essere costose. Ma non tutto è chiaramente regolato. I cookie, per esempio, possono diventare un problema. Non ha sempre senso rifiutarli del tutto, né per il fornitore né per l'utente. L'avvocato Linda Krüpe spiega cosa deve essere considerato qui.
Per il momento, l'eterna disputa sui cookie opt-in o opt-out è finita - la Corte federale di giustizia ha stabilito che gli operatori dei siti web possono impostare e leggere i cookie sul dispositivo finale dell'utente solo se gli utenti sono espressamente d'accordo. I banner dei cookie di diverso design che si incontrano ogni giorno rivelano che non tutte le domande sono state chiarite da un pezzo.
Per quanto riguarda la questione se il gestore di un sito web richiede il consenso dell'utente per l'impostazione e la lettura dei cookie, devono essere considerati tre fattori in particolare: i cookie sono tecnicamente necessari? Per quanto tempo vengono conservati? Sono fissati dall'operatore stesso o da una terza parte? I cookie tecnicamente necessari sono quelli che sono assolutamente necessari per fornire un servizio espressamente richiesto dall'utente. Questi possono anche essere memorizzati senza il consenso dell'utente.
Questi includono, per esempio, i "cookie del carrello della spesa", che identificano l'utente al fine di fornire la funzione di carrello della spesa desiderata dal cliente, o i cookie di "autenticazione", che permettono all'utente di non dover effettuare ripetutamente il login. Se l'operatore vuole memorizzare i cookie per diverse sessioni del browser, di solito deve ottenere il consenso dell'utente per questo. Questo può essere fatto, per esempio, sotto forma di una casella di controllo - non pre-selezionata - che è completata da una nota come "Resta connesso (usa i cookie)" accanto al modulo di registrazione.
Anche i cookie di terze parti che non sono impostati dall'operatore stesso, ma per esempio dagli inserzionisti, è molto probabile che richiedano il consenso - poiché la pubblicità non è di solito il servizio esplicitamente richiesto dall'utente. In questo contesto, stanno emergendo metodi di tracciamento alternativi per la raccolta dei dati degli utenti senza consenso, al fine di continuare a progettare la pubblicità basata sugli interessi e personalizzata in un modo rispettoso della privacy. Questo è tanto più vero in quanto la protezione dei dati su internet sta diventando sempre più importante per molti utenti, in modo che i siti web avranno meno dati degli utenti disponibili per la pubblicità personalizzata in futuro. I fornitori di motori di ricerca stanno integrando tecnologie come il Federated Learning of Cohorts (FLoC-API) come compromesso tra protezione dei dati e personalizzazione. Questo permette di aggregare i dati dei singoli utenti in un gruppo mappato e di perdere l'individuo nella folla.
Protezione dei dati dall'inizio
Implementare i requisiti legali nella pratica è impegnativo - almeno se i fornitori di servizi vogliono essere al sicuro dal punto di vista legale e offrire ancora prodotti innovativi e attraenti. I gestori delle pagine dovrebbero quindi avere prima una visione d'insieme di quali cookie vengono impostati e per quale scopo, e per quanto tempo vengono conservati. Nel primo passo, vale la pena di "ripulire" secondo il motto "Quello che non ti serve: buttalo via! Soprattutto in aree in cui la situazione legale non è ancora chiara, come i cookie permanenti. Questo risparmia un rischio residuo evitabile e possibilmente multe elevate.
Per conciliare la protezione dei dati e l'innovazione, è essenziale rendere la protezione dei dati attraverso il design della tecnologia (Privacy by Design) e le impostazioni predefinite favorevoli alla protezione dei dati (Privacy by Default) lo standard e concentrarsi sulla fiducia dell'utente. Per raggiungere questo obiettivo, ha senso che le diverse aree lavorino a stretto contatto in modo interdisciplinare anche nella prima fase di sviluppo dei prodotti: Per esempio, nella progettazione dei banner dei cookie, gli avvocati definiscono il quadro legale, i tecnici assicurano, tra le altre cose, che nessun cookie venga caricato senza un consenso preventivo, e i progettisti dell'esperienza utente e dell'interfaccia utente assicurano che il look and feel del banner sia visivamente comprensibile e attraente - per esempio, attraverso un'usabilità intuitiva da parte dell'utente.
In linea di principio, l'operatore del sito web deve permettere all'utente di comprendere facilmente le conseguenze del consenso che ha dato. L'informazione deve essere sufficientemente chiara e dettagliata per permettere all'utente di capire la finalità del trattamento e il funzionamento dei cookie utilizzati. Questo include anche quanto tempo i dati vengono memorizzati e se terze parti - per esempio aziende pubblicitarie - hanno accesso ai dati memorizzati. Attualmente, molti dei banner che gli utenti vedono non soddisfano questa richiesta di trasparenza.
L'utente è anche responsabile
Una spiegazione comprensibile dello scopo del trattamento e di come funzionano i cookies utilizzati soddisfa completamente il suo scopo solo quando gli utenti di internet dall'altra parte si formano un'opinione di ciò che intendono personalmente per autodeterminazione informativa e mettono questa comprensione in relazione con il significato economico dei dati. Alcuni saranno felici del comodo servizio quando l'app di navigazione mostra automaticamente il percorso più veloce sulla strada per il lavoro, o quando i banner pubblicitari mentre si naviga in internet sputano fuori offerte piatte che corrispondono ai criteri di ricerca individuali su un altro portale. Altri, d'altra parte, si sentiranno a disagio o preferiranno controllare da soli tali ricerche. Solo quando gli utenti hanno affrontato queste domande possono trattare consapevolmente i cookie banner e decidere a quale trattamento dei dati acconsentono.
Tightrope
Una gestione responsabile dei cookie è resa più difficile da entrambe le parti - operatori di siti web e utenti - dalla situazione giuridica confusa: la direttiva ePrivacy del 2002 ha stabilito una regola di opt-out a livello europeo, in modo che i cookie possano essere impostati finché l'utente non si oppone attivamente. Dal momento che la direttiva ePrivacy è stata modificata dalla cosiddetta "direttiva cookie" nel 2009, questo regolamento, che si applica ancora oggi, è stato cambiato al contrario: L'Opt-Out è diventato Opt-In, in modo che il consenso informato preventivo è ora richiesto per l'impostazione e la lettura dei cookie sul dispositivo terminale dell'utente.
Come tutte le direttive UE, questa non si applica direttamente, ma avrebbe dovuto essere recepita nella legge tedesca - ma questo non è successo. Invece, il "regolamento nazionale tedesco di opt-out" nella legge sui telemedia è rimasto invariato. L'incertezza giuridica in Germania è stata il risultato fino a quando la Corte federale di giustizia ha confermato il regolamento europeo l'anno scorso.
Modificare tecnicamente il meccanismo di opt-out è una sfida; ottenere il consenso dell'utente, tenendo conto degli alti requisiti legali, è un'altra. A questo proposito, i design dell'interfaccia utente come il "nudging", dove gli utenti sono portati a dare il consenso, e i "modelli oscuri", dove gli utenti sono fuorviati contro i loro interessi, stanno anche guadagnando importanza. Il design visivo dei cookie banner con l'obiettivo di ottenere il comportamento di clic desiderato dagli utenti deve rimanere all'interno del quadro giuridico. Qualunque sia il disegno concreto, deve essere favorevole alla protezione dei dati e trasparente.
Vedere la protezione dei dati come un'opportunità
Questo conflitto evidenzia l'importanza del diritto fondamentale all'autodeterminazione informativa da un lato e il valore dei dati per i processi economici dall'altro. Per sopravvivere in questo campo di tensione e continuare ad essere innovativi, le aziende devono ripensare e comprendere la protezione dei dati non solo come un fattore di costo ma anche come un fattore di crescita. Questo è almeno il caso se riescono ad ancorare l'importanza dei "prodotti di fiducia" nell'azienda e a portare questa comprensione al mondo esterno. Solo un'azienda che si è giustamente guadagnata la reputazione di gestire i dati personali dei suoi utenti in modo particolarmente responsabile conquisterà la loro fiducia. E solo gli utenti che si fidano dell'azienda le affideranno i loro dati o daranno il loro consenso. Un'azienda innovativa può usare i dati ottenuti in questo modo con profitto.
Altre questioni legali aperte
Il regolamento ePrivacy fornirà la chiarezza finale sulle questioni legali aperte riguardanti i cookie e il tracciamento su internet sotto forma di legge direttamente applicabile. In realtà, il regolamento sarebbe dovuto entrare in vigore insieme al GDPR. Tuttavia, il processo legislativo è rimasto bloccato per anni nel Consiglio dell'Unione europea. Ora la presidenza portoghese del Consiglio ha portato il regolamento ePrivacy al livello successivo: Il Consiglio dell'UE è stato in grado di concordare una posizione a febbraio di quest'anno, così che il testo finale del regolamento ePrivacy può ora essere negoziato nei colloqui a tre con la Commissione e il Parlamento europeo. Uno stretto scambio tra politica ed economia continuerà ad essere necessario per chiarire le questioni giuridiche aperte e per trovare un equilibrio tra l'enorme importanza dei dati per i processi economici e l'autodeterminazione informativa di ogni individuo.