Requisiti per i livelli di consenso (LFD Bassa Sassonia)

Il Commissario per la protezione dei dati dello Stato della Bassa Sassonia ha pubblicato nuove linee guida e istruzioni su come dovrebbe apparire un livello di consenso conforme. Le informazioni più importanti sono qui riassunte.

Molti strumenti per il consenso non conformi

In primo luogo, l’LDF si rende conto che molti strumenti GDPR non sono conformi al GDPR, dopo tutto. L’uso di uno strumento di gestione del consenso di solito consente al sito Web di diventare conforme, ma spetta all’operatore del sito Web configurare correttamente lo strumento.

Suggerimento pratico: le impostazioni predefinite per il consenso manager sono già impostate sui valori consigliati. Se non sei sicuro di come configurare il nostro strumento, utilizza semplicemente le impostazioni predefinite.

Nessun trattamento dei dati prima del consenso

L’LDF chiarisce inoltre ancora una volta che il trattamento dei dati, ovvero l’impostazione di cookie e il richiamo di fornitori terzi, può avvenire solo previo consenso.

Suggerimento pratico: utilizza il nostro test di conformità del crawler dei cookie per determinare che nessun cookie viene impostato senza il consenso.

Informazioni nel livello di consenso

Inoltre, l’LDF chiarisce ancora una volta quali informazioni appartengono a un livello di consenso al fine di ottenere il consenso conforme. Questi sono in particolare:

  • identità del responsabile,
  • finalità del trattamento,
  • i dati trattati,
  • l’intenzione di una decisione esclusivamente automatizzata (art. 22 cpv. 2 lett. c) e
  • l’intenzione di trasferire i dati a paesi terzi (art. 49 cpv. 1 frase 1 lett. a)

Viene inoltre chiarito che le finalità devono essere specifiche. Espressioni come “migliorare l’esperienza di navigazione” o “marketing, analisi e personalizzazione” non sono sufficienti.

Lo stesso vale per l’indicazione dei partner: non è sufficiente dire che i “partner” tratteranno i dati – tutti i partner devono anche essere nominati individualmente.

Suggerimento pratico: il gestore del consenso fornisce già la maggior parte dei dati richiesti, ma dovresti verificare se le finalità sono nominate in modo sufficientemente specifico per le tue aree di applicazione.

Consenso inequivocabile e gomitate

Infine, l’LFD chiarisce che un pulsante deve essere chiaramente comprensibile ed etichettato in modo chiaro. Un pulsante “Ok” non è sufficiente qui e “Accetta tutto” può anche essere troppo poco chiaro (se il testo non descrive adeguatamente ciò che è accettato).

Allo stesso tempo, la LFD chiarisce che i cosiddetti “modelli PUR” (accettare pubblicità o sottoscrivere un abbonamento) possono essere conformi.

L’LFD approfondisce anche il fatto che i cosiddetti nudge o modelli scuri non sono consentiti. Il punto è che l’utente è spinto consciamente o inconsciamente a prendere una decisione e quindi la “libera scelta” è minata. Questo è già il caso se, ad esempio, il pulsante di rifiuto è progettato in modo diverso (meno appariscente) o il rifiuto è possibile solo facendo clic su “Impostazioni” o simili.

Consiglio pratico: usa sempre due pulsanti (accetta e rifiuta) e formulali in modo chiaro.

Il rapporto completo della LFD Bassa Sassonia può essere trovato qui .