Il Garante per la Protezione dei Dati Personali ha intensificato i controlli sui cookie e i meccanismi di consenso. Le linee guida del 2021 (provvedimento n. 231) rimangono il riferimento per l'Italia, ma molti siti web italiani sono ancora non conformi. Ecco come mettervi in regola.
Le basi: classificazione dei cookie
Cookie tecnici (nessun consenso necessario)
I cookie strettamente necessari al funzionamento del sito non richiedono consenso:
- Cookie di sessione: gestione del login, carrello e-commerce
- Cookie di sicurezza: protezione CSRF, rilevamento bot
- Cookie di preferenza tecnica: lingua, tema, accessibilità
- Cookie di bilanciamento del carico: distribuzione del traffico
Cookie di profilazione (consenso obbligatorio)
Richiedono consenso esplicito, informato e preventivo:
- Cookie di analytics (Google Analytics, Matomo con IP non anonimizzato)
- Cookie pubblicitari (Google Ads, Meta Pixel, remarketing)
- Cookie di social media (pulsanti di condivisione con tracciamento)
- Cookie di terze parti con finalità di profilazione
Cookie analitici: il caso particolare
Il Garante italiano ha chiarito che i cookie analitici possono essere assimilati ai cookie tecnici solo se:
- L'IP è anonimizzato (ultimi 2 ottetti)
- I dati non sono incrociati con altre informazioni
- Le terze parti non li utilizzano per profilazione propria
- È fornita un'informativa chiara
Google Analytics 4 con IP anonimizzato e senza condivisione dati con Google rientra in questa categoria — ma la configurazione deve essere corretta.
Il banner dei cookie secondo il Garante
Requisiti obbligatori del primo livello
Il banner iniziale deve contenere:
- Avviso chiaro che il sito utilizza cookie di profilazione
- Link all'informativa completa (secondo livello)
- Pulsante "Accetta" per acconsentire a tutti i cookie
- Pulsante "Rifiuta" o "Solo necessari" — stessa evidenza grafica dell'Accetta
- Link alla gestione delle preferenze per scelta granulare
Cosa è VIETATO
| Pratica | Violazione | |---------|------------| | Cookie wall ("accetta o vattene") | ❌ Vietato dal Garante | | Rifiuto nascosto o meno visibile | ❌ Il rifiuto deve essere equivalente all'accettazione | | Scroll = consenso | ❌ Non costituisce consenso valido | | Pre-selezionare i cookie non necessari | ❌ Consenso deve essere azione positiva | | Richiedere il consenso a ogni visita | ❌ Conservare la scelta per 6 mesi minimo | | Installare cookie prima del consenso | ❌ Nessun cookie di profilazione senza consenso |
Template di banner conforme
<!-- Primo livello -->
<div class="cookie-banner">
<p>
Questo sito utilizza cookie tecnici necessari al funzionamento
e cookie di profilazione per personalizzare la tua esperienza.
<a href="/privacy/cookie-policy">Informativa completa</a>
</p>
<div class="cookie-actions">
<button class="primary">Accetta tutti</button>
<button class="primary">Rifiuta non necessari</button>
<button class="secondary">Gestisci preferenze</button>
</div>
</div>
L'informativa estesa (secondo livello)
L'informativa cookie completa deve includere:
Contenuto obbligatorio
- Titolare del trattamento: ragione sociale, sede, contatti
- DPO: se nominato, dati di contatto
- Elenco cookie: nome, finalità, durata, prima parte o terza parte
- Finalità: per ogni categoria di cookie
- Base giuridica: consenso (art. 6.1.a GDPR) o legittimo interesse (cookie tecnici)
- Destinatari: chi riceve i dati (terze parti, fornitori analytics)
- Trasferimento extra-UE: se i dati escono dallo Spazio Economico Europeo
- Diritti dell'interessato: accesso, rettifica, cancellazione, revoca consenso
- Come revocare il consenso: istruzioni chiare e accessibili
Tabella cookie di esempio
| Nome | Fornitore | Finalità | Durata | Tipo | |------|-----------|----------|--------|------| | _session | Proprio | Sessione utente | Sessione | Tecnico | | _csrf | Proprio | Sicurezza | Sessione | Tecnico | | _ga | Google | Analytics | 2 anni | Analitico | | _fbp | Meta | Pubblicità | 3 mesi | Profilazione |
Implementazione tecnica
Blocco preventivo dei cookie
Nessun cookie di profilazione deve essere installato prima del consenso. Implementate il blocco preventivo:
// Caricamento condizionale degli script
function loadAnalytics() {
if (hasConsent('analytics')) {
// Caricare Google Analytics solo dopo il consenso
const script = document.createElement('script')
script.src = 'https://www.googletagmanager.com/gtag/js?id=GA_ID'
document.head.appendChild(script)
}
}
// Caricare solo dopo verifica del consenso
document.addEventListener('DOMContentLoaded', loadAnalytics)
Gestione del consenso
Il consenso deve essere:
- Registrato con timestamp e dettaglio delle scelte
- Verificabile dall'autorità in caso di controllo
- Revocabile in qualsiasi momento con la stessa facilità
- Rinnovato dopo massimo 6 mesi dalla prima scelta
Header di sicurezza per i cookie
Set-Cookie: session=abc123; Secure; HttpOnly; SameSite=Strict; Path=/
- Secure: solo HTTPS
- HttpOnly: non accessibile via JavaScript
- SameSite=Strict: protezione CSRF
Sanzioni del Garante Privacy
Il Garante italiano ha emesso sanzioni significative per violazioni sulla gestione dei cookie:
| Importo indicativo | Violazione | |--------------------|------------| | 10.000 - 50.000€ | Banner non conforme (PMI) | | 50.000 - 200.000€ | Cookie installati senza consenso | | 200.000 - 1M€ | Profilazione massiva senza consenso | | > 1M€ | Violazioni sistematiche (grandi aziende) |
Checklist di conformità cookie
- [ ] Banner con pulsanti "Accetta" e "Rifiuta" di pari evidenza
- [ ] Nessun cookie di profilazione installato prima del consenso
- [ ] Informativa cookie completa e aggiornata
- [ ] Gestione granulare delle preferenze disponibile
- [ ] Consenso registrato con timestamp
- [ ] Possibilità di revocare il consenso facilmente
- [ ] Cookie tecnici documentati nell'informativa
- [ ] Trasferimenti extra-UE dichiarati (Google Analytics → USA)
- [ ] Scelta dell'utente conservata per 6 mesi
- [ ] Nessun cookie wall
Conclusione
La conformità cookie non è un tema secondario — è spesso il primo punto di contatto tra il vostro sito e il GDPR. Un banner ben implementato protegge la vostra azienda dalle sanzioni del Garante e costruisce fiducia con i vostri utenti.
Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.