Due recenti provvedimenti, uno del Garante per la privacy italiano, l’altro del Garante austriaco per la protezione dei dati personali hanno riacceso l’attenzione su un tema spesso sottovalutato: la gestione del consenso ai cookie.
In Italia, se si confrontano le Linee guida del Garante del 2021 con la realtà di molti siti web, anche della pubblica amministrazione, emerge un dato preoccupante: il banner dei cookie è spesso non conforme. Non che nel resto d’Europa vada meglio: CookieMetrix, uno strumento di analisi online che permette di verificare in tempo reale se un sito è conforme alla normativa europea ha condotto diversi test su campioni di siti italiani ed europei. Ebbene, questi test hanno dimostrato che una percentuale significativa (stimata tra il 60% e l’80%) dei siti analizzati presenta almeno una criticità, come mancanza di opzione per rifiutare i cookie, cookie installati prima del consenso e informative non trasparenti o assenti
In questo articolo ripercorriamo le regole fondamentali, analizziamo due casi emblematici e proponiamo una checklist utile per verificare la compliance del proprio sito.
📌 Cookie Law e conformità: un quadro europeo da non sottovalutare
La cosiddetta Cookie Law non è una singola norma, ma un insieme di disposizioni europee e nazionali che regolano l’uso dei cookie e di altri strumenti di tracciamento. Le principali fonti normative includono:
- La Direttiva ePrivacy (2002/58/CE), modificata nel 2009.
- Il Regolamento Generale sulla Protezione dei Dati (GDPR) – Reg. UE 2016/679
E, per l’Italia:
- Il Codice Privacy italiano (D.lgs. 196/2003), aggiornato dal D.lgs. . 101/2018.
- Il Provvedimento del Garante del 10 giugno 2021, che ha definito le linee guida italiane sui cookie.
A livello europeo, il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato documenti di indirizzo fondamentali, tra cui le Linee guida n. 5/2020 sul consenso, che chiariscono come quest’ultimo debba essere raccolto in modo libero, specifico e informato.
Anche altri Paesi hanno adottato linee guida simili. Giusto per fare qualche esempio:
- In Francia, la CNIL ha pubblicato regole dettagliate sull’uso dei cookie, con sanzioni già comminate a grandi piattaforme. La CNIL richiede che il consenso ai cookie sia libero, specifico e facilmente revocabile. I banner devono offrire un’opzione chiara per rifiutare i cookie, come un pulsante “Rifiuta tutto”. È vietato installare cookie non essenziali prima del consenso, e il consenso deve essere equilibrato, cioè facile sia da accettare che da negare
- In Germania, il BfDI ha recepito le indicazioni europee, con particolare attenzione alla trasparenza e alla granularità del consenso. Il BfDI stabilisce infatti che il consenso deve essere informato, volontario e revocabile in qualsiasi momento. I cookie banner devono permettere una scelta reale, con pulsanti equivalenti per accettare o rifiutare. Le cosiddette “cookie walls” sono ammesse solo se esiste una vera alternativa all’accesso gratuito, come un abbonamento
- In Austria, la DSB applica la sezione 165 del TKG 2021, che recepisce la Direttiva ePrivacy. I cookie tecnicamente non necessari possono essere installati solo previo consenso esplicito. Il banner deve essere chiaro e non deve installare cookie prima della scelta dell’utente. La DSB ha anche sanzionato il modello “Pay or Okay” per violazione del GDPR, ritenendo che non garantisca un consenso libero
Questa varietà di approcci conferma che la conformità al trattamento dei dati tramite cookie è una priorità condivisa a livello europeo, ma anche che le organizzazioni devono prestare attenzione alle specificità nazionali.
📌 Le Linee guida del Garante italiano del 2021: cosa prevedono
Per quanto riguarda l’Italia, come abbiamo detto, il Garante per la protezione dei dati personali ha pubblicato il 10 giugno 2021 le Linee guida sui cookie e altri strumenti di tracciamento, con l’obiettivo di garantire una raccolta del consenso realmente libera, informata e specifica. Queste linee si applicano a tutti i soggetti che utilizzano tecnologie di tracciamento, sia pubblici che privati.
I principali obblighi introdotti sono:
- Banner trasparente e non ingannevole, con opzioni equivalenti per accettare, rifiutare o personalizzare i cookie.
- Divieto di scrolling o navigazione come forma implicita di consenso.
- Obbligo di ripresentare il banner se l’utente non ha espresso una scelta.
- Informativa estesa facilmente accessibile, che specifichi finalità, categorie di cookie, destinatari e tempi di conservazione.
- Cookie tecnici installabili senza consenso, ma devono essere descritti chiaramente.
- Cookie di profilazione e analytics richiedono consenso esplicito, salvo quelli anonimizzati e aggregati.
Il consenso deve essere granulare, cioè l’utente deve poter scegliere quali categorie di cookie accettare. Inoltre, deve essere revocabile in qualsiasi momento, con meccanismi semplici.
Le sanzioni per la mancata conformità possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, come previsto dal GDPR. Il Garante ha chiarito che anche il solo mancato aggiornamento del banner può costituire violazione
⚖️ Due provvedimenti che fanno scuola
Come abbiamo accennato nell’introduzione, quest’estate sono stati applicati due provvedimenti che riguardano proprio l’utilizzo dei cookie. Questi casi dimostrano come la non conformità non sia più tollerata e possa comportare conseguenze economiche e reputazionali significative.
Il primo riguarda la società italiana Confalonieri S.r.l., sanzionata dal Garante Privacy con il provvedimento n. 327 del 4 giugno 2025. A seguito di accertamenti condotti dalla Guardia di Finanza, è emerso che il sito web dell’azienda presentava un banner cookie non conforme: non offriva una scelta chiara e bilanciata tra accettazione e rifiuto, non permetteva un consenso granulare e conteneva riferimenti normativi superati. Inoltre, l’informativa sulla privacy risultava obsoleta e priva di indicazioni sui destinatari dei dati. Per queste violazioni, il Garante ha comminato una sanzione amministrativa di 40.000 euro.
Il secondo caso arriva dall’Austria, dove il quotidiano DerStandard è stato oggetto di una decisione della DSB (Autorità austriaca per la protezione dei dati), confermata dal Tribunale Amministrativo Federale. Il giornale aveva adottato il controverso modello “Pay or Ok”, che imponeva agli utenti una scelta tra accettare il tracciamento pubblicitario o pagare un abbonamento mensile di €9,90. Secondo la DSB, questo meccanismo non garantiva un consenso libero e granulare, come richiesto dal GDPR, ma piuttosto una “scelta fittizia”. Il tribunale ha ritenuto il modello non conforme e ha respinto il ricorso del quotidiano, aprendo la strada a una possibile escalation del caso fino alla Corte di Giustizia dell’Unione Europea.
A seguito di questa vicenda, anche il Garante italiano ha avviato una consultazione pubblica per valutare la liceità del consenso raccolto tramite modelli simili, in particolare nel settore editoriale. L’obiettivo è chiarire se il “Pay or Ok” possa essere considerato compatibile con il principio di libertà del consenso previsto dal GDPR
🛡️ Navigare sicuri: consigli pratici per utenti e organizzazioni
Quello dei cookie è quindi un argomento da non sottovalutare, sia per chi gestisce i siti, sia per gli utenti.
Per questi ultimi ecco qualche consiglio per evitare di cedere inconsapevolmente i propri dati:
- Controlla il banner: deve offrire scelte chiare e non forzate.
- Leggi l’informativa cookie: verifica chi riceve i tuoi dati e per quali scopi.
- Usa browser con protezioni avanzate o estensioni anti-tracciamento.
- Non cliccare “Accetta tutto” senza sapere cosa stai accettando.
Per le organizzazioni, è invece fondamentale effettuare un audit del proprio sito e verificare la conformità del banner e dell’informativa pena, come abbiamo visto, sanzioni che incidono sul bilancio e la reputazione dell’organizzazione stessa
📣 Attenzione: la privacy non è un optional
Come avete potuto capire, la gestione corretta dei cookie non è solo un obbligo normativo, ma un segnale di rispetto verso utenti e clienti. Se sei un’organizzazione e vuoi verificare se il tuo sito è conforme, offro consulenze specializzate per aiutarti a metterti in regola. Visita il mio sito per scoprire tutti i servizi disponibili e contattami per una prima valutazione.