Cookie consent 2021: GDPR e Schrems II per siti PMI italiane

Il 10 giugno 2021 il Garante per la protezione dei dati personali ha pubblicato le nuove Linee Guida cookie e altri strumenti di tracciamento (Provvedimento n. 231/2021), destinate a entrare in vigore a inizio 2022 dopo un periodo transitorio di sei mesi. Per le PMI italiane il messaggio e’ netto: il banner “OK” sbrigativo, lo scroll come consenso implicito, il banner senza pulsante “Rifiuta tutti” non sono piu’ tollerati. Il regime sanzionatorio nel frattempo si e’ fatto pesante: nel novembre 2020 il Garante ha colpito Vodafone Italia con €12,2 milioni, nel 2021 sono arrivate sanzioni a sei zeri come Foodinho €2,6 milioni (luglio 2021) e numerosi provvedimenti per cookie wall e telemarketing.

Sul piano internazionale la sentenza Schrems II della Corte di Giustizia UE (C-311/18, luglio 2020) ha invalidato il Privacy Shield e ha costretto chiunque trasferisca dati personali verso gli Stati Uniti, dai principali analytics ai CDN, ai CRM in cloud, a ripensare la propria base giuridica per il trasferimento. Le nuove Standard Contractual Clauses approvate il 4 giugno 2021 e le EDPB Recommendations 01/2020 on supplementary measures (versione finale giugno 2021) impongono di documentare un Transfer Impact Assessment caso per caso. Nei prossimi mesi le autorita’ europee inizieranno a esprimersi sui singoli strumenti, Google Analytics in testa.

Questa guida e’ pensata per il marketing manager che gestisce campagne e ad tech, il DPO che deve mappare i trattamenti e il webmaster che deve implementare il banner sul sito. Mettiamo in fila norme, strumenti e una roadmap di adeguamento in 60 giorni.

Cookie e altri tracker: cosa stiamo realmente regolando

Il termine “cookie consent” e’ una semplificazione comoda ma ingannevole. La ePrivacy Directive 2002/58/CE (modificata dalla 2009/136/CE), recepita in Italia nell’art. 122 del Codice Privacy, richiede consenso per qualunque “archiviazione o accesso a informazioni gia’ archiviate” sul terminale dell’utente. Quindi non solo cookie HTTP, ma anche local storage, session storage, IndexedDB, service worker e cache. Il GDPR (Reg. UE 2016/679) entra poi in scena quando da quella lettura/scrittura derivano dati personali.

Il perimetro reale dei “tracker” che il Garante e l’EDPB sorvegliano comprende:

• Cookie 1st-party: scritti dal dominio visitato. Tipicamente sessione, preferenze, carrello, analytics self-hosted.
• Cookie 3rd-party: scritti da domini diversi (Facebook Pixel, DoubleClick, LinkedIn Insight Tag, hotjar.com). Sono il bersaglio principale del Garante e dei browser: Safari ITP li blocca da anni, Firefox ETP li blocca per default, Chrome ha annunciato la dismissione (rinviata al 2023).
• Pixel di tracciamento e web beacon: immagini 1×1 o richieste GET verso piattaforme pubblicitarie. Pixel Meta, LinkedIn, TikTok, Pinterest, Twitter, Microsoft Advertising UET.
• Browser fingerprinting: combinazione di User-Agent, fonts, canvas, WebGL, audio context. L’EDPB lo equipara al cookie ai fini del consenso (Working Party 29 – WP224).
• Identificatori avanzati: Google Topics e FLoC (in test 2021), ID5, LiveRamp ATS, UID 2.0 di The Trade Desk. Soluzioni “cookieless” che pero’ restano trattamento di dato personale.
• Mobile e SDK: ID pubblicitari come IDFA (post ATT di Apple iOS 14.5, aprile 2021) e Google AAID. La logica del consenso si applica anche qui.

Tradotto: chi pensa di risolvere “il problema cookie” solo con un banner sul sito, ignorando pixel CRM, automation marketing e mobile, sta affrontando una frazione del rischio.

Le nuove Linee Guida del Garante: cosa cambia da gennaio 2022

Il Provvedimento del 10 giugno 2021 supera quello storico del maggio 2014 e si allinea alle EDPB Guidelines 05/2020 on consent sotto GDPR. I punti che vi toccheranno sicuramente:

1. Scroll non vale come consenso. Il Garante e’ stato netto: il proseguire la navigazione, lo scroll della pagina e qualunque “azione presunta” sono nulli come manifestazione di consenso. Serve un atto attivo, informato, granulare.
2. “X” chiudi banner non equivale a rifiuto. Il banner deve presentare il pulsante “Accetta tutti” e il pulsante “Rifiuta tutti” allo stesso livello grafico. Il rifiuto deve essere semplice come l’accettazione, principio gia’ presente nell’art. 7(3) GDPR.
3. Granularita’ per categoria. L’utente deve poter accettare solo analytics, solo marketing, solo personalizzazione, in modo separato. Il Garante chiede almeno due livelli: prima schermata con scelta complessiva, seconda schermata con preferenze granulari.
4. No re-proposizione martellante. Se l’utente ha rifiutato, il banner non puo’ essere riproposto a ogni visita. Indicazione: minimo 6 mesi prima di richiedere nuovamente il consenso, fatta salva modifica sostanziale del trattamento.
5. Cookie wall illegittimi. Il Garante in linea con l’EDPB rifiuta la prassi del “consenti o non navighi”. Eccezioni possibili solo se l’utente ha un’alternativa reale e gratuita (es. testata che offre versione paywall a pagamento + versione con tracking).
6. Informativa stratificata. Banner breve + link a informativa estesa con elenco completo dei cookie, finalita’, tempi di conservazione, terze parti, base giuridica per ciascuna categoria.

Il periodo transitorio e’ di sei mesi: chi al gennaio 2022 non si sara’ adeguato sara’ formalmente fuori norma e potenzialmente attaccabile con reclami al Garante.

Categorie di cookie: cosa serve consenso e cosa no

La classificazione operativa che il Garante riconosce dal Provvedimento 229/2014 e ribadisce nel 2021:

• Cookie tecnici (no consenso). Strettamente necessari al funzionamento del servizio richiesto dall’utente. Sessione PHPSESSID, cookie del carrello, preferenza lingua, autenticazione, CSRF token, cookie del banner cookie stesso, cookie del bilanciatore di carico. Vanno comunque dichiarati nell’informativa, ma non richiedono opt-in.
• Cookie analytics (caso per caso). Esenti dal consenso solo se “assimilabili a cookie tecnici”: tipicamente analytics 1st-party self-hosted (Matomo on-premise, Plausible self-hosted), IP anonimizzato prima dell’arrivo al provider, niente incrocio con altre fonti, niente trasferimento extra-UE. Google Analytics standard non rientra in questa categoria nella visione del Garante e dell’EDPB.
• Cookie di profilazione e marketing (consenso obbligatorio). Pixel Meta, Google Ads remarketing, LinkedIn Insight Tag, TikTok Pixel, banner pubblicitari, raccomandazioni personalizzate, A/B test che identificano l’utente. Sempre opt-in attivo, granulare, revocabile.

Per gli e-commerce italiani il punto sensibile e’ tipicamente la raccomandazione prodotti: se basata su sessione anonima e’ tecnica; se basata su cookie persistente che traccia behavior cross-sessione, scatta il consenso.

ePrivacy Directive e GDPR: come si parlano davvero

Una confusione ricorrente nei team marketing: si pensa che il GDPR abbia “assorbito” la ePrivacy. Non e’ cosi’. La ePrivacy Directive 2002/58/CE resta in vigore (in attesa del Regolamento ePrivacy bloccato in Consiglio dal 2017) e si applica come lex specialis rispetto al GDPR per cio’ che riguarda le comunicazioni elettroniche e i tracker.

In pratica:

• Il consenso al cookie e alle altre forme di accesso al terminale dell’utente si fonda sull’art. 5(3) ePrivacy (recepito nell’art. 122 Codice Privacy italiano).
• I requisiti del consenso (libero, specifico, informato, inequivocabile, revocabile, dimostrabile) sono quelli del GDPR art. 4(11) e 7.
• L’EDPB Opinion 5/2019 chiarisce che il consenso ePrivacy deve avere gli stessi standard di qualita’ del consenso GDPR.
• Il trattamento dei dati personali raccolti tramite cookie e’ soggetto al GDPR (basi giuridiche, diritti dell’interessato, sicurezza, trasferimenti).

Per un sito italiano questo significa che ogni cookie con consenso richiede una doppia base giuridica: art. 122 Codice Privacy + art. 6 GDPR (consenso, lett. a).

Schrems II: trasferimenti USA, il nodo non risolto

La sentenza CJEU C-311/18 del 16 luglio 2020 ha invalidato il Privacy Shield UE-USA con effetto immediato. Le motivazioni sono di sistema: FISA 702 e Executive Order 12333 permettono alle agenzie di intelligence USA di accedere ai dati di cittadini europei senza un livello di tutela equivalente a quello GDPR e senza ricorso effettivo per gli interessati.

Cosa resta come strumenti di trasferimento per i dati verso paesi terzi senza decisione di adeguatezza:

• Standard Contractual Clauses (SCC) nuove, EU Implementing Decision 2021/914 del 4 giugno 2021. Strutturate in 4 moduli (Controller-Controller, Controller-Processor, Processor-Processor, Processor-Controller). Vanno integrate con il Transfer Impact Assessment.
• Binding Corporate Rules (BCR) per gruppi multinazionali, approvate dall’autorita’ di controllo.
• Deroghe art. 49 GDPR: consenso esplicito, esecuzione contratto, motivi di interesse pubblico. Vanno usate con estrema parsimonia, secondo le linee guida EDPB sono per casi episodici e non sistematici.

Il vero passaggio operativo e’ il Transfer Impact Assessment. Le EDPB Recommendations 01/2020 on supplementary measures, adottate in versione finale il 18 giugno 2021, indicano un percorso in sei step:

1. Mappa i trasferimenti (chi, dove, quali dati, quali finalita’).
2. Identifica lo strumento di trasferimento (SCC, BCR, decisione di adeguatezza).
3. Valuta l’efficacia dello strumento alla luce della normativa del paese di destinazione.
4. Identifica e adotta misure supplementari tecniche (cifratura end-to-end con chiavi in UE, pseudonimizzazione, anonimizzazione), contrattuali (audit, notifiche di richieste di accesso), organizzative (policy interne, training).
5. Compi gli adempimenti formali (firma SCC, aggiorna informativa).
6. Rivaluta periodicamente.

Per i fornitori cloud USA il TIA tipico mostra che SCC + misure contrattuali non bastano. Servono misure tecniche: cifratura con BYOK/HYOK, EU data residency con accordi specifici, anonimizzazione del dato prima dell’invio.

Google Analytics nel 2021: il dilemma che esplodera’ nel 2022

A novembre 2021 Google Analytics Universal e’ lo standard de facto sul mercato italiano. Tre dati che cambiano la prospettiva nei prossimi mesi:

• None of Your Business (NOYB), l’organizzazione di Max Schrems, ha presentato a inizio 2021 101 reclami contro l’uso di Google Analytics e Facebook Connect in altrettanti siti europei, eccependo violazione di Schrems II.
• Le autorita’ garanti europee si sono coordinate in una EDPB Taskforce per esaminare i reclami. Le prime decisioni sono attese a inizio 2022.
• Google ha annunciato l’EU Data Boundary per servizi cloud, ma per Analytics il dato e’ comunque processato da Google LLC entita’ USA, con possibile accesso ex FISA 702.

L’indicazione prudenziale che gia’ nel 2021 alcuni DPO italiani stanno dando: limitare GA agli IP anonimizzati, disattivare Google Signals, evitare User-ID, valutare alternative europee (Matomo, Plausible, Fathom, SimpleAnalytics), prepararsi a una pronuncia del Garante. Il rischio reputazionale, oltre che sanzionatorio, sta crescendo.

Consent Management Platform: lo scenario tool 2021

Il mercato dei CMP (Consent Management Platform) nel 2021 e’ maturo. Le piattaforme principali per il contesto italiano:

• OneTrust. Leader enterprise, supporto multi-giurisdizione, scansione automatica del sito, integrazione IAB TCF v2.0, vendor list configurabile. Costo da medio a elevato. Indicato per gruppi internazionali e siti complessi.
• Cookiebot (Cybot, Danimarca). Scansione mensile dei cookie del sito, generazione automatica della cookie declaration in 47 lingue, integrazione GTM, prezzo per fasce di pageview. Compliance EU-friendly per definizione.
• Iubenda (Italia). Soluzione italiana piu’ diffusa nelle PMI: cookie banner + informativa + consenso GDPR + termini in un’unica suite. Buon supporto al Provvedimento Garante 2021.
• Cookiehub. Alternativa lean, focalizzata sui requisiti UE, prezzo competitivo per piccoli e medi siti.
• TrustArc (ex TRUSTe). Suite di compliance privacy enterprise con consent management e gestione richieste interessati.
• Quantcast Choice. CMP gratuita IAB TCF v2.0 storica, ora a pagamento per funzionalita’ avanzate.
• Didomi (Francia). CMP molto utilizzata nel mondo media e ad tech, fortemente IAB TCF v2.0 oriented.
• Usercentrics (Germania). CMP enterprise con UI tedesca-pulita, vendor list ricchissima, prezzo medio-alto.
• Termly. Soluzione cloud user-friendly per piccoli siti e blog.
• Complianz (WordPress). Plugin specifico WordPress, freemium, ottimo per blog e siti vetrina. In Italia molto adottato nelle PMI con WordPress.

Criteri di scelta nel 2021: supporto al Provvedimento Garante 10 giugno 2021, compatibilita’ con GTM consent mode v1, gestione granulare per categoria, vendor list aggiornata, log del consenso per tre anni, costo proporzionato al traffico.

IAB TCF v2.0: l’ecosistema pubblicitario in standard

Lo Transparency and Consent Framework v2.0, rilasciato da IAB Europe nell’agosto 2020, e’ lo standard che permette ai siti editori di passare il consenso agli ad tech downstream (Google, Meta, AppNexus, Index Exchange, ecc.). Punti chiave:

• Cookie euconsent-v2 contiene una stringa codificata con le scelte dell’utente per ciascun “purpose” e “vendor”.
• 10 Purposes standard (storage, personalised ads, personalised content, ad measurement, ecc.) + Special Purposes (security, technical delivery).
• Vendor list globale mantenuta da IAB con oltre 800 ad tech registrati.
• Legitimate Interest come alternativa al consenso per alcuni purpose, con possibilita’ di opt-out da parte dell’utente.

Limitazione importante: l’Autorita’ belga (APD) nel 2021 ha aperto un procedimento contro IAB Europe per ritenere il TCF stesso non conforme al GDPR. La decisione e’ attesa a inizio 2022. Chi adotta TCF nel 2021 deve seguire il dossier perche’ potrebbe richiedere revisione.

Implementazione tecnica: GTM consent mode e server-side

Lato sviluppo, il quadro 2021 ruota intorno a due novita’ Google:

• GTM Consent Mode v1 (settembre 2020). Permette ai tag Google (Analytics, Ads, Floodlight) di adattare il proprio comportamento in base al consenso. Senza consenso il tag invia ping anonimi senza cookie, con consenso invia hit completi. Logica basata su due parametri: ad_storage e analytics_storage. Tutti i CMP enterprise hanno integrazione nativa.
• Server-side GTM (general availability aprile 2021). Sposta il container GTM da browser a server cloud. Vantaggi: meno script lato client, maggior controllo, possibilita’ di filtrare/anonimizzare il dato prima dell’invio a destinazioni terze. Limite: il server cloud costa (Google Cloud Run) e richiede gestione.

Pattern di riferimento 2021 per un e-commerce italiano:

1. CMP (Cookiebot o Iubenda) sul front-end, integrazione nativa con GTM consent mode.
2. Tutti i tag Google in GTM con trigger condizionato a analytics_storage=granted per analytics e ad_storage=granted per marketing.
3. Pixel non-Google (Meta, LinkedIn, TikTok) condizionati al consenso marketing tramite variabili GTM.
4. Server-side GTM con anonimizzazione IP e proxy del dominio analytics (mitigazione ITP/blocker), valutando il TIA Schrems II.
5. Cookie scanner mensile per scoprire nuovi cookie introdotti da terze parti.

Cookie wall, dark pattern, fingerprinting: gli errori comuni

Il Garante negli ultimi diciotto mesi ha ricevuto centinaia di reclami su pratiche poco ortodosse. Le piu’ frequenti che troverete da sistemare:

• Cookie wall stile paywall. “Accetta tutti i cookie o non puoi navigare”. Illegittimo se non c’e’ una vera alternativa.
• Banner senza pulsante rifiuta. Solo “Accetta” e “Personalizza” con dieci tap fra checkbox. Il pulsante “Rifiuta tutti” deve essere visibile al primo livello.
• Pre-flagging dei consensi. Checkbox gia’ spuntati per default sono vietati (CJEU Planet49 del 1 ottobre 2019).
• Cookie scritti prima del consenso. Errore comune con tag manager attivati al pageview. Vanno bloccati finche’ l’utente non ha scelto.
• Fingerprinting nascosto. Librerie come FingerprintJS Pro o analytics che usano canvas/WebGL senza dichiarazione nell’informativa.
• Trasferimenti USA non dichiarati. Informativa che parla genericamente di “fornitori in UE” mentre il GA, il CRM HubSpot, lo Zendesk e il Mailchimp processano dati in USA.
• Banner riproposto a ogni visita. Stress sull’utente, rischio di consenso “forzato dal fastidio”.
• Mancanza di prova del consenso. Il GDPR richiede di poter dimostrare il consenso (art. 7(1)). Servono log immutabili per almeno tre anni.

Caso reale: e-commerce italiano 50M€, banner conforme e ottimizzato

Scenario realistico maturato nel 2021 con un cliente del settore fashion che fattura 50 milioni di euro l’anno sul canale online. Punto di partenza: banner banner-tipo del 2018 con pulsante “OK” e scroll come accettazione implicita. Tasso di consenso analytics misurato sul vecchio banner (dato gonfiato dalla logica “scroll = consenso”): 92%.

Intervento in tre fasi nel terzo trimestre 2021:

1. Adeguamento normativo. Sostituito banner con Cookiebot Enterprise. Due livelli: prima schermata con Accetta tutti / Rifiuta tutti / Personalizza allo stesso livello grafico. Cookie scanner abilitato, vendor list aggiornata. Riscritta l’informativa stratificata con elenco cookie e trasferimenti USA esplicitati.
2. GTM consent mode. Tutti i tag Google passati a consent mode v1. Pixel Meta, LinkedIn e TikTok condizionati al consenso marketing tramite trigger. Cookie scritti solo dopo scelta esplicita.
3. Ottimizzazione UX. A/B test su tre varianti del banner: (a) testo neutro, (b) testo che spiega il beneficio degli analytics in chiave “miglioriamo il sito per te”, (c) testo che spiega il beneficio del marketing in chiave “ti mostriamo prodotti rilevanti”. Tutti rispettosi dei requisiti Garante.

Risultato dopo 60 giorni:

• Consenso analytics: dal 32% post-conformita’ al 68% con il banner ottimizzato variante (b). Il 32% era il dato reale del consenso espresso, depurato dallo scroll fittizio.
• Consenso marketing: dal 18% al 41%. Cresciuto grazie al testo che spiega il beneficio della personalizzazione.
• Bounce rate stabile, nessun effetto negativo del nuovo banner.
• Rischio sanzionatorio: passato da “molto elevato” (banner antecedente alle nuove Linee Guida) a “basso”.

Lezione operativa: la conformita’ non e’ nemica della performance, basta non confondere “consenso implicito” con “consenso vero”. Il 32% iniziale era la base reale; l’ottimizzazione e’ lecita e funziona.

Roadmap di adeguamento cookie consent in 60 giorni

Una sequenza concreta per chi parte ora e deve essere in regola a gennaio 2022:

FAQ — Cookie consent, GDPR e Schrems II