WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

Cookie law in Italia 2021: guida pratica per siti aziendali

Tabella dei Contenuti

Laptop con icona privacy e sicurezza dati personali

Cookie law italia: nel 2021 chi gestisce un sito aziendale deve confrontarsi con un quadro normativo che si e’ fatto progressivamente piu’ rigoroso. Tra il provvedimento del Garante dell’8 maggio 2014, l’entrata in vigore del GDPR nel 2018 e l’arrivo imminente delle nuove linee guida del Garante (attese per la primavera/estate 2021), banner cookie e cookie policy non sono piu’ un dettaglio cosmetico ma un obbligo concreto, con sanzioni potenzialmente elevate.

Questa guida e’ pensata per webmaster, marketing manager, DPO e imprenditori PMI che devono mettere in regola il proprio sito web nel 2021. Vediamo insieme la normativa vigente, le tre categorie di cookie, come deve essere fatto un banner conforme, quali strumenti CMP (Consent Management Platform) usare e quali errori evitare.

1. Cookie law italiano: lo stato della normativa nel 2021

In Italia, la disciplina sui cookie poggia su tre pilastri normativi sovrapposti:

  • Direttiva ePrivacy 2002/58/CE (modificata dalla 2009/136/CE, c.d. “cookie law” europea), recepita nel Codice Privacy italiano (D.Lgs. 196/2003 art. 122);
  • Regolamento UE 2016/679 (GDPR), in vigore dal 25 maggio 2018, che disciplina il trattamento dei dati personali in senso lato;
  • Provvedimento del Garante Privacy dell’8 maggio 2014 (“Individuazione delle modalita’ semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”), tuttora il riferimento operativo nazionale a febbraio 2021.

Il provvedimento 2014, pubblicato in Gazzetta Ufficiale n. 126 del 3 giugno 2014, ha introdotto in Italia il modello del banner cookie a due livelli: una breve informativa al primo accesso (con link alla policy estesa) e l’informativa completa nella cookie policy. Per i cookie di profilazione e’ richiesto il consenso preventivo, mentre per i cookie tecnici basta l’informativa.

Il quadro, pero’, non e’ fermo: il Garante ha annunciato l’aggiornamento delle linee guida, atteso nei prossimi mesi del 2021. La consultazione pubblica si e’ chiusa a fine 2020 e ci si aspetta una versione definitiva entro l’estate. Le novita’ principali riguarderanno la fine dello “scroll come consenso”, la chiarezza dei pulsanti “Accetta/Rifiuta” e la durata del consenso.

Schermo computer con browser e banner cookie

2. Le 3 categorie di cookie (tecnici, analitici, profilazione)

La distinzione tra le tipologie di cookie e’ il punto cardine per capire quando serve il consenso e quando no. Il Garante italiano e l’EDPB (European Data Protection Board) classificano i cookie in tre macro-categorie:

Cookie tecnici

Servono a far funzionare il sito o a migliorarne l’esperienza in senso stretto. Includono:

  • Cookie di sessione (carrello e-commerce, login, lingua);
  • Cookie di navigazione (preferenze utente, layout);
  • Cookie funzionali (memorizzazione di scelte non commerciali).

Per questi cookie non e’ richiesto il consenso preventivo, ma e’ comunque obbligatoria l’informativa nella cookie policy.

Cookie analitici

Servono a raccogliere informazioni statistiche aggregate sull’uso del sito. La loro classificazione dipende da come sono configurati:

  • Analitici di prima parte anonimizzati (es. Google Analytics con IP anonymization, no condivisione dati): equiparati ai tecnici, niente consenso;
  • Analitici di terza parte o non anonimizzati: trattati come cookie di profilazione, richiedono consenso.

Cookie di profilazione

Tracciano il comportamento dell’utente per inviargli pubblicita’ mirata o costruire profili commerciali. Includono pixel di Facebook, Google Ads remarketing, cookie pubblicitari di reti terze. Per questi cookie il consenso esplicito e preventivo e’ obbligatorio: l’utente deve poter scegliere attivamente di accettarli, non possono essere installati prima del click.

3. Cookie tecnici: quando NON serve il consenso

I cookie tecnici sono l’unica categoria esentata dal consenso. Tuttavia, devono rispettare alcuni vincoli per restare in questa categoria:

  • Devono essere strettamente necessari alla fornitura del servizio richiesto dall’utente;
  • Non devono essere usati per finalita’ diverse da quelle dichiarate;
  • Non devono essere ceduti a terzi senza ulteriore base giuridica.

Esempi tipici di cookie tecnici legittimi:

  • PHPSESSID, JSESSIONID (sessione applicativa);
  • cookie del carrello WooCommerce/Magento;
  • cookie di autenticazione utente loggato;
  • cookie di lingua (wp_lang, pll_language);
  • cookie CSRF per la sicurezza dei form.

Anche se non serve il consenso, e’ fondamentale che la cookie policy elenchi questi cookie in modo trasparente, con nome, finalita’, durata e titolare. Il Garante in passato ha sanzionato siti che, pur usando solo cookie tecnici, non avevano una policy adeguata.

4. Cookie analitici: anonimizzazione e consenso

Gli strumenti di analytics sono un caso limite molto frequente. Google Analytics e’ il piu’ diffuso, ma anche Matomo, Hotjar e Mixpanel ricadono in questa categoria. Nel 2021 la posizione del Garante italiano (in linea con CNIL francese e ICO inglese) e’ la seguente:

Per evitare il consenso, i cookie analitici devono:

  1. essere installati direttamente dal sito (prima parte) o usare un sub-dominio collegato;
  2. avere l’IP anonimizzato (in Google Analytics: anonymizeIp: true);
  3. non condividere i dati con altre piattaforme del provider;
  4. servire solo a produrre statistiche aggregate.

Se anche solo uno di questi requisiti viene a mancare, gli analytics diventano cookie di profilazione e richiedono consenso esplicito. Nel febbraio 2021 e’ ancora possibile utilizzare GA in modalita’ “anonimizzata” senza banner di consenso, ma la situazione e’ destinata a cambiare con le nuove linee guida del Garante e con la decisione “Schrems II” della Corte di Giustizia UE (luglio 2020) che ha invalidato il Privacy Shield USA-UE.

Per i siti che gestiscono web app e siti web con tracciamento avanzato, la strada piu’ sicura e’ integrare un CMP che blocchi gli script analytics fino al consenso.

Lucchetto su laptop simbolo privacy e protezione dati

5. Cookie di profilazione: consenso esplicito obbligatorio

Per i cookie di profilazione, il GDPR e il provvedimento 2014 sono espliciti: serve un consenso che sia libero, specifico, informato e inequivocabile (art. 4 n. 11 GDPR). Tradotto operativamente, significa che:

  • il consenso non puo’ essere desunto dal silenzio o dalla pre-spunta delle caselle;
  • l’utente deve poter dare consensi separati per finalita’ diverse (es. marketing vs. profilazione vs. retargeting);
  • il consenso deve essere revocabile in qualsiasi momento, con la stessa facilita’ con cui e’ stato dato;
  • il rifiuto del consenso non puo’ impedire l’accesso al servizio (a meno che il servizio sia esso stesso il trattamento, es. una newsletter).

Il consenso ottenuto va tracciato e conservato: timestamp, IP, versione del banner, finalita’ selezionate. Le piattaforme CMP professionali (Iubenda, Cookiebot) generano automaticamente questo log, indispensabile per dimostrare la compliance in caso di ispezione.

6. Come deve essere fatto un cookie banner conforme nel 2021

A febbraio 2021 il banner conforme al provvedimento Garante 2014 (e in attesa delle nuove linee guida) deve avere queste caratteristiche:

  • Visibile al primo accesso, prima dell’installazione di qualsiasi cookie non tecnico;
  • Informativa breve chiara: identita’ del titolare, finalita’ dei cookie, link all’informativa estesa;
  • Pulsante di chiusura/accettazione esplicito;
  • Possibilita’ di gestire le preferenze per categoria di cookie (questa parte sara’ obbligatoria con le nuove linee guida);
  • Nessun cookie di profilazione installato prima del consenso.

Una pratica ancora diffusa nel febbraio 2021 e’ considerare lo scroll della pagina come consenso implicito. Funziona ancora oggi (febbraio 2021) sotto il provvedimento 2014 ma verra’ espressamente vietata dalle nuove linee guida 2021, in linea con la posizione gia’ espressa da CNIL e EDPB. Le aziende che vogliono evitare di rifare il banner due volte dovrebbero gia’ adeguarsi al modello “Accetta/Rifiuta/Personalizza”.

Esempio di struttura conforme al modello 2021:

┌────────────────────────────────────────────┐
│ Questo sito usa cookie tecnici, analitici  │
│ e di profilazione anche di terze parti...  │
│                                            │
│ [Accetta tutti] [Rifiuta] [Personalizza]   │
│                                            │
│ Leggi l'informativa estesa                 │
└────────────────────────────────────────────┘

7. Cookie policy: cosa scrivere e dove pubblicarla

La cookie policy e’ un documento separato dalla privacy policy generale (anche se spesso linkato). Deve contenere:

  • Identita’ del titolare e dei contatti (incluso DPO se nominato);
  • Elenco completo dei cookie usati, con: nome, tipologia, finalita’, durata, dominio, terza parte se applicabile;
  • Base giuridica del trattamento per ciascuna categoria;
  • Modalita’ di prestazione e revoca del consenso, incluso link al centro preferenze;
  • Diritti dell’interessato (art. 15-22 GDPR): accesso, rettifica, cancellazione, portabilita’, opposizione;
  • Modalita’ di reclamo al Garante.

La policy va pubblicata in una pagina dedicata, raggiungibile dal footer di ogni pagina e dal banner. Deve essere mantenuta aggiornata: ad ogni nuovo cookie installato (anche tramite plugin o pixel di terze parti) la policy va revisionata.

Professionista legge documento cookie policy su laptop

8. Strumenti CMP per gestire il consenso (Iubenda, Cookiebot)

Implementare manualmente un cookie banner conforme e’ tecnicamente possibile ma operativamente sconveniente: le terze parti cambiano spesso i loro tracker, le normative evolvono, l’audit periodico richiede tempo. Per questo nel 2021 la stragrande maggioranza dei siti aziendali italiani affida il consenso a una Consent Management Platform (CMP).

Le tre soluzioni piu’ diffuse in Italia a febbraio 2021:

Iubenda

Soluzione italiana, molto popolare per PMI. Genera cookie policy e privacy policy modulabili, banner conforme al Garante, integrazione semplice (script JS). Pricing: dalla versione free a circa 30-50 euro/mese per le funzioni avanzate. Punto di forza: localizzazione italiana e conformita’ specifica al provvedimento Garante 2014.

Cookiebot (Cybot)

Soluzione danese, riconosciuta a livello europeo. Effettua scansioni automatiche mensili del sito per individuare nuovi cookie, gestisce il blocco preventivo degli script di terze parti. Pricing: free fino a 100 sub-pages, poi da 9 a 50 euro/mese.

OneTrust

Soluzione enterprise, adatta a multinazionali e grandi aziende. Estremamente configurabile ma con curva di apprendimento ripida e costi elevati (centinaia di euro/mese).

Esistono anche soluzioni open source (Klaro, Cookie Consent by Osano) e plugin WordPress dedicati (Complianz, Real Cookie Banner). Per chi sviluppa gestionali personalizzati o portali clienti con login, l’integrazione di un CMP open source nel proprio stack puo’ essere la scelta piu’ flessibile.

9. Le linee guida del Garante 2021 in arrivo (anticipazione)

A novembre 2020 il Garante Privacy ha pubblicato in consultazione pubblica una bozza di nuove “Linee guida cookie e altri strumenti di tracciamento”. La consultazione si e’ chiusa a fine gennaio 2021 e il provvedimento definitivo e’ atteso nei prossimi mesi.

I cambiamenti principali anticipati:

  • Fine dello scroll come consenso: lo scorrimento della pagina non sara’ piu’ considerato consenso valido;
  • Pulsanti chiari e simmetrici: “Accetta” e “Rifiuta” devono avere pari evidenza grafica (no dark pattern con “Rifiuta” in piccolo);
  • Durata massima del banner: 6 mesi prima di richiedere nuovamente il consenso;
  • Cookie wall: vietato condizionare l’accesso al sito all’accettazione dei cookie di profilazione (salvo equivalente economico, c.d. “pay or consent”);
  • Granularita’ del consenso: l’utente deve poter accettare o rifiutare per categoria.

Suggerimento: non aspettare l’entrata in vigore. Adeguare gia’ oggi il sito al nuovo modello evita di dover rifare il lavoro tra qualche mese e mostra al Garante una postura di “privacy by design”.

10. Sanzioni per non conformita’

Le sanzioni applicabili in caso di violazione della normativa cookie derivano da due fonti:

  • Codice Privacy (per le violazioni puramente “cookie law”): da 6.000 a 36.000 euro;
  • GDPR (per violazioni del consenso o dei diritti dell’interessato): fino a 20 milioni di euro o 4% del fatturato globale.

Esempi di sanzioni recenti in Italia (2019-2020):

  • 2020 – Wind Tre: 17 milioni di euro per gestione consensi marketing;
  • 2020 – Iliad: 800.000 euro per profilazione senza consenso;
  • 2020 – Vodafone: 12,2 milioni di euro per telemarketing aggressivo.

Per le PMI le sanzioni sono solitamente meno eclatanti ma comunque dolorose: il Garante negli ultimi anni ha intensificato i controlli a campione su siti web di piccole-medie imprese, con multe da 5.000-50.000 euro per banner non conformi o cookie policy assenti.

Sanzioni a livello europeo: il quadro 2020

A livello europeo le multe per violazioni cookie e GDPR nel 2020 hanno superato complessivamente i 158 milioni di euro. Le piu’ significative:

  • Google – 50 milioni di euro (CNIL Francia, 2019, confermato in 2020): banner non trasparente, consenso non specifico;
  • H&M – 35,3 milioni di euro (Garante tedesco, 2020): profilazione dipendenti senza consenso;
  • British Airways – 22 milioni di sterline (ICO UK, 2020): violazione sicurezza dati con impatto su 400.000 clienti;
  • Marriott – 18,4 milioni di sterline (ICO UK, 2020): data breach con esposizione di dati personali.

Il messaggio per le PMI e’ chiaro: non si tratta solo del rischio di sanzione amministrativa, ma anche del danno reputazionale che una violazione comporta. Un cliente che scopre dalla stampa che il sito su cui ha lasciato i propri dati non era conforme difficilmente tornera’.

11. Errori frequenti su siti aziendali italiani

Dall’esperienza sul campo nel 2020-2021, ecco gli errori piu’ diffusi su siti aziendali italiani:

  1. Cookie installati prima del consenso: il pixel di Facebook o Google Ads parte al caricamento della pagina, prima che l’utente clicchi “Accetta”. E’ la violazione piu’ comune e piu’ facile da rilevare con strumenti di audit;
  2. Banner senza pulsante “Rifiuta”: solo “Accetta” o “X”. Non e’ consenso libero;
  3. Cookie policy generica copiata da template senza l’elenco dei cookie effettivamente in uso;
  4. Consenso non revocabile: dopo il primo click, nessuna interfaccia per cambiare le preferenze;
  5. Mancata anonimizzazione di Google Analytics: GA installato senza anonymizeIp e senza consenso;
  6. Plugin WordPress non aggiornati che reintroducono cookie obsoleti (es. social share, commenti Disqus);
  7. Mancato logging del consenso: in caso di ispezione il titolare non riesce a dimostrare quando e come e’ stato ottenuto il consenso.

L’audit andrebbe ripetuto almeno una volta l’anno, e ad ogni installazione di nuovi plugin o servizi terzi. Per le aziende che usano soluzioni cloud e SaaS, e’ fondamentale verificare che ogni servizio integrato (CRM, marketing automation, chat live) sia mappato nella cookie policy.

Checklist rapida per l’audit cookie del tuo sito

Una checklist operativa per verificare in 10 punti se il tuo sito aziendale e’ conforme al cookie law italiano nel 2021:

  1. Apri il sito in finestra anonima e usa lo strumento DevTools (tab “Application” -> “Cookies”) per elencare tutti i cookie installati al primo accesso, prima di qualsiasi click;
  2. Verifica che nessun cookie di terze parti (Facebook _fbp, Google Ads, Hotjar, ecc.) sia presente prima del consenso;
  3. Controlla che il banner sia visibile immediatamente, non sotto la fold della pagina;
  4. Verifica la presenza di un pulsante “Rifiuta” con la stessa evidenza grafica di “Accetta”;
  5. Apri la cookie policy e controlla che ogni cookie elencato sia effettivamente in uso (e viceversa);
  6. Cerca un link “Gestisci preferenze” permanente nel footer per la revoca del consenso;
  7. Verifica il logging: in caso di consenso dato, esiste un record (DB, file di log, dashboard CMP) che lo prova?
  8. Controlla la durata del cookie di consenso stesso: oltre 6 mesi e’ consigliabile abbassarla;
  9. Test su mobile: il banner e’ usabile anche da smartphone? “Rifiuta” e’ raggiungibile senza scroll?
  10. Revisione plugin: i plugin WordPress installati introducono cookie? Hanno opzioni di blocco prima del consenso?

Strumenti gratuiti utili per l’audit: Cookiebot Cookie Scanner (gratuito per scansioni occasionali), Cookie-Script Scanner, l’estensione browser EditThisCookie per l’ispezione manuale, e l’ottimo Privacy Badger di EFF per testare il blocco dei tracker.

12. Domande frequenti

Il mio sito vetrina senza form e senza analytics deve avere il banner?

Se il sito non installa alcun cookie diverso da quelli tecnici (no Google Fonts esterni, no YouTube embed, no Maps, no analytics), il banner non e’ obbligatorio. E’ comunque raccomandato pubblicare una cookie policy minima per trasparenza. Spesso pero’ anche un sito “statico” usa font esterni o video YouTube che installano cookie: in quel caso il banner serve.

Posso usare Google Analytics senza consenso nel 2021?

Si’, a condizione di averlo configurato in modalita’ anonimizzata (anonymizeIp: true), di prima parte e senza condivisione dei dati con altre piattaforme Google. Sotto il provvedimento Garante 2014 questa configurazione equipara GA ai cookie tecnici. La situazione potrebbe cambiare con le linee guida 2021 e con le pronunce post-Schrems II.

Quanto dura il consenso ai cookie?

Il provvedimento 2014 non fissa una durata massima, ma la prassi e le anticipazioni delle nuove linee guida indicano 6 mesi come limite ragionevole. Trascorso questo periodo il banner deve riapparire per chiedere nuovamente il consenso.

Cosa cambia tra cookie policy e privacy policy?

La privacy policy descrive il trattamento dei dati personali in generale (form contatti, newsletter, area clienti, ecc.), mentre la cookie policy si concentra sui cookie e tecnologie similari (pixel, fingerprinting, local storage). Sono due documenti distinti, anche se possono essere pubblicati su pagine collegate.

Devo aggiornare il banner se aggiungo un nuovo plugin?

Si’. Ogni nuovo plugin o servizio terzo che installa cookie va inserito nella cookie policy e gestito nel banner. I CMP automatici come Cookiebot scansionano periodicamente il sito per rilevare i nuovi cookie; con i CMP manuali (Iubenda) l’aggiornamento va fatto a mano.

Il consenso ottenuto su un sito vale anche per gli altri siti del gruppo?

No. Il consenso e’ specifico per il dominio sul quale e’ stato dato. Per i gruppi aziendali con piu’ siti, va richiesto un consenso separato per ciascun dominio (a meno di soluzioni CMP cross-domain configurate ad hoc).

Per approfondire la materia compliance e le sue implicazioni operative per le PMI, leggi anche la nostra guida alla fatturazione elettronica B2B 2021 e l’articolo dedicato al GDPR aziendale per PMI. Per la documentazione ufficiale, consulta il sito del Garante per la Protezione dei Dati Personali e la voce Cookie (informatica) su Wikipedia.

Per le PMI italiane che vogliono integrare la compliance gia’ nei propri processi gestionali, il modulo GDPR di ERP Brenta automatizza registro dei trattamenti, gestione consensi e workflow di adempimento.

Hai bisogno di un sito o applicativo conforme al cookie law?

Brentasoft sviluppa siti, web app e gestionali con privacy by design integrata: cookie banner conformi, CMP, log accessi e workflow GDPR-compliant per PMI italiane.

Scopri ERP Brenta →