{"id":1618,"date":"2021-11-24T14:32:00","date_gmt":"2021-11-24T13:32:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/cookie-consent-gdpr-schrems-ii-pmi-2021\/"},"modified":"2026-06-04T10:58:19","modified_gmt":"2026-06-04T08:58:19","slug":"cookie-consent-gdpr-schrems-ii-pmi-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/cookie-consent-gdpr-schrems-ii-pmi-2021\/","title":{"rendered":"Cookie consent 2021: GDPR e Schrems II per siti PMI italiane"},"content":{"rendered":"

Il 10 giugno 2021<\/strong> il Garante per la protezione dei dati personali<\/strong> ha pubblicato le nuove Linee Guida cookie e altri strumenti di tracciamento<\/strong> (Provvedimento n. 231\/2021), destinate a entrare in vigore a inizio 2022 dopo un periodo transitorio di sei mesi. Per le PMI italiane il messaggio e’ netto: il banner “OK” sbrigativo, lo scroll come consenso implicito, il banner senza pulsante “Rifiuta tutti” non sono piu’ tollerati. Il regime sanzionatorio nel frattempo si e’ fatto pesante: nel novembre 2020 il Garante ha colpito Vodafone Italia con \u20ac12,2 milioni<\/strong>, nel 2021 sono arrivate sanzioni a sei zeri come Foodinho \u20ac2,6 milioni<\/strong> (luglio 2021) e numerosi provvedimenti per cookie wall e telemarketing.<\/p>\n

Sul piano internazionale la sentenza Schrems II<\/strong> della Corte di Giustizia UE (C-311\/18, luglio 2020) ha invalidato il Privacy Shield e ha costretto chiunque trasferisca dati personali verso gli Stati Uniti, dai principali analytics ai CDN, ai CRM in cloud, a ripensare la propria base giuridica per il trasferimento<\/strong>. Le nuove Standard Contractual Clauses<\/strong> approvate il 4 giugno 2021 e le EDPB Recommendations 01\/2020 on supplementary measures<\/strong> (versione finale giugno 2021) impongono di documentare un Transfer Impact Assessment<\/strong> caso per caso. Nei prossimi mesi le autorita’ europee inizieranno a esprimersi sui singoli strumenti, Google Analytics<\/strong> in testa.<\/p>\n

Questa guida e’ pensata per il marketing manager<\/em> che gestisce campagne e ad tech, il DPO<\/em> che deve mappare i trattamenti e il webmaster<\/em> che deve implementare il banner sul sito. Mettiamo in fila norme, strumenti e una roadmap di adeguamento in 60 giorni<\/strong>.<\/p>\n

\n

TL;DR — cookie consent novembre 2021<\/p>\n

    \n
  • Nuove Linee Guida Garante<\/strong> del 10 giugno 2021 in vigore da gennaio 2022: niente scroll, niente “X chiudi”, obbligo pulsanti “Accetta tutti” e “Rifiuta tutti” allo stesso livello, granularita’ per categoria.<\/li>\n
  • Cookie tecnici esenti, analytics solo se anonimizzati al provider, profilazione sempre con consenso<\/strong> opt-in informato e revocabile.<\/li>\n
  • Schrems II<\/strong>: trasferimenti USA richiedono SCC 2021 + Transfer Impact Assessment documentato + misure supplementari (cifratura, pseudonimizzazione, anonimizzazione).<\/li>\n
  • Cookie wall in stile paywall sono illegittimi in Italia secondo il Garante; vietato il consenso forzato.<\/li>\n
  • Tool maturi: OneTrust<\/strong>, Cookiebot<\/strong>, Iubenda<\/strong>, Didomi<\/strong>, Usercentrics<\/strong>, Complianz<\/strong> per WordPress.<\/li>\n
  • Lato tecnico: GTM consent mode<\/strong> v1 e server-side GTM<\/strong> sono i mattoni del nuovo tracking compliant.<\/li>\n<\/ul>\n<\/div>\n

    Cookie e altri tracker: cosa stiamo realmente regolando<\/h2>\n

    Il termine “cookie consent” e’ una semplificazione comoda ma ingannevole. La ePrivacy Directive 2002\/58\/CE<\/strong> (modificata dalla 2009\/136\/CE), recepita in Italia nell’art. 122 del Codice Privacy, richiede consenso per qualunque “archiviazione o accesso a informazioni gia’ archiviate” sul terminale dell’utente. Quindi non solo cookie HTTP, ma anche local storage, session storage, IndexedDB, service worker e cache. Il GDPR (Reg. UE 2016\/679)<\/strong> entra poi in scena quando da quella lettura\/scrittura derivano dati personali.<\/p>\n

    Il perimetro reale dei “tracker” che il Garante e l’EDPB sorvegliano comprende:<\/p>\n

      \n
    • Cookie 1st-party<\/strong>: scritti dal dominio visitato. Tipicamente sessione, preferenze, carrello, analytics self-hosted.<\/li>\n
    • Cookie 3rd-party<\/strong>: scritti da domini diversi (Facebook Pixel, DoubleClick, LinkedIn Insight Tag, hotjar.com). Sono il bersaglio principale del Garante e dei browser: Safari ITP li blocca da anni, Firefox ETP li blocca per default, Chrome ha annunciato la dismissione (rinviata al 2023).<\/li>\n
    • Pixel di tracciamento e web beacon<\/strong>: immagini 1×1 o richieste GET verso piattaforme pubblicitarie. Pixel Meta, LinkedIn, TikTok, Pinterest, Twitter, Microsoft Advertising UET.<\/li>\n
    • Browser fingerprinting<\/strong>: combinazione di User-Agent, fonts, canvas, WebGL, audio context. L’EDPB lo equipara al cookie ai fini del consenso (Working Party 29 – WP224).<\/li>\n
    • Identificatori avanzati<\/strong>: Google Topics e FLoC (in test 2021), ID5, LiveRamp ATS, UID 2.0 di The Trade Desk. Soluzioni “cookieless” che pero’ restano trattamento di dato personale.<\/li>\n
    • Mobile e SDK<\/strong>: ID pubblicitari come IDFA (post ATT di Apple iOS 14.5, aprile 2021) e Google AAID. La logica del consenso si applica anche qui.<\/li>\n<\/ul>\n

      Tradotto: chi pensa di risolvere “il problema cookie” solo con un banner sul sito, ignorando pixel CRM, automation marketing e mobile, sta affrontando una frazione del rischio.<\/p>\n

      Le nuove Linee Guida del Garante: cosa cambia da gennaio 2022<\/h2>\n

      Il Provvedimento del 10 giugno 2021 supera quello storico del maggio 2014 e si allinea alle EDPB Guidelines 05\/2020 on consent<\/strong> sotto GDPR. I punti che vi toccheranno sicuramente:<\/p>\n

        \n
      1. Scroll non vale come consenso<\/strong>. Il Garante e’ stato netto: il proseguire la navigazione, lo scroll della pagina e qualunque “azione presunta” sono nulli<\/strong> come manifestazione di consenso. Serve un atto attivo, informato, granulare.<\/li>\n
      2. “X” chiudi banner non equivale a rifiuto<\/strong>. Il banner deve presentare il pulsante “Accetta tutti” e il pulsante “Rifiuta tutti” allo stesso livello grafico. Il rifiuto deve essere semplice come l’accettazione, principio gia’ presente nell’art. 7(3) GDPR.<\/li>\n
      3. Granularita’ per categoria<\/strong>. L’utente deve poter accettare solo analytics, solo marketing, solo personalizzazione, in modo separato. Il Garante chiede almeno due livelli: prima schermata con scelta complessiva, seconda schermata con preferenze granulari.<\/li>\n
      4. No re-proposizione martellante<\/strong>. Se l’utente ha rifiutato, il banner non puo’ essere riproposto a ogni visita. Indicazione: minimo 6 mesi prima di richiedere nuovamente il consenso, fatta salva modifica sostanziale del trattamento.<\/li>\n
      5. Cookie wall illegittimi<\/strong>. Il Garante in linea con l’EDPB rifiuta la prassi del “consenti o non navighi”. Eccezioni possibili solo se l’utente ha un’alternativa reale e gratuita (es. testata che offre versione paywall a pagamento + versione con tracking).<\/li>\n
      6. Informativa stratificata<\/strong>. Banner breve + link a informativa estesa con elenco completo dei cookie, finalita’, tempi di conservazione, terze parti, base giuridica per ciascuna categoria.<\/li>\n<\/ol>\n

        Il periodo transitorio<\/strong> e’ di sei mesi: chi al gennaio 2022 non si sara’ adeguato sara’ formalmente fuori norma<\/em> e potenzialmente attaccabile con reclami al Garante.<\/p>\n

        Categorie di cookie: cosa serve consenso e cosa no<\/h2>\n

        La classificazione operativa che il Garante riconosce dal Provvedimento 229\/2014 e ribadisce nel 2021:<\/p>\n

          \n
        • Cookie tecnici (no consenso)<\/strong>. Strettamente necessari al funzionamento del servizio richiesto dall’utente. Sessione PHPSESSID, cookie del carrello, preferenza lingua, autenticazione, CSRF token, cookie del banner cookie stesso, cookie del bilanciatore di carico. Vanno comunque dichiarati nell’informativa<\/em>, ma non richiedono opt-in.<\/li>\n
        • Cookie analytics (caso per caso)<\/strong>. Esenti dal consenso solo se “assimilabili a cookie tecnici”: tipicamente analytics 1st-party self-hosted (Matomo on-premise, Plausible self-hosted), IP anonimizzato prima dell’arrivo al provider<\/strong>, niente incrocio con altre fonti, niente trasferimento extra-UE. Google Analytics standard non rientra<\/strong> in questa categoria nella visione del Garante e dell’EDPB.<\/li>\n
        • Cookie di profilazione e marketing (consenso obbligatorio)<\/strong>. Pixel Meta, Google Ads remarketing, LinkedIn Insight Tag, TikTok Pixel, banner pubblicitari, raccomandazioni personalizzate, A\/B test che identificano l’utente. Sempre opt-in attivo, granulare, revocabile.<\/li>\n<\/ul>\n

          Per gli e-commerce italiani il punto sensibile e’ tipicamente la raccomandazione prodotti<\/strong>: se basata su sessione anonima e’ tecnica; se basata su cookie persistente che traccia behavior cross-sessione, scatta il consenso.<\/p>\n

          \"Bandiera
          Il quadro normativo UE: GDPR, ePrivacy Directive e sentenza Schrems II definiscono i confini del trattamento dati e dei trasferimenti extra-UE.<\/figcaption><\/figure>\n

          ePrivacy Directive e GDPR: come si parlano davvero<\/h2>\n

          Una confusione ricorrente nei team marketing: si pensa che il GDPR abbia “assorbito” la ePrivacy. Non e’ cosi’. La ePrivacy Directive 2002\/58\/CE<\/strong> resta in vigore (in attesa del Regolamento ePrivacy bloccato in Consiglio dal 2017) e si applica come lex specialis<\/em> rispetto al GDPR per cio’ che riguarda le comunicazioni elettroniche e i tracker.<\/p>\n

          In pratica:<\/p>\n

            \n
          • Il consenso al cookie e alle altre forme di accesso al terminale dell’utente si fonda sull’art. 5(3) ePrivacy<\/strong> (recepito nell’art. 122 Codice Privacy italiano).<\/li>\n
          • I requisiti del consenso (libero, specifico, informato, inequivocabile, revocabile, dimostrabile) sono quelli del GDPR art. 4(11) e 7<\/strong>.<\/li>\n
          • L’EDPB Opinion 5\/2019<\/strong> chiarisce che il consenso ePrivacy deve avere gli stessi standard di qualita’ del consenso GDPR.<\/li>\n
          • Il trattamento dei dati personali raccolti tramite cookie e’ soggetto al GDPR (basi giuridiche, diritti dell’interessato, sicurezza, trasferimenti).<\/li>\n<\/ul>\n

            Per un sito italiano questo significa che ogni cookie con consenso richiede una doppia base giuridica: art. 122 Codice Privacy + art. 6 GDPR (consenso, lett. a).<\/p>\n

            Schrems II: trasferimenti USA, il nodo non risolto<\/h2>\n

            La sentenza CJEU C-311\/18 del 16 luglio 2020<\/strong> ha invalidato il Privacy Shield UE-USA con effetto immediato. Le motivazioni sono di sistema: FISA 702<\/strong> e Executive Order 12333<\/strong> permettono alle agenzie di intelligence USA di accedere ai dati di cittadini europei senza un livello di tutela equivalente a quello GDPR e senza ricorso effettivo per gli interessati.<\/p>\n

            Cosa resta come strumenti di trasferimento per i dati verso paesi terzi senza decisione di adeguatezza:<\/p>\n

              \n
            • Standard Contractual Clauses (SCC) nuove<\/strong>, EU Implementing Decision 2021\/914 del 4 giugno 2021. Strutturate in 4 moduli (Controller-Controller, Controller-Processor, Processor-Processor, Processor-Controller). Vanno integrate con il Transfer Impact Assessment.<\/li>\n
            • Binding Corporate Rules (BCR)<\/strong> per gruppi multinazionali, approvate dall’autorita’ di controllo.<\/li>\n
            • Deroghe art. 49 GDPR<\/strong>: consenso esplicito, esecuzione contratto, motivi di interesse pubblico. Vanno usate con estrema parsimonia, secondo le linee guida EDPB sono per casi episodici e non sistematici.<\/li>\n<\/ul>\n

              Il vero passaggio operativo e’ il Transfer Impact Assessment<\/strong>. Le EDPB Recommendations 01\/2020 on supplementary measures<\/strong>, adottate in versione finale il 18 giugno 2021, indicano un percorso in sei step:<\/p>\n

                \n
              1. Mappa i trasferimenti (chi, dove, quali dati, quali finalita’).<\/li>\n
              2. Identifica lo strumento di trasferimento (SCC, BCR, decisione di adeguatezza).<\/li>\n
              3. Valuta l’efficacia dello strumento alla luce della normativa del paese di destinazione.<\/li>\n
              4. Identifica e adotta misure supplementari<\/strong> tecniche (cifratura end-to-end con chiavi in UE, pseudonimizzazione, anonimizzazione), contrattuali (audit, notifiche di richieste di accesso), organizzative (policy interne, training).<\/li>\n
              5. Compi gli adempimenti formali (firma SCC, aggiorna informativa).<\/li>\n
              6. Rivaluta periodicamente.<\/li>\n<\/ol>\n

                Per i fornitori cloud USA il TIA tipico mostra che SCC + misure contrattuali non bastano. Servono misure tecniche<\/strong>: cifratura con BYOK\/HYOK, EU data residency con accordi specifici, anonimizzazione del dato prima dell’invio.<\/p>\n

                Google Analytics nel 2021: il dilemma che esplodera’ nel 2022<\/h2>\n

                A novembre 2021 Google Analytics Universal<\/strong> e’ lo standard de facto sul mercato italiano. Tre dati che cambiano la prospettiva nei prossimi mesi:<\/p>\n

                  \n
                • None of Your Business (NOYB)<\/strong>, l’organizzazione di Max Schrems, ha presentato a inizio 2021 101 reclami<\/strong> contro l’uso di Google Analytics e Facebook Connect in altrettanti siti europei, eccependo violazione di Schrems II.<\/li>\n
                • Le autorita’ garanti europee si sono coordinate in una EDPB Taskforce<\/strong> per esaminare i reclami. Le prime decisioni sono attese a inizio 2022.<\/li>\n
                • Google ha annunciato l’EU Data Boundary<\/strong> per servizi cloud, ma per Analytics il dato e’ comunque processato da Google LLC<\/strong> entita’ USA, con possibile accesso ex FISA 702.<\/li>\n<\/ul>\n

                  L’indicazione prudenziale<\/strong> che gia’ nel 2021 alcuni DPO italiani stanno dando: limitare GA agli IP anonimizzati, disattivare Google Signals, evitare User-ID, valutare alternative europee (Matomo<\/strong>, Plausible<\/strong>, Fathom<\/strong>, SimpleAnalytics<\/strong>), prepararsi a una pronuncia del Garante. Il rischio reputazionale, oltre che sanzionatorio, sta crescendo.<\/p>\n

                  \"Dashboard
                  Il dilemma analytics nel 2021: continuare con Google Analytics e affrontare il rischio Schrems II, o migrare verso strumenti EU-friendly.<\/figcaption><\/figure>\n

                  Consent Management Platform: lo scenario tool 2021<\/h2>\n

                  Il mercato dei CMP (Consent Management Platform)<\/strong> nel 2021 e’ maturo. Le piattaforme principali per il contesto italiano:<\/p>\n

                    \n
                  • OneTrust<\/strong>. Leader enterprise, supporto multi-giurisdizione, scansione automatica del sito, integrazione IAB TCF v2.0, vendor list configurabile. Costo da medio a elevato. Indicato per gruppi internazionali e siti complessi.<\/li>\n
                  • Cookiebot (Cybot, Danimarca)<\/strong>. Scansione mensile dei cookie del sito, generazione automatica della cookie declaration in 47 lingue, integrazione GTM, prezzo per fasce di pageview. Compliance EU-friendly per definizione.<\/li>\n
                  • Iubenda (Italia)<\/strong>. Soluzione italiana piu’ diffusa nelle PMI: cookie banner + informativa + consenso GDPR + termini in un’unica suite. Buon supporto al Provvedimento Garante 2021.<\/li>\n
                  • Cookiehub<\/strong>. Alternativa lean, focalizzata sui requisiti UE, prezzo competitivo per piccoli e medi siti.<\/li>\n
                  • TrustArc<\/strong> (ex TRUSTe). Suite di compliance privacy enterprise con consent management e gestione richieste interessati.<\/li>\n
                  • Quantcast Choice<\/strong>. CMP gratuita IAB TCF v2.0 storica, ora a pagamento per funzionalita’ avanzate.<\/li>\n
                  • Didomi (Francia)<\/strong>. CMP molto utilizzata nel mondo media e ad tech, fortemente IAB TCF v2.0 oriented.<\/li>\n
                  • Usercentrics (Germania)<\/strong>. CMP enterprise con UI tedesca-pulita, vendor list ricchissima, prezzo medio-alto.<\/li>\n
                  • Termly<\/strong>. Soluzione cloud user-friendly per piccoli siti e blog.<\/li>\n
                  • Complianz<\/strong> (WordPress). Plugin specifico WordPress, freemium, ottimo per blog e siti vetrina. In Italia molto adottato nelle PMI con WordPress.<\/li>\n<\/ul>\n

                    Criteri di scelta nel 2021: supporto al Provvedimento Garante 10 giugno 2021, compatibilita’ con GTM consent mode<\/strong> v1, gestione granulare per categoria, vendor list aggiornata, log del consenso per tre anni, costo proporzionato al traffico.<\/p>\n

                    IAB TCF v2.0: l’ecosistema pubblicitario in standard<\/h2>\n

                    Lo Transparency and Consent Framework v2.0<\/strong>, rilasciato da IAB Europe nell’agosto 2020, e’ lo standard che permette ai siti editori di passare il consenso agli ad tech downstream (Google, Meta, AppNexus, Index Exchange, ecc.). Punti chiave:<\/p>\n