{"id":2019,"date":"2022-06-14T09:51:00","date_gmt":"2022-06-14T07:51:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/cookie-banner-gdpr-linee-guida-garante-privacy-pmi-2022\/"},"modified":"2026-06-05T18:10:56","modified_gmt":"2026-06-05T16:10:56","slug":"cookie-banner-gdpr-linee-guida-garante-privacy-pmi-2022","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/cookie-banner-gdpr-linee-guida-garante-privacy-pmi-2022\/","title":{"rendered":"Cookie banner GDPR 2022: linee guida Garante Privacy + 6 strumenti per siti italiani"},"content":{"rendered":"<p>Dal <strong>10 gennaio 2022<\/strong> sono pienamente operative le nuove <strong>Linee guida cookie del Garante Privacy<\/strong> (provvedimento n. 231 del 10 giugno 2021), che hanno ridisegnato le regole su consenso, dark pattern e granularit\u00e0 delle scelte per qualunque sito italiano. Eppure, a marzo 2022 un&#8217;analisi pubblicata da Iubenda stimava che oltre l&#8217;<strong>80% delle PMI italiane<\/strong> non avesse ancora adeguato il proprio cookie banner: scroll considerato consenso, X che equivale ad &#8220;accetta tutti&#8221;, pulsante &#8220;rifiuta&#8221; nascosto in un sottolivello, mancanza di blocco preventivo dei tag di terze parti.<\/p>\n<p>Le conseguenze non sono teoriche. A novembre 2021 il Garante ha sanzionato Caffeina Media per circa 60.000 euro; nei primi mesi del 2022 DSB austriaca e CNIL francese hanno dichiarato Google Analytics Universal incompatibile con il GDPR per il trasferimento dati verso gli USA. \u00c8 del 9 giugno 2022 un primo provvedimento del Garante italiano sul tema, con effetti a cascata su migliaia di siti.<\/p>\n<p>In questo articolo vediamo la normativa applicabile, le <strong>8 regole chiave<\/strong> delle Linee guida 2021, sei strumenti CMP per implementare un banner conforme e una <strong>roadmap di 30 giorni<\/strong> per arrivare a conformit\u00e0 senza sacrificare le conversioni. Il cookie banner non \u00e8 una questione cosmetica: \u00e8 il punto di intersezione tra compliance, esperienza utente e tracciamento marketing.<\/p>\n<div style=\"background: linear-gradient(135deg, #f0fdf4 0%, #ecfdf5 100%); border-left: 4px solid #10b981; padding: 20px 24px; border-radius: 8px; margin: 28px 0;\">\n<p style=\"margin:0 0 10px 0;\"><strong>TL;DR \u2014 In sintesi<\/strong><\/p>\n<ul style=\"margin:0; padding-left:20px;\">\n<li>Le Linee guida Garante del 10 giugno 2021 sono in piena vigenza dal 10 gennaio 2022.<\/li>\n<li>Scroll e continuazione della navigazione <strong>non sono consenso valido<\/strong>: serve azione esplicita.<\/li>\n<li>Il pulsante &#8220;Rifiuta&#8221; deve essere <strong>equivalente per visibilit\u00e0<\/strong> a &#8220;Accetta tutti&#8221;.<\/li>\n<li>Il consenso ha durata massima di <strong>6 mesi<\/strong>, poi va ripresentato il banner.<\/li>\n<li>Sei strumenti CMP consigliati: <strong>Iubenda, Cookiebot, OneTrust, Usercentrics, Complianz, Termly<\/strong>.<\/li>\n<li>Sanzioni medie per PMI: <strong>5.000\u201350.000 \u20ac<\/strong>; obbligo di prior consent per ogni cookie non tecnico.<\/li>\n<\/ul>\n<\/div>\n<h2>Cosa sono davvero i cookie (e perch\u00e9 non sono solo cookie)<\/h2>\n<p>Tecnicamente, un cookie HTTP \u00e8 un piccolo file di testo che il browser memorizza su richiesta del server e ritrasmette ad ogni richiesta successiva allo stesso dominio. Oggi \u00e8 uno dei tanti &#8220;identificatori persistenti&#8221; disponibili sul lato client: accanto ai cookie troviamo <em>localStorage<\/em>, <em>sessionStorage<\/em>, <em>IndexedDB<\/em>, fingerprinting di canvas e font, etag della cache, identificatori pubblicitari su mobile.<\/p>\n<p>Il Garante e le Linee guida 2021 sono espliciti: la disciplina del consenso non si applica solo al cookie in senso tecnico, ma a <strong>qualunque tecnologia di archiviazione<\/strong> o accesso a informazioni nel terminale dell&#8217;utente \u2014 la formulazione dell&#8217;art. 5(3) della Direttiva ePrivacy 2002\/58\/CE, recepita in Italia dall&#8217;art. 122 del Codice della privacy. In pratica: se uno script di terze parti deposita un identificatore nel <em>localStorage<\/em>, vale la stessa regola del cookie.<\/p>\n<h2>Le categorie di cookie secondo il Garante<\/h2>\n<p>Per pianificare un banner conforme \u00e8 indispensabile classificare correttamente le tecnologie utilizzate. Le Linee guida 2021 e le FAQ del Garante distinguono quattro famiglie:<\/p>\n<ol>\n<li><strong>Cookie tecnici<\/strong> (art. 122 c.1, esenti da consenso): sessione utente, autenticazione, carrello e-commerce, bilanciamento di carico, preferenze di lingua o accessibilit\u00e0.<\/li>\n<li><strong>Cookie statistici \/ analitici<\/strong>: possono essere assimilati ai tecnici solo se IP anonimizzato, dati non incrociati con altre informazioni di terze parti, provider che non li usa per finalit\u00e0 proprie. In assenza \u2014 il caso tipico di Google Analytics Universal \u2014 servono informativa e consenso preventivo.<\/li>\n<li><strong>Cookie di profilazione<\/strong>: tracciano comportamento per costruire profili, anche aggregati. Richiedono sempre consenso libero, specifico, inequivocabile.<\/li>\n<li><strong>Cookie di marketing e terze parti<\/strong>: pixel Meta, TikTok, LinkedIn, Google Ads, retargeting programmatic. Rientrano in profilazione e spesso comportano trasferimento dati extra-UE.<\/li>\n<\/ol>\n<p>Tutti i cookie non tecnici devono essere bloccati <strong>prima<\/strong> del consenso (cosiddetto <em>prior consent<\/em>): non basta dichiararli, occorre che il browser non li riceva fino all&#8217;azione esplicita dell&#8217;utente.<\/p>\n<h2>Il quadro normativo: GDPR, ePrivacy, art. 122<\/h2>\n<p>Tre livelli normativi convivono e si integrano:<\/p>\n<ul>\n<li><strong>GDPR (Reg. UE 2016\/679)<\/strong>: per i cookie di profilazione la base giuridica \u00e8 il <em>consenso<\/em> dell&#8217;interessato (art. 6 lett. a, art. 7). Deve essere libero, specifico, informato, inequivocabile, dimostrabile e revocabile con la stessa facilit\u00e0 con cui \u00e8 stato espresso (art. 7.3).<\/li>\n<li><strong>Direttiva ePrivacy 2002\/58\/CE<\/strong> (art. 5.3): impone il consenso per qualsiasi archiviazione di informazioni nel terminale dell&#8217;utente, salvo cookie strettamente necessari. \u00c8 <em>lex specialis<\/em> rispetto al GDPR sui cookie.<\/li>\n<li><strong>D.Lgs. 196\/2003, art. 122<\/strong> (Codice italiano della privacy): recepisce la Direttiva ePrivacy. \u00c8 la norma che il Garante richiama come base per le sue Linee guida.<\/li>\n<li><strong>Linee guida Garante 10 giugno 2021<\/strong> (provvedimento n. 231\/2021, GU 9 luglio 2021): regole operative su banner, granularit\u00e0, durata, scroll, dark pattern. Sei mesi di adeguamento previsti, piena vigenza dal <strong>10 gennaio 2022<\/strong>.<\/li>\n<\/ul>\n<p>Si aggiunge la giurisprudenza della Corte di Giustizia UE (Planet49, C-673\/17 del 1\u00b0 ottobre 2019), che ha sancito l&#8217;invalidit\u00e0 del consenso tramite caselle pre-spuntate.<\/p>\n<h2>Le 8 regole chiave delle Linee guida 2021<\/h2>\n<p>Riassumiamo, in ordine pratico, i punti su cui il Garante \u00e8 stato pi\u00f9 netto e che oggi rappresentano il &#8220;minimo sindacale&#8221; di un cookie banner conforme.<\/p>\n<h3>1. Lo scroll non \u00e8 consenso<\/h3>\n<p>Per anni i banner italiani recitavano &#8220;scorrendo questa pagina accetti i cookie&#8221;. Il Garante chiarisce che lo scroll, da solo, non costituisce manifestazione inequivocabile di volont\u00e0. Pu\u00f2 essere uno dei tasselli di una configurazione tecnica pi\u00f9 complessa (ad esempio combinato con un&#8217;azione esplicita successiva), ma di per s\u00e9 non vale come opt-in.<\/p>\n<h3>2. La continuazione della navigazione non \u00e8 consenso<\/h3>\n<p>Stesso ragionamento per la formula &#8220;continuando a navigare accetti&#8221;. Cliccare su un link interno mentre il banner \u00e8 visibile non \u00e8 una manifestazione di consenso ai cookie di profilazione. Il banner deve restare sospeso fino a una scelta esplicita, oppure il sito deve funzionare con i soli cookie tecnici fino al consenso.<\/p>\n<h3>3. Consenso granulare per categoria<\/h3>\n<p>L&#8217;utente deve poter scegliere <em>quali<\/em> categorie di cookie attivare. Non basta un &#8220;accetta tutti&#8221; o &#8220;rifiuta tutti&#8221;: serve un pannello di preferenze che distingua almeno necessari, statistici, profilazione, marketing (o le categorie effettivamente in uso). La granularit\u00e0 deve essere disponibile <strong>nel primo livello<\/strong> del banner o tramite un link evidente al pannello di preferenze.<\/p>\n<h3>4. Niente dark pattern: la X equivale a &#8220;non accetto&#8221;<\/h3>\n<p>La X di chiusura del banner non pu\u00f2 essere interpretata come consenso. Allo stesso modo, un &#8220;Accetta&#8221; colorato e prominente accanto a un &#8220;Rifiuta&#8221; sbiadito o nascosto in un sottomenu \u00e8 un <em>dark pattern<\/em> vietato. La chiusura del banner senza scelta esplicita deve corrispondere al mantenimento dei soli cookie tecnici.<\/p>\n<h3>5. Rifiuta equivalente all&#8217;accetta, per visibilit\u00e0<\/h3>\n<p>Il pulsante per rifiutare deve avere pari evidenza grafica del pulsante per accettare: stessa dimensione, stesso colore o contrasto, stessa posizione gerarchica. Non \u00e8 obbligatorio che le diciture siano identiche, ma il principio di parit\u00e0 di trattamento delle opzioni \u00e8 esplicito nelle Linee guida.<\/p>\n<h3>6. Informativa multi-livello<\/h3>\n<p>Il banner di primo livello deve essere conciso: identit\u00e0 del titolare, finalit\u00e0 sintetiche, link all&#8217;informativa estesa, pulsanti accetta\/rifiuta\/preferenze. L&#8217;informativa estesa (privacy\/cookie policy) deve invece elencare tutti i cookie, durata, finalit\u00e0, terze parti coinvolte e modalit\u00e0 di revoca.<\/p>\n<h3>7. Revoca semplice come accettazione<\/h3>\n<p>L&#8217;utente deve poter revocare il consenso con la stessa facilit\u00e0 con cui lo ha prestato (art. 7.3 GDPR). In pratica: un link &#8220;Preferenze cookie&#8221; o &#8220;Gestione consensi&#8221; sempre raggiungibile (footer, badge fluttuante) che riapre il pannello di scelta.<\/p>\n<h3>8. Durata massima 6 mesi, poi ripresenta<\/h3>\n<p>Se l&#8217;utente ha rifiutato (o non ha espresso scelta), il banner non va riproposto a ogni visita: il Garante indica una pausa di almeno 6 mesi, salvo modifiche sostanziali del trattamento. Se l&#8217;utente ha accettato, allo scadere di 6 mesi il consenso va comunque rinnovato. Questo richiede al CMP di tenere un log della scelta e della data.<\/p>\n<div style=\"background:#fef3c7; border-left:4px solid #f59e0b; padding:18px 22px; border-radius:8px; margin:24px 0;\">\n<p style=\"margin:0;\"><strong>Attenzione:<\/strong> il cookie wall (paywall in cui l&#8217;accesso al contenuto \u00e8 condizionato all&#8217;accettazione di cookie non tecnici) \u00e8 ammesso dal Garante solo in presenza di un&#8217;alternativa effettiva ed equivalente per l&#8217;utente \u2014 ad esempio l&#8217;accesso a pagamento al contenuto. La sola formula &#8220;accetta i cookie o non navighi&#8221; non costituisce libera scelta.<\/p>\n<\/div>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline1-6.jpg\" alt=\"Consulente privacy e legale che valuta la conformit\u00e0 GDPR di un cookie banner\" style=\"width:100%; height:auto; border-radius:12px; margin:24px 0;\"><\/p>\n<h2>Cosa \u00e8 cambiato nel 2022: i casi Google Analytics<\/h2>\n<p>I primi mesi del 2022 sono uno spartiacque per il tracciamento analitico:<\/p>\n<ul>\n<li><strong>22 dicembre 2021<\/strong> \u2014 DSB austriaca: primo provvedimento europeo che dichiara Google Analytics standard non conforme al GDPR, per il trasferimento di dati verso gli USA dopo Schrems II.<\/li>\n<li><strong>10 febbraio 2022<\/strong> \u2014 CNIL francese: si allinea, ordinando a un sito francese di mettere in regola GA o sospenderlo.<\/li>\n<li><strong>marzo\u2013maggio 2022<\/strong> \u2014 altre autorit\u00e0 (Liechtenstein, Olanda, Norvegia) avviano istruttorie analoghe.<\/li>\n<li><strong>9 giugno 2022<\/strong> \u2014 il Garante italiano pubblica un primo provvedimento sul tema, in linea con le altre autorit\u00e0 europee. Per chi usa GA Universal in configurazione standard la situazione richiede valutazione caso per caso, possibile sostituzione con server-side o strumenti europei (Matomo, Plausible).<\/li>\n<\/ul>\n<p>Conseguenza per il cookie banner: <strong>Google Analytics non pu\u00f2 pi\u00f9 essere trattato come &#8220;cookie tecnico&#8221;<\/strong> nemmeno con IP anonimizzato, perch\u00e9 il problema riguarda anche il trasferimento extra-UE. Va incluso nelle categorie soggette a consenso.<\/p>\n<h2>IAB TCF v2: il framework dell&#8217;industria pubblicitaria<\/h2>\n<p>Per chi utilizza pubblicit\u00e0 programmatica (Google Ad Manager, DSP, SSP, retargeting di terze parti), la conformit\u00e0 non passa solo dal banner. L&#8217;<strong>IAB Europe Transparency &amp; Consent Framework v2<\/strong> \u00e8 lo standard tecnico che permette di trasmettere alla filiera pubblicitaria la scelta dell&#8217;utente in modo strutturato (la stringa TC).<\/p>\n<p>I CMP certificati IAB TCF v2 (Iubenda, Cookiebot, OneTrust, Usercentrics, Quantcast Choice, Sourcepoint, Didomi) generano una TC string firmata digitalmente che viene letta dagli ad server. Senza questo, anche con consenso ottenuto, i partner pubblicitari non sanno se possono trattare il dato \u2014 e di fatto bloccano la monetizzazione o, peggio, trattano senza base giuridica.<\/p>\n<p>Va segnalato che il TCF stesso \u00e8 oggetto di verifica da parte delle autorit\u00e0 (l&#8217;APD belga ha pubblicato una decisione critica a febbraio 2022). Il framework resta lo standard di mercato, ma chi lo adotta deve documentare le scelte e seguire gli aggiornamenti.<\/p>\n<h2>Sei strumenti CMP per implementare un banner conforme<\/h2>\n<p>Vediamo nel dettaglio sei soluzioni di Consent Management Platform adatte al contesto italiano, dal piccolo blog al portale enterprise.<\/p>\n<h3>1. Iubenda \u2014 il riferimento italiano<\/h3>\n<p>Iubenda \u00e8 il CMP pi\u00f9 diffuso in Italia, sviluppato a Bologna dal 2011. Combina cookie solution, generatore di privacy policy e registro delle attivit\u00e0 di trattamento. Punti di forza: documentazione e supporto in italiano, integrazioni native con WordPress, Shopify, Magento, Prestashop, configurazione del banner conforme alle Linee guida Garante &#8220;out of the box&#8221;.<\/p>\n<ul>\n<li><strong>Prezzo<\/strong>: da circa 27 \u20ac\/anno (privacy policy base) a 129 \u20ac\/anno (Cookie Solution Pro per sito singolo) fino a piani agenzia.<\/li>\n<li><strong>Cookie scan<\/strong> automatico ricorrente che confronta cookie dichiarati e cookie effettivamente trovati.<\/li>\n<li><strong>Prior blocking<\/strong> tramite tag wrapper o auto-blocking per script noti.<\/li>\n<li><strong>Log del consenso<\/strong> con archiviazione fino a 12 mesi e certificato in caso di contestazione.<\/li>\n<li><strong>Certificazione IAB TCF v2<\/strong> disponibile su piano dedicato.<\/li>\n<\/ul>\n<h3>2. Cookiebot (Cybot) \u2014 leader europeo<\/h3>\n<p>Cookiebot \u00e8 sviluppato dalla danese Cybot (acquisita da Civic Computing nel 2018, ora Usercentrics Group). \u00c8 particolarmente diffuso nel Nord Europa, ma con piena copertura della normativa italiana.<\/p>\n<ul>\n<li><strong>Prezzo<\/strong>: piano gratuito fino a 100 sottopagine; a pagamento da 9 \u20ac\/mese (siti piccoli) fino a 499 \u20ac\/mese (enterprise multi-dominio).<\/li>\n<li><strong>Scansione automatica mensile<\/strong> dei cookie reali, con report dettagliato.<\/li>\n<li><strong>Geolocalizzazione<\/strong> del banner: regole diverse per UE, Regno Unito, California (CCPA), Brasile (LGPD).<\/li>\n<li><strong>IAB TCF v2<\/strong> certificato.<\/li>\n<li><strong>Integrazione GTM<\/strong> nativa via &#8220;Cookiebot consent state&#8221; per gestire il prior consent dei tag.<\/li>\n<\/ul>\n<h3>3. OneTrust \u2014 la scelta enterprise<\/h3>\n<p>OneTrust (USA, Atlanta) \u00e8 il riferimento enterprise globale. Pricing su quotazione, fuori portata per la piccola PMI ma standard per grandi gruppi, banche, assicurazioni. Suite completa che oltre al cookie consent copre DPIA, registro trattamenti, data subject request e vendor risk management; regole differenziate per oltre 100 giurisdizioni; audit log con segregation of duties; certificazione IAB TCF v2 e integrazione con server-side GTM.<\/p>\n<h3>4. Usercentrics \u2014 alternativa tedesca<\/h3>\n<p>Usercentrics, con sede a Monaco di Baviera, \u00e8 cresciuta come alternativa europea agli incumbent USA: a inizio 2022 il gruppo ha acquisito Cookiebot. Prezzi da 11 \u20ac\/mese (Starter) a 300 \u20ac\/mese (Premium), con piani enterprise dedicati. UI configurabile in oltre 50 lingue, database di oltre 2.000 tag noti con prior blocking automatico, certificazione TCF v2 e integrazioni native con i principali CMS.<\/p>\n<h3>5. Complianz \u2014 il plugin WordPress open source<\/h3>\n<p>Per chi gestisce un sito WordPress senza budget, Complianz (dell&#8217;olandese Really Simple Plugins) \u00e8 la scelta pi\u00f9 solida tra i plugin gratuiti. Versione free con banner configurabile, scansione manuale, integrazione con i principali tracker (GA, GTM, Meta Pixel, Hotjar); versione Pro a 69 \u20ac\/anno con cookie scan automatico ricorrente, geo-targeting e A\/B test. Wizard guidato in italiano e nessun lock-in: tutta la configurazione resta nel database WordPress.<\/p>\n<h3>6. Termly \u2014 la soluzione low-cost USA<\/h3>\n<p>Termly \u00e8 pensata per piccoli siti, interfaccia semplice e prezzi contenuti. Piano gratuito fino a 5.000 viewer\/mese, a pagamento da 10 $\/mese (Basic) a 40 $\/mese (Pro+). Include generatori di privacy policy, cookie policy, ToS, EULA. Limite: localizzazione italiana parziale e banner di default meno conforme out-of-the-box alle indicazioni Garante rispetto a Iubenda o Cookiebot.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline2-6.jpg\" alt=\"Sviluppatore web che configura il cookie banner e il prior consent dei tag\" style=\"width:100%; height:auto; border-radius:12px; margin:24px 0;\"><\/p>\n<h2>Cookie scan e audit: la fotografia reale del sito<\/h2>\n<p>Uno degli errori pi\u00f9 comuni \u00e8 dichiarare nel banner soltanto i cookie &#8220;noti&#8221;, ignorando quelli depositati indirettamente da terze parti: il pixel di Meta pu\u00f2 caricare cookie di partner pubblicitari, le mappe interattive caricano font da Google, gli embed di YouTube depositano cookie DoubleClick.<\/p>\n<p>Per questo le Linee guida 2021 ribadiscono il principio di <em>accountability<\/em>: il titolare deve sapere cosa accade sul proprio sito. Strumenti come Iubenda Cookie Solution scan, il <em>Site Scanner<\/em> di Cookiebot o l&#8217;open source <em>CookieServe<\/em> producono un report che confronta i cookie dichiarati con quelli effettivamente trovati. L&#8217;audit andrebbe ripetuto almeno una volta al mese in automatico, dopo ogni rilascio significativo e dopo ogni cambio di tema, plugin o piattaforma pubblicitaria.<\/p>\n<h2>Schema di implementazione: banner, preferenze, revoca, log<\/h2>\n<p>Indipendentemente dal CMP scelto, l&#8217;architettura di un cookie banner conforme nel 2022 si articola in quattro componenti:<\/p>\n<ol>\n<li><strong>Banner di primo livello<\/strong>: messaggio conciso (250-300 caratteri), tre pulsanti \u2014 Accetta, Rifiuta, Personalizza \u2014 di pari evidenza, link a privacy policy. Blocca di default i cookie non tecnici.<\/li>\n<li><strong>Pannello di preferenze<\/strong>: secondo livello con singole categorie (necessari, statistici, profilazione, marketing). I necessari sono attivi e non disattivabili; le altre categorie sono opt-in con toggle di default su &#8220;off&#8221;.<\/li>\n<li><strong>Badge di revoca<\/strong>: link sempre presente nel footer o badge fluttuante che riapre il pannello in qualunque momento.<\/li>\n<li><strong>Log del consenso<\/strong>: archiviazione lato server di data, IP anonimizzato, versione del banner, scelta espressa. Permette di dimostrare la conformit\u00e0 in caso di ispezione.<\/li>\n<\/ol>\n<p>Sul piano tecnico, il prior consent si implementa con <strong>tag wrapper<\/strong> (ogni tag di terze parti incapsulato in una funzione che lo esegue solo se la categoria \u00e8 attiva \u2014 approccio pi\u00f9 pulito), <strong>GTM consent mode<\/strong> (GTM legge lo stato del consenso e blocca i tag) o <strong>auto-blocking<\/strong> via JavaScript del CMP (intercetta gli script noti; funziona meno per script custom).<\/p>\n<h2>Server-side GTM e tracking cookieless<\/h2>\n<p>Un trend significativo del 2021\u20132022 \u00e8 l&#8217;adozione del <strong>server-side Google Tag Manager<\/strong>: invece di caricare i tag direttamente nel browser, le richieste passano per un endpoint sotto il dominio del sito (es. <em>data.miosito.it<\/em>) che inoltra i dati ai servizi finali. Vantaggi: minore esposizione di cookie di terze parti nel browser, possibilit\u00e0 di filtrare e anonimizzare i dati prima dell&#8217;invio, resilienza ai filtri ITP di Safari, riduzione del peso JavaScript con beneficio Core Web Vitals.<\/p>\n<p>Attenzione: il server-side GTM <strong>non elimina<\/strong> la necessit\u00e0 di consenso. Se la finalit\u00e0 \u00e8 profilazione, il consenso serve comunque. Aiuta per\u00f2 a dimostrare accountability e a ridurre il numero di terze parti direttamente attive sul browser.<\/p>\n<h2>Sanzioni e casi recenti: cosa rischiano le PMI<\/h2>\n<p>Il quadro sanzionatorio italiano sui cookie \u00e8 ormai consolidato. <strong>Caffeina Media<\/strong> (provvedimento Garante n. 392 del 11 novembre 2021): 60.000 \u20ac per banner non conforme, cookie di profilazione attivi prima del consenso, informativa incompleta. <strong>Marriott International<\/strong> (ICO britannica, ottobre 2020): 18,4 milioni di sterline per data breach con scarsa accountability sui sistemi di tracking. <strong>Sanzioni medie italiane per PMI<\/strong>: nel range 5.000\u201350.000 \u20ac a seconda di volume di traffico, gravit\u00e0, durata della non conformit\u00e0 e collaborazione con l&#8217;Autorit\u00e0. Si aggiunge il rischio reputazionale: i provvedimenti del Garante sono pubblici e indicizzati e per un&#8217;azienda B2B il danno d&#8217;immagine pu\u00f2 superare la sanzione.<\/p>\n<h2>Errori comuni nell&#8217;implementazione<\/h2>\n<p>Dall&#8217;esperienza di audit su decine di siti italiani, ecco gli errori che ricorrono con maggiore frequenza:<\/p>\n<ul>\n<li><strong>Mancato prior blocking<\/strong>: il banner appare, ma Meta Pixel e Google Ads sono gi\u00e0 caricati. Conformit\u00e0 solo apparente.<\/li>\n<li><strong>&#8220;Rifiuta&#8221; mancante al primo livello<\/strong>: l&#8217;utente \u00e8 costretto a passare dal pannello preferenze, contro le Linee guida.<\/li>\n<li><strong>X come consenso implicito<\/strong>: dark pattern espressamente vietato.<\/li>\n<li><strong>Log del consenso assente<\/strong>: l&#8217;art. 7.1 GDPR impone al titolare di poter <em>dimostrare<\/em> il consenso.<\/li>\n<li><strong>Mancata granularit\u00e0<\/strong>: un unico &#8220;accetta&#8221; non rispetta il requisito di specificit\u00e0.<\/li>\n<li><strong>Privacy policy generica<\/strong>: senza elenco cookie reali, durata, finalit\u00e0 e provider \u00e8 insufficiente.<\/li>\n<li><strong>Banner non ripresentato<\/strong>: dopo 6 mesi il consenso va comunque rinnovato.<\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline3-6.jpg\" alt=\"Team aziendale in riunione per pianificare la roadmap di conformit\u00e0 GDPR e cookie banner\" style=\"width:100%; height:auto; border-radius:12px; margin:24px 0;\"><\/p>\n<h2>Roadmap di conformit\u00e0 in 30 giorni<\/h2>\n<p>Un piano realistico per un sito di piccola\u2013media complessit\u00e0:<\/p>\n<p><strong>Giorni 1\u20133 \u2014 Audit iniziale.<\/strong> Scansione cookie con Iubenda, Cookiebot o tool gratuiti come <em>CookieServe<\/em>. Mappare tutti i cookie reali, le terze parti coinvolte, i dati inviati. Estendere a localStorage e sessionStorage.<\/p>\n<p><strong>Giorni 4\u20137 \u2014 Classificazione.<\/strong> Categorizzare ogni cookie come tecnico, statistico, profilazione, marketing. Identificare i flussi extra-UE e valutare le basi giuridiche del trasferimento (SCC, decisioni di adeguatezza).<\/p>\n<p><strong>Giorni 8\u201312 \u2014 Scelta del CMP.<\/strong> In base a budget, volumi, esigenze (TCF v2? multi-jurisdiction?), selezionare lo strumento e attivare l&#8217;account.<\/p>\n<p><strong>Giorni 13\u201318 \u2014 Implementazione banner.<\/strong> Configurare il primo livello secondo le Linee guida 2021: tre pulsanti equivalenti, pannello di preferenze granulare, prior blocking per tutti i cookie non tecnici.<\/p>\n<p><strong>Giorni 19\u201322 \u2014 Aggiornamento informative.<\/strong> Rivedere privacy e cookie policy: elenco cookie con durata e finalit\u00e0, terze parti, modalit\u00e0 di revoca, dati del titolare e DPO se nominato.<\/p>\n<p><strong>Giorni 23\u201326 \u2014 Test.<\/strong> Verificare in staging che, con consenso rifiutato, nessun cookie non tecnico venga depositato (Chrome DevTools tab Application). Testare revoca e rinnovo a 6 mesi.<\/p>\n<p><strong>Giorni 27\u201330 \u2014 Documentazione.<\/strong> Aggiornare il registro dei trattamenti (art. 30 GDPR) e formare marketing e IT sulla gestione dei tag e del consent mode. Da questo momento la conformit\u00e0 \u00e8 un processo continuo.<\/p>\n<h2>Conclusioni<\/h2>\n<p>Le Linee guida del Garante del 10 giugno 2021, operative dal 10 gennaio 2022, hanno alzato l&#8217;asticella. Non si tratta solo di &#8220;mettere un banner&#8221;: occorre ridisegnare il modo in cui il sito raccoglie consenso, blocca i tag, archivia le scelte e dimostra accountability. I provvedimenti su GA tra dicembre 2021 e giugno 2022 in Austria, Francia e Italia mostrano che le autorit\u00e0 guardano ai flussi reali di dati, non al banner di facciata.<\/p>\n<p>La buona notizia: gli strumenti per essere conformi esistono, sono maturi e coprono ogni segmento di budget, dal plugin WordPress gratuito al CMP enterprise. Un cookie banner ben progettato non penalizza le conversioni: spesso aumenta la fiducia dell&#8217;utente e la qualit\u00e0 del dato raccolto.<\/p>\n<div style=\"background: linear-gradient(135deg, #1e3a8a 0%, #3b82f6 100%); color:#fff; padding:32px 28px; border-radius:14px; margin:32px 0; text-align:center;\">\n<h3 style=\"color:#fff; margin-top:0;\">Vuoi un audit del tuo cookie banner?<\/h3>\n<p style=\"color:#dbeafe; font-size:17px; margin:14px 0 22px;\">In Brentasoft analizziamo il tuo sito, mappiamo i cookie reali, scegliamo il CMP pi\u00f9 adatto e implementiamo banner conformi alle Linee guida Garante 2021. Richiedi un preventivo gratuito senza impegno.<\/p>\n<p><a href=\"https:\/\/brentasoft.com\/preventivatore.php\" style=\"display:inline-block; background:#fff; color:#1e3a8a; padding:14px 32px; border-radius:8px; text-decoration:none; font-weight:700; font-size:16px;\">Richiedi un preventivo<\/a>\n<\/div>\n<h2>Domande frequenti<\/h2>\n<h3>Devo bloccare Google Analytics in attesa del provvedimento Garante?<\/h3>\n<p>Dopo DSB e CNIL (gen\u2013feb 2022) e il provvedimento Garante del 9 giugno 2022, GA Universal con configurazione standard va trattato come strumento soggetto a consenso e con valutazione caso per caso del trasferimento dati. Alternative: configurazione con IP anonimizzato e SCC documentate, server-side GTM, sostituzione con Matomo o Plausible europei.<\/p>\n<h3>Il banner deve essere identico per utenti UE ed extra-UE?<\/h3>\n<p>No, \u00e8 preferibile differenziarlo. Per utenti UE si applicano GDPR + Linee guida Garante. Per utenti USA pu\u00f2 essere applicato il modello CCPA (opt-out). I CMP citati gestiscono la geo-targetizzazione in automatico.<\/p>\n<h3>Posso considerare GA un cookie tecnico se anonimizzo l&#8217;IP?<\/h3>\n<p>Le Linee guida 2021 richiedono anonimizzazione, no incrocio dati, no uso terze parti. Con i provvedimenti 2022 sul trasferimento USA, anche con IP anonimizzato la situazione va valutata con il DPO. La via prudente \u00e8 chiedere consenso preventivo.<\/p>\n<h3>Quanto durano i log del consenso?<\/h3>\n<p>Il GDPR non fissa un termine esplicito; le prassi diffuse archiviano il log per la durata del consenso pi\u00f9 12 mesi a fini probatori. Iubenda, Cookiebot e gli altri CMP gestiscono l&#8217;archiviazione in automatico.<\/p>\n<h3>Cosa devo fare se uso Meta Pixel o altri pixel pubblicitari?<\/h3>\n<p>Sono identificatori di profilazione e marketing di terza parte: vanno bloccati prima del consenso, dichiarati nella cookie policy, inseriti nella categoria &#8220;marketing&#8221;. L&#8217;utente deve poter accettare gli statistici e rifiutare il marketing.<\/p>\n<h3>Il pulsante &#8220;Rifiuta&#8221; \u00e8 davvero obbligatorio al primo livello?<\/h3>\n<p>S\u00ec. Le Linee guida 2021 sono chiare: deve essere equivalente per visibilit\u00e0 all&#8217;accetta e disponibile al primo livello. Nasconderlo nel pannello di preferenze costituisce dark pattern.<\/p>\n<h3>Quanto costa adeguare un sito di piccole dimensioni?<\/h3>\n<p>Per un sito vetrina o un blog WordPress con CMP gratuito (Complianz) o low-cost (Iubenda base, Termly Free), il costo \u00e8 praticamente zero in licenze e 6\u201310 ore di implementazione. Per e-commerce o portali con pubblicit\u00e0 programmatica il budget realistico \u00e8 1.500\u20133.000 \u20ac di setup pi\u00f9 una licenza CMP da 100\u2013500 \u20ac all&#8217;anno.<\/p>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"HowTo\",\n  \"name\": \"Come rendere conforme il cookie banner alle Linee guida Garante 2021\",\n  \"description\": \"Roadmap operativa in 5 step per adeguare un sito italiano alle Linee guida Garante del 10 giugno 2021, in vigore dal 10 gennaio 2022.\",\n  \"totalTime\": \"P30D\",\n  \"step\": [\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 1,\n      \"name\": \"Audit cookie e classificazione\",\n      \"text\": \"Eseguire una scansione completa del sito con tool come Iubenda Cookie Solution, Cookiebot Site Scanner o CookieServe. Mappare ogni cookie e identificatore in localStorage\/sessionStorage, classificandolo come tecnico, statistico, profilazione o marketing.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 2,\n      \"name\": \"Scelta e attivazione del CMP\",\n      \"text\": \"Selezionare un Consent Management Platform adeguato al budget e alle esigenze: Iubenda o Cookiebot per PMI, OneTrust o Usercentrics per enterprise, Complianz o Termly per piccoli siti WordPress. Attivare l'account e configurare le categorie.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 3,\n      \"name\": \"Implementazione banner conforme\",\n      \"text\": \"Configurare il banner di primo livello con tre pulsanti equivalenti per visibilita (Accetta, Rifiuta, Personalizza), pannello di preferenze granulare e prior blocking di tutti i cookie non tecnici. Verificare che lo scroll non venga interpretato come consenso.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 4,\n      \"name\": \"Aggiornamento privacy e cookie policy\",\n      \"text\": \"Redigere informativa multi-livello: banner conciso con link a privacy policy estesa che elenca cookie, durata, finalita, terze parti, modalita di revoca e dati di contatto del titolare e del DPO se nominato.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 5,\n      \"name\": \"Test, log e documentazione\",\n      \"text\": \"Verificare in staging che con consenso rifiutato nessun cookie non tecnico venga depositato. Implementare il log del consenso lato server e aggiornare il registro dei trattamenti ex art. 30 GDPR. Ripresentare il banner dopo 6 mesi.\"\n    }\n  ]\n}\n<\/script><\/p>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"FAQPage\",\n  \"mainEntity\": [\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Devo bloccare Google Analytics in attesa del provvedimento Garante?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Dopo le decisioni DSB austriaca e CNIL francese del gennaio-febbraio 2022 e con il provvedimento Garante del 9 giugno 2022, Google Analytics Universal in configurazione standard va trattato come strumento soggetto a consenso e con valutazione caso per caso del trasferimento dati. Alternative: configurazione con IP anonimizzato e SCC documentate, server-side GTM, sostituzione con Matomo o Plausible europei.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Il banner deve essere identico per utenti UE ed extra-UE?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"No, e preferibile differenziarlo. Per utenti UE si applicano GDPR e Linee guida Garante. Per utenti USA puo essere applicato il modello CCPA con opt-out invece di opt-in. I CMP citati gestiscono la geo-targetizzazione in automatico.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso considerare Google Analytics un cookie tecnico se anonimizzo l'IP?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Le Linee guida 2021 richiedono anonimizzazione, no incrocio dati e no uso terze parti. Con i provvedimenti 2022 sul trasferimento dati USA, anche con IP anonimizzato la situazione va valutata con il DPO. La via prudente e chiedere consenso preventivo.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quanto durano i log del consenso?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Il GDPR non fissa un termine esplicito. Le prassi diffuse archiviano il log per la durata del consenso piu 12 mesi a fini probatori, in ottica di accountability. Iubenda, Cookiebot e gli altri CMP gestiscono l'archiviazione in automatico.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Cosa devo fare se uso Meta Pixel o altri pixel pubblicitari?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Sono identificatori di profilazione e marketing di terza parte: vanno bloccati prima del consenso, dichiarati nella cookie policy e inseriti nella categoria marketing del banner. Il consenso deve essere granulare: l'utente deve poter accettare gli statistici e rifiutare il marketing.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Il pulsante Rifiuta e obbligatorio al primo livello del banner?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Si. Le Linee guida 2021 sono chiare: il pulsante per rifiutare deve essere equivalente per visibilita all'accetta e disponibile al primo livello del banner. Nasconderlo nel pannello di preferenze costituisce dark pattern espressamente vietato.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quanto costa adeguare un sito di piccole dimensioni?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Per un sito vetrina o un blog WordPress con CMP gratuito come Complianz o low-cost come Iubenda base, il costo in licenze e praticamente zero e l'implementazione richiede 6-10 ore. Per e-commerce o portali con pubblicita programmatica il budget realistico e 1.500-3.000 euro di setup piu una licenza CMP annuale da 100-500 euro.\"\n      }\n    }\n  ]\n}\n<\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dal 10 gennaio 2022 le Linee guida Garante 2021 sono in vigore: 8 regole chiave, 6 strumenti CMP e roadmap conformit\u00e0 in 30 giorni.<\/p>\n","protected":false},"author":2,"featured_media":2001,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"Cookie banner GDPR 2022: Garante + 6 tool | Brentasoft","_seopress_titles_desc":"Linee guida Garante Privacy 2021 in vigore dal 10 gennaio 2022 per le PMI italiane: 8 regole chiave, 6 CMP a confronto e roadmap conformit\u00e0 in 30 giorni.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"https:\/\/brentasoft.com\/blog\/cookie-banner-gdpr-linee-guida-garante-privacy-pmi-2022\/","_seopress_social_fb_title":"Cookie banner GDPR 2022: Garante + 6 tool","_seopress_social_fb_desc":"Linee guida Garante Privacy 2021 operative dal 10 gennaio 2022: regole pratiche, 6 CMP a confronto e roadmap conformit\u00e0 in 30 giorni.","_seopress_social_fb_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/featured-6.jpg","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"Cookie banner GDPR 2022: Garante + 6 tool","_seopress_social_twitter_desc":"Linee guida Garante 2021 operative dal 10 gennaio 2022: 8 regole, 6 CMP, roadmap 30 giorni.","_seopress_social_twitter_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/featured-6.jpg","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"categories":[25],"tags":[],"class_list":["post-2019","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/2019","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=2019"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/2019\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/2001"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=2019"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=2019"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=2019"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}