Consenso ai cookie: cosa richiede davvero la legge
Il consenso ai cookie è uno degli obblighi più fraintesi in materia di privacy digitale. Molte aziende sono convinte di essere conformi solo perché mostrano un banner sui cookie. Ma un banner non equivale al consenso. Il consenso è un concetto giuridico specifico con requisiti precisi, e non soddisfare tali requisiti può rendere illecita l'intera raccolta di dati.
Il fondamento giuridico
Il consenso ai cookie poggia su due pilastri giuridici:
L'articolo 5, paragrafo 3, della Direttiva ePrivacy stabilisce l'obbligo: l'archiviazione o l'accesso a informazioni sul dispositivo di un utente richiede il consenso dell'utente, a meno che l'archiviazione non sia strettamente necessaria per un servizio esplicitamente richiesto dall'utente. È questa la norma che disciplina specificamente i cookie.
L'articolo 4, punto 11, del GDPR definisce cosa significhi consenso: "'consenso' dell'interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento."
Queste due disposizioni operano insieme. La Direttiva ePrivacy stabilisce quando è necessario il consenso (per i cookie non essenziali). Il GDPR stabilisce come deve essere un consenso valido. Entrambe devono essere rispettate.
I cinque requisiti del consenso valido
Sulla base dell'articolo 4, punto 11, dell'articolo 7 del GDPR e delle Linee guida 05/2020 dell'EDPB sul consenso, un consenso valido ai cookie deve soddisfare cinque criteri:
1. Liberamente prestato
L'utente deve avere una scelta autentica. Il consenso non è libero se:
- L'accesso è subordinato al consenso. Se l'utente non può utilizzare il sito web senza accettare tutti i cookie (un "cookie wall"), il consenso non è liberamente prestato. L'EDPB ha confermato questa posizione, sebbene alcune autorità nazionali per la protezione dei dati (DPA) consentano cookie wall limitati in circostanze specifiche, in particolare se esiste un'alternativa reale (ad esempio una versione a pagamento e priva di cookie).
- Esiste un significativo squilibrio di potere. Nei rapporti tra datore di lavoro e dipendente o tra amministrazione e cittadino, il consenso potrebbe non essere realmente libero. Per la maggior parte dei siti web questo aspetto è meno rilevante, ma diventa importante per i servizi della pubblica amministrazione e le piattaforme intranet.
- Rifiutare è significativamente più difficile che accettare. Se "Accetta tutti" è un pulsante ben visibile mentre "Rifiuta tutti" richiede di navigare tra le impostazioni, il consenso non è liberamente prestato. Sia il Garante italiano sia la CNIL francese hanno emanato indicazioni specifiche secondo cui rifiutare i cookie deve essere facile quanto accettarli.
2. Specifico
Il consenso deve essere prestato separatamente per ciascuna finalità distinta. È per questo che esistono le categorie di cookie. Un meccanismo di consenso valido deve consentire agli utenti di accettare i cookie analitici rifiutando quelli di marketing, o viceversa. Raggruppare tutti i cookie in un unico "accetta" o "rifiuta" non soddisfa il requisito della specificità, sebbene offrire sia "Accetta tutti" sia "Rifiuta tutti" come scorciatoie accanto ai controlli per singola categoria sia accettabile.
3. Informato
Prima di prestare il consenso, l'utente deve essere informato su:
- Chi imposta i cookie (l'operatore del sito web ed eventuali terze parti)
- Cosa fa ciascuna categoria di cookie
- Quanto durano i cookie
- Come revocare il consenso
Queste informazioni devono essere presentate in modo chiaro e con un linguaggio semplice. Una cookie policy di 5.000 parole nascosta dietro tre clic non rende il consenso "informato" in alcun senso concreto. Il primo livello del meccanismo di consenso dovrebbe contenere informazioni sufficienti affinché l'utente possa prendere una decisione consapevole.
4. Inequivocabile
Il consenso richiede un'azione positiva chiara. L'utente deve compiere attivamente qualcosa per manifestare il consenso: cliccare un pulsante, spuntare una casella, azionare un interruttore.
Cosa NON costituisce consenso inequivocabile:
- Caselle preselezionate. La CGUE ha stabilito in modo definitivo nella sentenza Planet49 (Causa C-673/17, ottobre 2019) che le caselle preselezionate non costituiscono un consenso valido. Ciò vale per le impostazioni di consenso ai cookie in cui le categorie sono spuntate per impostazione predefinita.
- Proseguire la navigazione. "Continuando a utilizzare questo sito, acconsenti ai cookie" non è un consenso valido. Il semplice scorrere la pagina o cliccare un link non è una "manifestazione inequivocabile". Numerose DPA lo hanno confermato e le linee guida dell'EDPB sono esplicite su questo punto.
- Impostazioni del browser. Affidarsi alle impostazioni del browser dell'utente come forma di consenso è stato respinto dalle autorità di controllo. L'operatore del sito web deve ottenere il consenso direttamente.
- Silenzio o inattività. Se l'utente ignora il banner e continua a navigare, ciò non costituisce consenso. Non deve essere installato alcun cookie finché l'utente non ha compiuto una scelta attiva.
5. Preventivo
Sebbene non sia elencato come elemento distinto nell'articolo 4, punto 11, del GDPR, la Direttiva ePrivacy chiarisce che il consenso deve essere ottenuto prima che i cookie vengano installati. È questo il requisito che molti siti web ancora non soddisfano. Gli script che si attivano al caricamento della pagina — impostando cookie analitici e di marketing prima ancora che l'utente abbia visto il banner di consenso — violano questo requisito fondamentale.
Dal punto di vista tecnico, ciò significa che gli script non essenziali devono essere bloccati finché non viene prestato il consenso. Mostrare semplicemente un banner mentre i cookie sono già in fase di installazione non soddisfa il requisito del consenso preventivo.
Come si presenta un consenso valido nella pratica
Un'implementazione conforme del consenso ai cookie:
- Blocca tutti i cookie non essenziali prima che l'utente interagisca con il meccanismo di consenso.
- Presenta un primo livello chiaro che spiega le categorie di cookie utilizzate, con opzioni per accettare o rifiutare ciascuna categoria.
- Offre "Accetta tutti" e "Rifiuta tutti" con lo stesso grado di visibilità: stesse dimensioni, stesso peso visivo, stesso numero di clic richiesti.
- Non utilizza dark pattern: nessun colore ingannevole dei pulsanti, nessuna opzione di rifiuto nascosta, nessun linguaggio confuso, nessuna spinta verso l'accettazione.
- Rimanda a una cookie policy dettagliata che elenca ogni cookie per nome, finalità, durata e fornitore.
- Registra il consenso con una marca temporale e le categorie specifiche che l'utente ha accettato o rifiutato.
- Attiva solo gli script pertinenti dopo che il consenso è stato prestato per quella specifica categoria.
Il ciclo di vita del consenso
Il consenso non è un evento isolato. Ha un ciclo di vita che la tua implementazione deve supportare:
Raccolta
Prima visita: mostra il meccanismo di consenso, blocca i cookie non essenziali, attendi l'azione dell'utente.
Archiviazione
Quando il consenso viene prestato, memorizza la scelta dell'utente in un cookie strettamente necessario (per questo cookie non è richiesto alcun consenso, poiché è indispensabile per rispettare le preferenze di privacy dell'utente). Conserva inoltre una registrazione lato server come prova del consenso.
Applicazione
Nei caricamenti successivi delle pagine, leggi il cookie di consenso e attiva solo gli script corrispondenti alle categorie accettate dall'utente. Non mostrare nuovamente il banner: rispetta la scelta memorizzata.
Revoca
L'articolo 7, paragrafo 3, del GDPR è esplicito: "Il consenso deve essere revocato con la stessa facilità con cui è accordato." Il tuo sito web deve fornire un modo persistente e facilmente accessibile affinché gli utenti possano modificare le proprie preferenze sui cookie in qualsiasi momento. Un approccio diffuso è una piccola icona o un link nel footer che riapre l'interfaccia di gestione del consenso.
Rinnovo
Il consenso non dura per sempre. La CNIL raccomanda di rinnovare il consenso ogni 13 mesi. L'EDPB non ha fissato una durata specifica, ma richiede che il consenso rimanga valido e che la scelta dell'utente continui a riflettere la sua reale volontà. La buona prassi prevede di richiederlo nuovamente almeno una volta all'anno o ogni volta che l'utilizzo dei cookie cambia in modo significativo.
Modifiche
Se aggiungi nuovi cookie, nuovi servizi di terze parti o nuove finalità, il consenso esistente potrebbe non coprirli più. Agli utenti dovrebbe essere richiesto nuovamente di prestare (o negare) il consenso per il nuovo trattamento.
Registrazioni del consenso e prova
L'articolo 7, paragrafo 1, del GDPR stabilisce: "Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso." Per il consenso ai cookie, ciò significa che devi conservare registrazioni relative a:
- Quando è stato prestato il consenso (marca temporale)
- Cosa ha accettato l'utente (quali categorie sono state accettate e quali rifiutate)
- Come è stato raccolto il consenso (com'era il meccanismo di consenso in quel momento: un identificativo di versione o uno screenshot)
- Chi ha prestato il consenso (di norma un identificativo anonimizzato, non il nome dell'utente)
Se un'autorità di controllo ti chiede di dimostrare che un determinato cookie è stato installato con un consenso valido, queste registrazioni sono la tua difesa. In loro assenza, non hai alcuna prova che il tuo meccanismo di consenso funzioni, e l'onere della prova ricade su di te, non sull'autorità.
Errori comuni relativi al consenso
Sulla base dei provvedimenti sanzionatori adottati in tutta Europa, questi sono gli errori più frequentemente sanzionati in materia di consenso:
- Cookie installati prima del consenso. Script di analisi e di marketing che si attivano al caricamento della pagina, prima che l'utente interagisca con il banner.
- Assenza dell'opzione di rifiuto nel primo livello. Costringere gli utenti a cliccare su "Impostazioni" o "Gestisci preferenze" per rifiutare i cookie, mentre "Accetta tutti" è immediatamente disponibile.
- Categorie preselezionate. Interruttori di consenso impostati su "attivo" per default per l'analisi e il marketing.
- Nessuna possibilità di revocare il consenso. Una volta chiuso il banner, l'utente non ha modo di modificare la propria scelta.
- Consent wall / cookie wall. Bloccare l'accesso ai contenuti a meno che non vengano accettati tutti i cookie.
- Design ingannevole. Utilizzare il verde per "Accetta" e il grigio per "Rifiuta", rendere il pulsante di accettazione più grande o impiegare un linguaggio confuso come "Continua senza accettare" contro "Accetta e continua".
Passiro analizza l'implementazione del consenso ai cookie del tuo sito web e verifica la presenza di questi errori comuni, aiutandoti a individuare e correggere le lacune di conformità prima che lo faccia un'autorità di controllo.
Prossimo argomento: quando è esattamente richiesto il consenso? La risposta comporta alcune sfumature importanti, tra cui l'esenzione per i cookie strettamente necessari e il dibattito in corso sull'analisi di prima parte.
In questa sezione
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis