Opt-in vs. opt-out: comprendere i due modelli di consenso
Nel mondo esistono due approcci fondamentalmente diversi al consenso sui cookie. L'Unione Europea richiede l'opt-in: nessun cookie finché l'utente non dice sì. Gli Stati Uniti (nella maggior parte degli stati) consentono l'opt-out: i cookie vengono installati per impostazione predefinita e l'utente può rifiutarli. Comprendere questi due modelli — la loro base giuridica, le loro implicazioni e i contesti in cui si applicano — è essenziale per qualsiasi sito web con un pubblico globale.
Il modello opt-in
Secondo il modello opt-in, i cookie non essenziali non possono essere installati finché l'utente non ha fornito un consenso esplicito e affermativo. L'assenza di azione da parte dell'utente significa nessun cookie. È il modello richiesto dalla Direttiva ePrivacy dell'UE (Articolo 5(3)), interpretata alla luce della definizione di consenso del GDPR (Articolo 4(11)).
Come funziona l'opt-in nella pratica
- L'utente visita il sito web per la prima volta.
- Sono attivi solo i cookie strettamente necessari. I cookie di analisi, marketing e preferenze sono bloccati.
- Compare un meccanismo di consenso che presenta le categorie di cookie e chiede all'utente di effettuare una scelta.
- L'utente seleziona attivamente quali categorie accettare (oppure clicca su "Accetta tutti" o "Rifiuta tutti").
- Vengono caricati solo gli script corrispondenti alle categorie accettate.
- Se l'utente non compie alcuna azione, non viene impostato alcun cookie non essenziale. Il meccanismo di consenso resta visibile (o accessibile) finché l'utente non effettua una scelta.
Base giuridica
Il requisito dell'opt-in deriva da due fonti:
- Direttiva ePrivacy Articolo 5(3): richiede il "consenso" prima di memorizzare informazioni sul dispositivo di un utente.
- GDPR Articolo 4(11): definisce il consenso come qualcosa che richiede un'"azione affermativa chiara" — il che esclude l'inerzia, le caselle pre-selezionate e l'accordo implicito.
- Sentenza CGUE Planet49 (C-673/17): ha confermato che è necessario un consenso attivo e che le caselle pre-selezionate non costituiscono un consenso valido.
Dove si applica l'opt-in
Tutti gli stati membri dell'UE/SEE (27 paesi dell'UE più Norvegia, Islanda e Liechtenstein), oltre al Regno Unito (che ha mantenuto le regole ePrivacy dopo la Brexit tramite le Privacy and Electronic Communications Regulations, o PECR).
Implicazioni per i gestori di siti web
- Aspettatevi tassi di rifiuto del consenso significativi. I dati di settore indicano che il 30-50% dei visitatori europei rifiuta i cookie non essenziali quando gli viene offerta una scelta reale.
- I dati di analisi saranno incompleti. Avrete dati solo dagli utenti che hanno acconsentito. Non si tratta di un difetto — è il risultato voluto dalla normativa.
- Il caricamento degli script deve essere condizionato. È necessario un meccanismo tecnico che blocchi gli script fino a quando il consenso non viene registrato. Ciò non può essere ottenuto con un semplice banner — richiede una vera e propria gestione degli script.
Il modello opt-out
Secondo il modello opt-out, i cookie possono essere installati per impostazione predefinita. L'utente ha il diritto di rifiutarli o di disattivarli, ma se non compie alcuna azione, il tracciamento è consentito. È il modello utilizzato negli Stati Uniti e in diverse altre giurisdizioni.
Come funziona l'opt-out nella pratica
- L'utente visita il sito web.
- Tutti i cookie — compresi quelli di analisi e marketing — vengono installati immediatamente.
- Un avviso informa l'utente dell'utilizzo di cookie e fornisce un modo per disattivarli.
- Se l'utente non compie alcuna azione, i cookie restano attivi.
- Se l'utente sceglie l'opt-out, le sue preferenze vengono rispettate d'ora in avanti (e in alcune giurisdizioni i dati raccolti in precedenza potrebbero dover essere eliminati).
Base giuridica
Il modello opt-out si ritrova in:
- CCPA/CPRA (California): i consumatori californiani hanno il diritto di opporsi alla "vendita" o alla "condivisione" dei dati personali. I cookie utilizzati per la pubblicità comportamentale cross-context costituiscono "condivisione" ai sensi del CPRA. L'obbligo è fornire un meccanismo di opt-out (spesso tramite un link "Do Not Sell or Share My Personal Information"), non ottenere un consenso preventivo.
- CAN-SPAM Act e linee guida FTC: l'approccio federale statunitense al tracciamento online è stato storicamente basato sulla notifica e la scelta, piuttosto che sul consenso affermativo.
- Varie leggi statali statunitensi: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) e altre seguono varianti del modello opt-out per la pubblicità mirata e la vendita di dati.
Dove si applica l'opt-out
Gli Stati Uniti (con variazioni da stato a stato), il Canada (PIPEDA — anche se ciò potrebbe cambiare con le riforme proposte), l'Australia (secondo il Privacy Act — anch'esso in fase di revisione) e diverse altre giurisdizioni al di fuori dell'UE/SEE.
Implicazioni per i gestori di siti web
- Maggiore raccolta di dati per impostazione predefinita. Poiché i cookie vengono installati salvo obiezione dell'utente, i dati di analisi e pubblicitari sono più completi.
- Bisogna fornire un chiaro meccanismo di opt-out. Ai sensi del CCPA/CPRA, ciò significa un link "Do Not Sell or Share My Personal Information" facile da trovare e utilizzare.
- Bisogna rispettare il Global Privacy Control (GPC). La legge californiana impone alle aziende di trattare il segnale GPC del browser come una richiesta valida di opt-out.
Confronto dettagliato
| Aspetto | Opt-in (UE/GDPR) | Opt-out (USA/CCPA) |
|---|---|---|
| Stato predefinito | Cookie bloccati fino al consenso | Cookie attivi per impostazione predefinita |
| Azione richiesta all'utente | Deve agire per consentire i cookie | Deve agire per bloccare i cookie |
| Silenzio / inerzia | Significa nessun consenso (nessun cookie) | Significa consenso presunto (cookie attivi) |
| Meccanismo di consenso | Scelta granulare per categoria | Link o interruttore di opt-out |
| Caselle pre-selezionate | Non consentite (sentenza Planet49) | Consentite (modello opt-out) |
| Impatto sull'analisi | Perdita di dati del 30-50% per mancato consenso | Perdita di dati minima (pochi optano per l'opt-out) |
| Revoca | Semplice quanto la concessione del consenso (GDPR Art. 7(3)) | Deve essere prevista, senza obbligo di pari facilità |
| Minori | Consenso dei genitori sotto i 13-16 anni (variabile) | COPPA si applica ai minori di 13 anni |
| Normativa chiave | Direttiva ePrivacy + GDPR | CCPA/CPRA + leggi statali |
| Sanzioni massime | 20 mln EUR o 4% del fatturato globale | $7.500 per violazione intenzionale (CCPA) |
È possibile utilizzare modelli diversi per regioni diverse?
Sì, e molti siti web globali lo fanno. Questo approccio si chiama gestione del consenso geo-targettizzata. Il sito web rileva la posizione del visitatore (in genere tramite geolocalizzazione dell'IP) e presenta il modello di consenso appropriato:
- Visitatori UE/SEE/Regno Unito: modello opt-in con consenso granulare.
- Visitatori della California: modello opt-out con link "Do Not Sell or Share".
- Altri visitatori statunitensi: solo notifica (a seconda dell'applicabilità della legge statale).
- Altre giurisdizioni: in base alla legge locale applicabile.
Sfide del geo-targeting
- La geolocalizzazione dell'IP non è perfetta. Gli utenti che usano VPN possono essere localizzati in modo errato. Gli utenti mobili possono spostarsi tra giurisdizioni.
- Onere di manutenzione. Bisogna seguire gli sviluppi normativi in ogni giurisdizione servita e aggiornare di conseguenza i flussi di consenso.
- Complessità dei test. Bisogna verificare che ogni variante regionale funzioni correttamente — banner diversi, stati predefiniti diversi, comportamenti diversi di blocco degli script.
- Il GDPR si applica in modo extraterritoriale. Se il vostro target include utenti dell'UE (Articolo 3(2)), il GDPR si applica indipendentemente da dove ha sede la vostra attività. Il "targeting" include l'offerta di beni o servizi ai residenti dell'UE o il monitoraggio del loro comportamento.
Buona pratica: adottare l'opt-in come impostazione predefinita
Se gestire più modelli di consenso sembra un compito arduo, esiste una strada più semplice: adottare il modello opt-in a livello globale come impostazione predefinita.
Ecco perché funziona:
- Conformità ovunque. Il modello opt-in soddisfa i requisiti più rigorosi. Se rispettate i requisiti di consenso del GDPR, superate automaticamente i requisiti del CCPA, della LGPD e della maggior parte degli altri quadri normativi.
- Semplicità. Un unico meccanismo di consenso, un'unica implementazione, un unico set di test. Nessuna geo-rilevazione, nessuna variante regionale, nessun caso limite.
- A prova di futuro. La tendenza globale è verso requisiti di consenso più rigorosi. Le riforme proposte negli Stati Uniti, in Canada, in Australia e in India vanno tutte nella direzione di un consenso più esplicito. Costruire ora per l'opt-in significa non dover fare adeguamenti in seguito.
- Fiducia degli utenti. Gli utenti di tutto il mondo rispondono positivamente a pratiche di consenso trasparenti e rispettose. Offrire una scelta reale — anche dove la legge non lo impone rigorosamente — costruisce fiducia e credibilità del marchio.
- Qualità dei dati. I dati consentiti sono più puliti, più difendibili e più preziosi di quelli raccolti in un contesto di ambiguità giuridica.
Il compromesso è reale: raccoglierete meno dati a livello globale. Ma i dati che raccoglierete saranno giuridicamente solidi, eticamente puliti e sempre più preziosi man mano che i dati di terze parti diventano meno accessibili.
Sviluppi emergenti
Il panorama del consenso non è statico. Vale la pena monitorare diversi sviluppi:
- Regolamento ePrivacy. L'UE lavora dal 2017 a una sostituzione della Direttiva ePrivacy. Quando verrà approvato, diventerà un regolamento direttamente applicabile (come il GDPR) anziché una direttiva che richiede il recepimento nazionale. Ci si aspetta che le regole sul consenso per i cookie restino simili o più rigorose rispetto al quadro attuale.
- Global Privacy Control (GPC). Questo segnale a livello di browser comunica automaticamente le preferenze di privacy di un utente. La legge californiana richiede già di rispettare il GPC. Lo stesso vale per Colorado e Connecticut. Potrebbe diventare un meccanismo standard per comunicare le preferenze di opt-out.
- Modelli "consenso o pagamento". Il parere del 2024 dell'EDPB sul "consenso o pagamento" (in particolare nel contesto dell'approccio di Meta) sta influenzando il modo in cui i regolatori valutano il rapporto tra consenso e accesso ai servizi.
- Consenso a livello di browser. Alcune proposte prevedono lo spostamento della gestione del consenso dai singoli siti web al browser stesso, con gli utenti che impostano le proprie preferenze una sola volta anziché su ogni sito. Ciò cambierebbe radicalmente il funzionamento del consenso nella pratica.
Passiro vi aiuta a implementare il modello di consenso giusto per il vostro pubblico, con il rilevamento e la categorizzazione automatica di tutti i cookie del vostro sito — che scegliate l'opt-in, l'opt-out o un approccio geo-targettizzato.
Per la nostra sezione finale, esaminiamo le buone pratiche per il consenso — la guida pratica e concreta per implementare un consenso che sia al tempo stesso conforme e semplice da usare.
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis