Skip to main content

Quando è necessario il consenso ai cookie?

La regola generale è semplice: il consenso è necessario per tutti i cookie, tranne quelli strettamente necessari. Ma i dettagli fanno la differenza. Sapere esattamente quando il consenso è richiesto e quando no permette di evitare sia l'eccesso di conformità (infastidire gli utenti con richieste di consenso superflue) sia la carenza di conformità (installare cookie senza una base giuridica).

La regola generale

L'articolo 5, paragrafo 3, della Direttiva ePrivacy stabilisce il principio di base:

Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per accedere a informazioni archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso il proprio consenso, dopo essere stato informato in modo chiaro e completo [...] sugli scopi del trattamento.

Questo riguarda tutti i cookie, tutto il local storage, ogni forma di archiviazione o accesso a livello di dispositivo. Se il tuo sito web scrive qualcosa sul dispositivo dell'utente, il requisito predefinito è il consenso.

L'esenzione per i cookie strettamente necessari

Lo stesso articolo prevede l'unica esenzione:

Ciò non impedisce l'eventuale archiviazione tecnica o l'accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio.

Questa esenzione comprende due parti:

  1. Trasmissione tecnica: i cookie tecnicamente necessari affinché la comunicazione avvenga. Si tratta di una categoria ristretta, sostanzialmente limitata ai cookie di bilanciamento del carico e ad analoghe necessità a livello di rete.
  2. Strettamente necessari per il servizio: i cookie essenziali per un servizio esplicitamente richiesto dall'utente. La formula chiave è "esplicitamente richiesto dall'abbonato o dall'utente". Il servizio deve essere qualcosa che l'utente ha richiesto e il cookie deve essere indispensabile per erogarlo.

Cookie strettamente necessari (nessun consenso richiesto)

  • Cookie di autenticazione della sessione. Quando un utente effettua l'accesso, il cookie di sessione che mantiene il suo stato autenticato è strettamente necessario per il servizio richiesto (accedere al proprio account).
  • Cookie del carrello. Su un sito e-commerce, il cookie che tiene traccia degli articoli nel carrello è strettamente necessario per il servizio di acquisto che l'utente sta utilizzando.
  • Token di protezione CSRF. Sono strettamente necessari per il funzionamento sicuro dell'invio dei moduli.
  • Cookie di preferenza sul consenso. Il cookie che memorizza le scelte di consenso dell'utente è strettamente necessario: senza di esso non è possibile rispettare le sue preferenze di privacy.
  • Cookie relativi all'input. Cookie che ricordano i dati inseriti in un modulo durante un processo a più passaggi (come una procedura di checkout) avviato dall'utente.
  • Cookie di bilanciamento del carico. Cookie tecnici che indirizzano le richieste al server corretto. Rientrano nella parte dell'esenzione relativa alla "trasmissione".
  • Cookie di personalizzazione dell'interfaccia utente. Quando un utente seleziona esplicitamente una lingua o un tema tramite un controllo presente nella pagina, il cookie che memorizza tale scelta è strettamente necessario per il servizio richiesto. Tuttavia, questo dipende dal contesto: vedi sotto.

Cookie NON strettamente necessari (consenso richiesto)

  • Cookie analitici. Misurare il traffico del sito web va a vantaggio del gestore del sito, non dell'utente. L'utente non ha richiesto un servizio di analisi del traffico.
  • Cookie pubblicitari e di retargeting. Servono gli interessi degli inserzionisti e del gestore del sito, mai dell'utente.
  • Cookie di condivisione sui social media. Vengono impostati da social network di terze parti, non per un servizio richiesto dall'utente.
  • Cookie di test A/B. Servono gli obiettivi di ottimizzazione del gestore.
  • Cookie di tracciamento di affiliazione. Tracciano quale partner ha indirizzato l'utente, servendo gli interessi commerciali del gestore.
  • Cookie di login persistente ("ricordami"). L'EDPB ha osservato che, mentre un cookie di sessione per l'accesso in corso è necessario, un cookie persistente che mantiene l'utente connesso tra una sessione e l'altra va oltre ciò che è strettamente necessario. L'utente potrebbe semplicemente effettuare nuovamente l'accesso.
  • Cookie di monitoraggio delle prestazioni. I cookie utilizzati per monitorare i tempi di caricamento delle pagine, i tassi di errore e metriche tecniche simili servono il gestore, non l'utente.

Il dibattito sui cookie analitici di prima parte

Una delle aree più controverse in materia di conformità ai cookie è se i cookie analitici di prima parte possano essere utilizzati senza consenso. La risposta varia a seconda della giurisdizione ed è in continua evoluzione.

La posizione della CNIL (Francia)

La CNIL francese ha emesso linee guida specifiche secondo cui alcuni cookie di misurazione dell'audience possono essere esenti dal consenso, a condizione che:

  1. La finalità sia strettamente limitata alla misurazione dell'audience (nessun tracciamento cross-site)
  2. I dati non siano condivisi con terze parti
  3. I cookie siano esclusivamente di prima parte
  4. I dati siano utilizzati solo per produrre statistiche anonime
  5. I cookie abbiano una durata limitata (massimo 13 mesi)
  6. Gli utenti siano informati del loro utilizzo
  7. Gli utenti possano rinunciare

A queste condizioni, la CNIL considera alcuni strumenti (come Matomo configurato in modalità rispettosa della privacy) idonei all'esenzione. Google Analytics non è ammissibile, principalmente perché Google tratta i dati sulla propria infrastruttura e può utilizzarli per finalità proprie.

La posizione dell'AP olandese (Paesi Bassi)

L'Autoriteit Persoonsgegevens olandese ha analogamente indicato che i cookie analitici con impatto minimo sulla privacy possono essere utilizzati senza consenso, ma ha fissato condizioni paragonabili a quelle della CNIL.

Altre giurisdizioni

La maggior parte delle altre autorità di protezione dei dati europee non ha adottato un'esenzione esplicita per i cookie analitici. L'ICO (Regno Unito) ha dichiarato che i cookie analitici richiedono il consenso. Le autorità tedesche generalmente richiedono il consenso per tutti i cookie non essenziali. La posizione dell'AEPD spagnola è allineata alla richiesta del consenso.

Raccomandazione pratica

A meno che tu non operi esclusivamente in Francia o nei Paesi Bassi e non sia in grado di soddisfare tutte le condizioni della CNIL/AP, l'approccio più sicuro è considerare i cookie analitici come soggetti a consenso. Se decidi di avvalerti dell'esenzione per i cookie analitici, documenta le tue motivazioni, assicurati di rispettare ogni condizione e monitora gli sviluppi normativi: quest'area è ancora in evoluzione.

Esenzioni dal consenso per finalità del cookie: un diagramma decisionale

Per ogni cookie presente sul tuo sito web, poniti queste domande:

  1. Il cookie è tecnicamente necessario per la trasmissione della comunicazione? (ad es. bilanciamento del carico) In caso affermativo: nessun consenso necessario. In caso negativo: continua.
  2. L'utente ha esplicitamente richiesto un servizio che necessita di questo cookie? (ad es. accesso, aggiunta di articoli al carrello) In caso affermativo: continua. In caso negativo: consenso richiesto.
  3. Il servizio richiesto non funzionerebbe senza questo specifico cookie? In caso affermativo: nessun consenso necessario (strettamente necessario). Se il servizio funzionerebbe ma risulterebbe meno comodo: consenso richiesto.
  4. Il cookie è di prima parte, limitato ad analisi aggregate, con dati non condivisi con terze parti, e ti trovi in una giurisdizione con un'esenzione per i cookie analitici? In caso affermativo a tutti i punti: potenzialmente esente, ma documenta le tue motivazioni. In caso negativo a uno qualsiasi: consenso richiesto.
  5. In tutti gli altri casi: consenso richiesto.

Situazioni particolari

Cookie wall

Un cookie wall blocca l'accesso a un sito web a meno che l'utente non accetti i cookie. La posizione dell'EDPB è che i cookie wall generalmente impediscono che il consenso sia "liberamente prestato" e pertanto non sono conformi. Tuttavia, alcune autorità di protezione dei dati (in particolare l'AP olandese, a seguito di una sentenza di un tribunale) hanno indicato che i cookie wall potrebbero essere ammissibili se viene offerta un'alternativa reale ed equivalente, come una versione a pagamento del servizio priva di cookie. Rimane un'area controversa.

Paywall vs. cookie wall

Alcuni editori offrono un modello "acconsenti o paga": accetta i cookie di tracciamento per un accesso gratuito, oppure paga per un'esperienza senza cookie. Nel 2024 l'EDPB ha emesso un parere su questa pratica, riconoscendo che può essere ammissibile a determinate condizioni, ma esprimendo preoccupazione sul fatto che l'alternativa "a pagamento" debba essere davvero ragionevole e non fissata a un prezzo concepito per costringere al consenso.

Minori

Ai sensi dell'articolo 8 del GDPR, il consenso per i servizi della società dell'informazione rivolti ai minori richiede una verifica e, per i minori al di sotto di una determinata età (che varia da 13 a 16 anni a seconda dello Stato membro), il consenso dei genitori. Se il tuo sito web si rivolge ai minori, i requisiti per il consenso ai cookie sono più rigorosi.

Contesti lavorativi e B2B

La Direttiva ePrivacy si applica all'"abbonato o utente", non solo ai consumatori. Se la tua piattaforma SaaS B2B utilizza cookie non essenziali, è comunque necessario il consenso del singolo utente, anche in un contesto aziendale.

Cosa succede in assenza di un consenso valido

Se installi cookie non essenziali senza un consenso valido:

  • I dati che raccogli potrebbero essere illeciti sia ai sensi della Direttiva ePrivacy sia del GDPR.
  • Rischi potenziali sanzioni ai sensi del GDPR fino a 20 milioni di euro o al 4% del fatturato annuo globale, se superiore (articolo 83, paragrafo 5).
  • Potresti ricevere l'ordine di cancellare i dati raccolti illecitamente.
  • I tuoi dati analitici e pubblicitari potrebbero essere compromessi: se la base giuridica per la raccolta non è valida, i dati non possono essere utilizzati lecitamente.
  • Anche i destinatari successivi di tali dati (reti pubblicitarie, fornitori di analisi) potrebbero essere ritenuti responsabili.

Non si tratta di rischi ipotetici. La CNIL ha sanzionato Google con 150 milioni di euro e Facebook con 60 milioni di euro proprio per violazioni relative al consenso ai cookie. Le piccole imprese hanno subito sanzioni di decine di migliaia di euro per inadempienze simili.

Passiro identifica ogni cookie presente sul tuo sito web e segnala quelli che richiedono il consenso, così puoi essere certo che il tuo meccanismo di consenso copra i cookie giusti: né più, né meno.

Ora confrontiamo i due modelli di consenso fondamentali: opt-in e opt-out, e in quali casi si applica ciascuno.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis