Skip to main content

Normative sui cookie e sulla privacy: una panoramica globale

La conformità in materia di cookie non è disciplinata da un'unica legge. È il risultato di un intreccio di normative nazionali e regionali che variano notevolmente per ambito di applicazione, requisiti e modalità di applicazione. Per qualsiasi sito web con un pubblico internazionale — ovvero, sull'internet aperto, praticamente ogni sito web — comprendere quali leggi si applichino e in cosa differiscano è fondamentale.

Questa guida illustra il panorama normativo globale relativo ai cookie e al tracciamento online, dal modello dell'UE basato sul consenso preventivo all'approccio statunitense di informativa e scelta, fino ai framework emergenti in altre parti del mondo.

Un mosaico globale

Non esiste un'unica "legge sui cookie". La conformità in materia di cookie si colloca piuttosto all'intersezione tra normative sulla privacy, direttive sulle comunicazioni elettroniche e leggi a tutela dei consumatori. Il risultato è un panorama complesso e talvolta contraddittorio, in cui uno stesso sito web può essere soggetto a regole diverse a seconda di dove si trovano i suoi visitatori.

Si sono affermati due modelli generali:

  • Il modello UE (consenso preventivo): i cookie non essenziali possono essere installati solo dopo che l'utente ha fornito un consenso informato, specifico e libero. L'impostazione predefinita prevede l'assenza di tracciamento. L'utente deve dare il proprio consenso (opt-in).
  • Il modello USA (informativa e scelta): le aziende devono comunicare le proprie pratiche di raccolta dei dati e offrire agli utenti la possibilità di rinunciare a determinati utilizzi (in particolare la vendita o la condivisione dei dati personali). L'impostazione predefinita prevede il tracciamento, con la possibilità per l'utente di rinunciarvi (opt-out).

La maggior parte delle nuove normative sulla privacy nel mondo sta convergendo verso il modello UE, seppur con variazioni locali. Comprendere entrambi i modelli — e le leggi specifiche che li compongono — è indispensabile per qualsiasi sito web che opera a livello internazionale.

Il framework UE: Direttiva ePrivacy + GDPR

L'approccio dell'Unione Europea alla regolamentazione dei cookie si fonda su due strumenti giuridici che operano congiuntamente:

La Direttiva ePrivacy (2002/58/CE)

La Direttiva ePrivacy — spesso chiamata "Direttiva Cookie" — è la principale legge dell'UE che disciplina l'uso dei cookie e delle tecnologie di tracciamento simili. La sua disposizione chiave, l'articolo 5, paragrafo 3, stabilisce:

Gli Stati membri assicurano che l'archiviazione di informazioni oppure l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso il proprio consenso, dopo essere stato informato in modo chiaro e completo.

L'unica eccezione riguarda i cookie "strettamente necessari" per la fornitura di un servizio esplicitamente richiesto dall'utente — ad esempio, i cookie di sessione per un carrello della spesa o per mantenere lo stato di accesso.

È importante sottolineare che la Direttiva ePrivacy è una direttiva, non un regolamento. Questo significa che ogni Stato membro dell'UE l'ha recepita nella propria legislazione nazionale con variazioni locali. Il principio fondamentale (consenso obbligatorio per i cookie non essenziali) è uniforme, ma i dettagli attuativi differiscono. Ad esempio:

  • Francia (CNIL): ha emanato linee guida dettagliate sui cookie, prevedendo un'esenzione limitata per determinati strumenti di misurazione dell'audience che soddisfano condizioni rigorose (anonimizzazione, assenza di tracciamento cross-site, conservazione limitata).
  • Germania: ha recepito la direttiva attraverso il TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), entrato in vigore a dicembre 2021, che ha codificato in modo esplicito l'obbligo di consenso.
  • Italia (Garante): ha pubblicato nel 2021 linee guida dettagliate sui cookie che impongono un pulsante di rifiuto sul primo livello e vietano i cookie wall.
  • Paesi Bassi (AP): ha adottato una posizione un po' più permissiva sui cookie wall, suggerendo che possano essere accettabili se l'utente dispone di un'effettiva modalità alternativa per accedere ai contenuti.

Il GDPR (Regolamento (UE) 2016/679)

Il Regolamento generale sulla protezione dei dati non menziona espressamente i cookie, ma disciplina il trattamento dei dati personali — e i cookie coinvolgono spesso dati personali. Il GDPR è rilevante per la conformità in materia di cookie sotto diversi aspetti:

  • Standard del consenso (articolo 4, punto 11, articolo 7): il GDPR definisce cosa costituisce un consenso valido: libero, specifico, informato, inequivocabile, espresso mediante un'azione affermativa chiara. Questo standard si applica al consenso ai cookie ottenuto ai sensi della Direttiva ePrivacy.
  • Trasparenza (articoli 12-14): quando i cookie trattano dati personali, si applicano gli obblighi di trasparenza del GDPR. Questo significa che la tua cookie policy deve fornire informazioni specifiche sul trattamento dei dati coinvolto.
  • Base giuridica (articolo 6): il trattamento dei dati personali tramite cookie richiede una base giuridica. Per i cookie non essenziali, tale base è il consenso. Alcuni titolari del trattamento tentano di fare ricorso al legittimo interesse (articolo 6, paragrafo 1, lettera f)), ma le autorità di protezione dei dati hanno respinto sempre più il legittimo interesse come base per il tracciamento pubblicitario e analitico.
  • Diritti degli interessati (articoli 15-22): gli utenti hanno diritto all'accesso, alla rettifica, alla cancellazione e alla portabilità dei propri dati — inclusi quelli raccolti tramite cookie.
  • Applicazione extraterritoriale (articolo 3): il GDPR si applica a qualsiasi organizzazione che tratta i dati personali di individui che si trovano nell'UE, indipendentemente dal luogo in cui l'organizzazione è stabilita. Un'azienda statunitense che si rivolge a clienti dell'UE deve conformarsi.

Il futuro Regolamento ePrivacy

La Commissione Europea ha proposto un Regolamento ePrivacy nel 2017 per sostituire la Direttiva ePrivacy, armonizzare le regole tra gli Stati membri e aggiornarle alle tecnologie moderne. All'inizio del 2026, il regolamento non è ancora stato finalizzato. I negoziati sono stati lunghi, con disaccordi su eccezioni relative al legittimo interesse, disposizioni sui cookie wall e meccanismi di consenso a livello di browser.

Una volta adottato, il Regolamento ePrivacy si applicherà direttamente in tutti gli Stati membri (a differenza dell'attuale direttiva, che richiede il recepimento nazionale). Fino ad allora, la Direttiva ePrivacy esistente e le sue attuazioni nazionali rimangono la legge vigente.

Il framework USA: le leggi statali sulla privacy

Gli Stati Uniti non dispongono di una legge federale sui cookie né di una legge federale organica sulla privacy (all'inizio del 2026). La regolamentazione della privacy si è invece sviluppata a livello statale, dando vita a un mosaico di requisiti.

California: CCPA e CPRA

Il California Consumer Privacy Act (CCPA), modificato dal California Privacy Rights Act (CPRA), è la legge statale statunitense sulla privacy più completa. Le disposizioni chiave rilevanti per i cookie:

  • Diritto di rinunciare alla vendita/condivisione. I consumatori hanno il diritto di rinunciare alla "vendita" o alla "condivisione" dei propri dati personali. Ai sensi del CPRA, la "condivisione" include la trasmissione di dati a terze parti per la pubblicità comportamentale cross-context — che è esattamente ciò che fa la maggior parte dei cookie pubblicitari.
  • Nessun consenso preventivo richiesto. A differenza del modello UE, il CCPA/CPRA non richiede il consenso preventivo per i cookie. L'impostazione predefinita è che il tracciamento sia consentito, e gli utenti devono attivamente rinunciarvi.
  • Link "Do Not Sell or Share". Le aziende devono fornire un link ben visibile "Do Not Sell or Share My Personal Information" sul proprio sito web.
  • Global Privacy Control (GPC). Le aziende devono rispettare il segnale GPC del browser come richiesta valida di opt-out. Se il browser di un utente invia un segnale GPC, l'azienda deve trattarlo come se l'utente avesse cliccato su "Do Not Sell or Share".
  • Informativa al momento della raccolta. Le aziende devono comunicare, al momento della raccolta o prima di essa, le categorie di dati personali raccolti e le finalità per cui verranno utilizzati.

Altre leggi statali statunitensi

Seguendo l'esempio della California, numerosi stati americani hanno adottato leggi organiche sulla privacy. All'inizio del 2026, gli stati con leggi sulla privacy in vigore includono:

Stato Legge Data di entrata in vigore Caratteristiche rilevanti per i cookie
Virginia VCDPA Gennaio 2023 Opt-out da pubblicità mirata e vendita dei dati
Colorado CPA Luglio 2023 Opt-out da pubblicità mirata e vendita dei dati; obbligo di rispettare i segnali universali di opt-out
Connecticut CTDPA Luglio 2023 Opt-out da pubblicità mirata e vendita dei dati; obbligo di rispettare i segnali universali di opt-out
Utah UCPA Dicembre 2023 Opt-out da pubblicità mirata e vendita dei dati
Texas TDPSA Luglio 2024 Opt-out da pubblicità mirata e vendita dei dati; obbligo di rispettare i segnali universali di opt-out
Oregon OCPA Luglio 2024 Opt-out da pubblicità mirata e vendita dei dati; obbligo di rispettare i segnali universali di opt-out
Montana MCDPA Ottobre 2024 Opt-out da pubblicità mirata e vendita dei dati; obbligo di rispettare i segnali universali di opt-out

Altri stati hanno adottato leggi con date di entrata in vigore nel 2025 e nel 2026. La tendenza è chiara: la regolamentazione della privacy a livello statale si sta espandendo, e la maggior parte delle nuove leggi include diritti di opt-out per la pubblicità mirata che incidono direttamente sulle pratiche relative ai cookie.

Altre normative rilevanti

Regno Unito: UK GDPR e PECR

Dopo la Brexit, il Regno Unito ha mantenuto il GDPR nella forma dell'"UK GDPR" e continua ad applicare le Privacy and Electronic Communications Regulations (PECR), che attuano la Direttiva ePrivacy. I requisiti relativi ai cookie sono essenzialmente identici a quelli dell'UE: il consenso preventivo è obbligatorio per i cookie non essenziali, con una ristretta eccezione per quelli strettamente necessari. L'Information Commissioner's Office (ICO) fa rispettare queste regole e ha pubblicato una guida dettagliata sui cookie.

Brasile: LGPD

La Lei Geral de Proteção de Dados (LGPD) del Brasile, in vigore dal 2020, è fortemente ispirata al GDPR. Richiede una base giuridica per il trattamento dei dati personali, inclusi quelli raccolti tramite cookie. Sebbene la LGPD non abbia un equivalente diretto della disposizione specifica sui cookie della Direttiva ePrivacy, per il trattamento dei dati basato sui cookie deve essere stabilito il consenso o il legittimo interesse. L'ANPD (autorità nazionale per la protezione dei dati) sta gradualmente emanando linee guida su cookie e consenso.

Canada: PIPEDA e Bill C-27

Il Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada richiede un "consenso significativo" per la raccolta, l'utilizzo e la divulgazione dei dati personali. Per i cookie che raccolgono dati personali, le organizzazioni devono ottenere il consenso e fornire informazioni chiare sulle proprie pratiche. Il Bill C-27, la proposta di Consumer Privacy Protection Act, modernizzerebbe il framework canadese con requisiti di consenso più rigorosi, ma la sua approvazione ha subito ritardi.

Giappone: APPI

L'Act on the Protection of Personal Information (APPI) del Giappone, modificato nel 2022, ha introdotto il concetto di "informazioni personalmente riferibili", che può includere gli identificatori dei cookie in determinati contesti. Quando i dati dei cookie vengono combinati con altre informazioni per identificare un individuo, si applicano gli obblighi di consenso.

Corea del Sud: PIPA

Il Personal Information Protection Act (PIPA) della Corea del Sud, modificato nel 2023, richiede il consenso per la raccolta e l'utilizzo dei dati personali, che possono includere i dati dei cookie quando identificano o possono identificare un individuo.

La tendenza alla convergenza

Nonostante l'attuale mosaico normativo, si sta delineando una tendenza chiara: la maggior parte delle nuove leggi sulla privacy segue il modello UE di una regolamentazione basata sul consenso preventivo e sull'autonomia dell'utente. Persino le leggi statali statunitensi, pur essendo tecnicamente basate sull'opt-out anziché sull'opt-in, si stanno orientando verso requisiti più rigorosi, con segnali universali di opt-out (GPC), principi di minimizzazione dei dati e definizioni ampliate di "dati personali" che comprendono gli identificatori dei cookie.

In termini pratici, questa convergenza significa che i siti web che implementano una conformità in materia di cookie di livello UE (consenso preventivo, chiara scelta accetta/rifiuta, categorie granulari, informative trasparenti) sono ben posizionati per essere conformi anche alla maggior parte delle altre giurisdizioni. Lo standard UE rappresenta il massimo comune denominatore.

Valutazione del rischio: quali leggi si applicano al tuo sito web?

La domanda cruciale per qualsiasi gestore di un sito web è: quali leggi si applicano al mio caso? La risposta dipende da due fattori:

  1. Dove è stabilita la tua organizzazione. Sei soggetto alle leggi sulla privacy delle giurisdizioni in cui la tua organizzazione ha uno stabilimento (ufficio, filiale, succursale).
  2. Dove si trovano i tuoi utenti. Ai sensi dell'applicazione extraterritoriale del GDPR (articolo 3, paragrafo 2), sei soggetto alla legge sulla privacy dell'UE se offri beni o servizi a individui che si trovano nell'UE, o se monitori il comportamento di individui nell'UE. Disposizioni extraterritoriali analoghe esistono nell'UK GDPR, nella LGPD del Brasile e in altre leggi.

In pratica, se il tuo sito web è accessibile agli utenti dell'UE — e se ricevi anche solo un minimo di traffico dall'UE, come avviene praticamente per tutti i siti web — dovresti conformarti alla Direttiva ePrivacy e al GDPR. Se ricevi traffico dagli Stati Uniti, dovresti tenere conto del CCPA/CPRA (California) e di altre leggi statali applicabili.

Un approccio pragmatico:

  • Implementa il consenso secondo lo standard UE per tutti i visitatori di UE/SEE/Regno Unito (consenso preventivo opt-in per i cookie non essenziali).
  • Implementa meccanismi di opt-out per i visitatori statunitensi (link Do Not Sell/Share, supporto GPC).
  • Adotta come impostazione predefinita lo standard più elevato qualora il rilevamento geografico sia impraticabile. Il consenso di livello UE soddisfa praticamente tutte le giurisdizioni.

Applicazione extraterritoriale

Uno degli aspetti più significativi della moderna regolamentazione sulla privacy è la sua applicazione extraterritoriale. Il GDPR (articolo 3, paragrafo 2) si applica alle organizzazioni al di fuori dell'UE che:

  • Offrono beni o servizi a individui che si trovano nell'UE (anche gratuitamente — un sito web accessibile nell'UE che si rivolge a utenti dell'UE rientra in questa fattispecie), oppure
  • Monitorano il comportamento di individui che si trovano nell'UE (il tracciamento analitico e pubblicitario costituisce monitoraggio).

Questo significa che un'azienda statunitense che utilizza Google Analytics su un sito web che riceve traffico dall'UE è, tecnicamente, soggetta al GDPR e agli obblighi in materia di cookie della Direttiva ePrivacy. L'applicazione nei confronti di organizzazioni extra-UE è stata storicamente limitata, ma è in aumento, in particolare per le grandi aziende. Il rischio concreto per le organizzazioni più piccole dipende dalla visibilità e dal volume di reclami, ma l'obbligo giuridico sussiste indipendentemente dalle dimensioni.

Il panorama applicativo

L'applicazione delle norme sulla conformità in materia di cookie si è intensificata notevolmente dal 2020. Ecco le tendenze principali:

Chi fa rispettare le norme

Nell'UE, le autorità nazionali per la protezione dei dati (DPA) fanno rispettare sia la Direttiva ePrivacy sia il GDPR. Tra le autorità più attive figurano la CNIL (Francia), il Garante (Italia), la Datatilsynet (Danimarca e Norvegia), la BfDI (Germania a livello federale) e l'APD (Belgio). L'EDPB coordina l'applicazione transfrontaliera.

Negli Stati Uniti, il Procuratore Generale della California e la California Privacy Protection Agency fanno rispettare il CCPA/CPRA. I procuratori generali statali fanno rispettare le altre leggi statali.

Come fanno rispettare le norme

  • Indagini avviate su reclamo. La maggior parte degli interventi ha inizio con il reclamo di un utente a una DPA. Il reclamo attiva un'indagine sulle pratiche relative ai cookie del sito web.
  • Indagini a tappeto. Le DPA conducono periodicamente indagini a tappeto su interi settori, analizzando centinaia di siti web per verificarne la conformità in materia di cookie. La CNIL, il Garante italiano e la Datatilsynet danese hanno tutte condotto indagini di questo tipo rese pubbliche.
  • Reclami da parte delle ONG. Organizzazioni per la tutela della privacy come noyb (guidata da Max Schrems) hanno presentato reclami di massa contro centinaia di siti web, generando un notevole volume di attività applicativa. I soli reclami di noyb relativi ai cookie banner hanno portato a decine di provvedimenti in tutta l'UE.

Sanzioni

Le sanzioni del GDPR per violazioni relative ai cookie possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia il valore più elevato. In pratica, le sanzioni per violazioni relative ai cookie hanno spaziato da semplici avvertimenti (per piccole organizzazioni con violazioni minori) fino a 150 milioni di euro (Google, CNIL, 2022). La tendenza è verso sanzioni più elevate e un'applicazione più frequente.

Oltre alle sanzioni, la non conformità comporta rischi reputazionali, danni alla fiducia dei consumatori e i costi operativi di interventi correttivi d'emergenza imposti da un provvedimento normativo.

Passiro ti aiuta a orientarti in questa complessità normativa con una conformità automatizzata che si adatta alle leggi applicabili ai tuoi visitatori. Scopri come Passiro semplifica la conformità in materia di cookie tra le diverse giurisdizioni.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis