Skip to main content

GDPR e cookie: guida completa alla conformità

Il Regolamento generale sulla protezione dei dati (GDPR) ha trasformato il modo in cui i siti web gestiscono i cookie a partire dalla sua entrata in vigore, il 25 maggio 2018. Sebbene la Direttiva ePrivacy sia la normativa UE principale in materia di cookie, il GDPR si applica ogni volta che i cookie trattano dati personali — il che, nella pratica, significa quasi sempre. Comprendere come il GDPR si applica ai cookie è fondamentale per qualsiasi sito web che operi nello Spazio economico europeo o che si rivolga a utenti al suo interno.

Come il GDPR si applica ai cookie

Il GDPR non menziona esplicitamente i cookie. Disciplina invece il trattamento dei dati personali, definiti all'articolo 4(1) come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il Considerando 30 del GDPR afferma esplicitamente che gli identificativi online — inclusi gli identificativi dei cookie — possono essere utilizzati per creare profili delle persone fisiche e identificarle. Ciò significa che qualsiasi cookie contenente o collegato a un identificativo univoco costituisce un dato personale ai sensi del GDPR.

Nella pratica, questo riguarda quasi tutti i cookie, ad eccezione di quelli funzionali più basilari. I cookie analitici che assegnano un ID visitatore univoco, i cookie pubblicitari che tracciano il comportamento di navigazione e persino i cookie di sessione collegati a un account utente trattano tutti dati personali e rientrano quindi nei requisiti del GDPR.

Articolo 6: base giuridica del trattamento

Ai sensi dell'articolo 6 del GDPR, ogni trattamento di dati personali richiede una base giuridica. Per il trattamento legato ai cookie, le due basi più comunemente invocate sono:

  • Consenso (Articolo 6(1)(a)): l'interessato ha prestato il proprio consenso al trattamento per una o più finalità specifiche. È la base giuridica principale per la maggior parte dei trattamenti relativi ai cookie, in particolare per i cookie analitici, di marketing e pubblicitari.
  • Legittimo interesse (Articolo 6(1)(f)): il trattamento è necessario per il perseguimento del legittimo interesse del titolare, a condizione che tale interesse non prevalga sui diritti e sulle libertà dell'interessato.

La base del legittimo interesse è stata oggetto di un ampio dibattito nel contesto dei cookie. Alcuni gestori di siti web hanno sostenuto che il tracciamento analitico persegua un legittimo interesse. Tuttavia, numerose Autorità garanti per la protezione dei dati hanno respinto questa argomentazione per i cookie non strettamente necessari. La CNIL francese, la DSB austriaca e il Comitato europeo per la protezione dei dati (EDPB) hanno tutti assunto la posizione secondo cui è necessario il consenso per i cookie analitici e che il legittimo interesse non può costituire una base giuridica per l'installazione di cookie non essenziali sul dispositivo dell'utente.

Le Linee guida 05/2020 dell'EDPB sul consenso affermano inequivocabilmente: "Lo scorrimento o la continuazione della navigazione su un sito web non costituiscono un consenso valido". L'era del consenso implicito per i cookie è finita.

Articolo 7: condizioni per un consenso valido

L'articolo 7 stabilisce le condizioni che il consenso deve soddisfare. Affinché il consenso ai cookie sia valido ai sensi del GDPR, deve essere:

  1. Prestato liberamente: l'utente deve avere una scelta autentica. Il consenso non è prestato liberamente se l'utente non può rifiutarlo o revocarlo senza subire pregiudizio. I cookie wall che bloccano l'accesso a un sito web a meno che non si accettino tutti i cookie sono stati ritenuti non conformi da diverse Autorità garanti, sebbene il quadro giuridico vari a seconda della giurisdizione.
  2. Specifico: il consenso deve essere prestato per ciascuna finalità distinta. Un unico pulsante "Accetta tutto" senza la possibilità di acconsentire a categorie specifiche non soddisfa questo requisito.
  3. Informato: l'utente deve essere chiaramente informato su ciò a cui presta il consenso. Ciò significa identificare i cookie, le loro finalità, i dati raccolti e le eventuali terze parti coinvolte.
  4. Inequivocabile: il consenso deve essere prestato mediante un'azione positiva chiara. Caselle preselezionate, silenzio o inattività non costituiscono un consenso valido.

L'articolo 7(3) aggiunge un requisito fondamentale: revocare il consenso deve essere facile quanto prestarlo. Se un utente può accettare i cookie con un solo clic, deve poter revocare tale consenso con la stessa facilità. Un banner cookie che mette in evidenza il pulsante "Accetta" ma nasconde l'opzione di rifiuto in una pagina delle impostazioni raggiungibile dopo diversi clic non è conforme.

Articolo 4(11): la definizione di consenso

L'articolo 4(11) definisce il consenso come "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento".

Questa definizione è rafforzata dal Considerando 32, che afferma:

"Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web. Il silenzio, l'inattività o la preselezione di caselle non dovrebbero pertanto costituire un consenso."

La storica sentenza Planet49 della Corte di giustizia dell'Unione europea (CGUE) dell'ottobre 2019 (Causa C-673/17) ha confermato questa interpretazione, stabilendo che le caselle preselezionate non costituiscono un consenso valido per i cookie.

Obblighi di trasparenza: articoli 12–14

Gli articoli da 12 a 14 impongono ai titolari del trattamento di fornire le informazioni sul trattamento dei dati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Per i cookie, ciò significa:

  • La cookie policy deve essere redatta in un linguaggio comprensibile agli utenti comuni — non in gergo giuridico.
  • Le informazioni devono essere fornite al momento della raccolta dei dati (ossia prima che i cookie vengano installati).
  • Gli utenti devono essere informati sull'identità del titolare, sulle finalità del trattamento, sulle categorie di dati, sugli eventuali destinatari, sui periodi di conservazione e sui loro diritti.
  • Se i cookie sono condivisi con terze parti (come Google Analytics, Facebook Pixel o reti pubblicitarie), tali terze parti devono essere identificate.

Articolo 17: il diritto alla cancellazione

L'articolo 17 riconosce agli interessati il diritto alla cancellazione dei propri dati personali. Nel contesto dei cookie, ciò significa che se un utente richiede la cancellazione dei propri dati, devono essere eliminati tutti i dati personali raccolti tramite i cookie. Ciò include i profili analitici, gli identificativi pubblicitari e qualsiasi altro dato collegato agli identificativi dei cookie.

Per i gestori di siti web che utilizzano servizi analitici o pubblicitari di terze parti, questo può risultare particolarmente complesso, poiché i dati possono essere detenuti dalla terza parte. I contratti di trattamento dei dati con i fornitori di cookie di terze parti dovrebbero includere disposizioni per la gestione delle richieste di cancellazione.

GDPR vs. ePrivacy: quale si applica e quando?

Il rapporto tra il GDPR e la Direttiva ePrivacy può generare confusione. Ecco come interagiscono:

  • La Direttiva ePrivacy (Articolo 5(3)) disciplina l'atto di archiviare o accedere a informazioni sul dispositivo di un utente. Richiede il consenso per tutti i cookie, ad eccezione di quelli strettamente necessari. È la lex specialis (legge speciale) per i cookie.
  • Il GDPR disciplina il successivo trattamento di qualsiasi dato personale raccolto tramite i cookie. Fornisce il quadro di riferimento per stabilire cosa costituisce un consenso valido, i diritti degli interessati e gli obblighi dei titolari del trattamento.

In termini pratici: la Direttiva ePrivacy stabilisce che è necessario il consenso per installare un cookie. Il GDPR stabilisce come deve essere un consenso valido, cosa si può fare con i dati e quali diritti hanno gli utenti su tali dati. Entrambi si applicano simultaneamente.

Autorità garanti e attività di enforcement

Ogni Stato membro dell'UE dispone di un'Autorità garante per la protezione dei dati (DPA) responsabile dell'applicazione sia del GDPR sia delle norme nazionali di attuazione della Direttiva ePrivacy. Queste autorità hanno il potere di indagare sui reclami, condurre verifiche e imporre sanzioni fino al 4% del fatturato annuo globale o a 20 milioni di euro, a seconda di quale importo sia maggiore.

Le attività di enforcement relative ai cookie hanno subito una forte accelerazione dal 2020. Le Autorità garanti di tutta Europa sono passate dalle linee guida e dagli avvertimenti a sanzioni ingenti, trasformando la conformità in materia di cookie in un rischio aziendale concreto anziché in una preoccupazione teorica.

Principali sanzioni GDPR relative ai cookie

I seguenti provvedimenti dimostrano le concrete conseguenze finanziarie della non conformità in materia di cookie:

Azienda Sanzione Autorità Anno Questione chiave
Amazon Europe 746 milioni di euro CNPD (Lussemburgo) 2021 Tracciamento pubblicitario e meccanismi di consenso non conformi
Google LLC 150 milioni di euro CNIL (Francia) 2022 Rifiutare i cookie non era facile quanto accettarli
Facebook (Meta) 60 milioni di euro CNIL (Francia) 2022 Nessun meccanismo semplice per rifiutare i cookie
Microsoft (Bing) 60 milioni di euro CNIL (Francia) 2022 Cookie installati senza consenso, nessun meccanismo di rifiuto agevole
TikTok 5 milioni di euro CNIL (Francia) 2023 Rifiutare i cookie richiedeva più clic rispetto ad accettarli
Criteo 40 milioni di euro CNIL (Francia) 2023 Mancata acquisizione di un consenso valido per i cookie di tracciamento
Vueling Airlines 30.000 euro AEPD (Spagna) 2020 Nessuna opzione per rifiutare i cookie, solo "accetta"

Queste sanzioni non riguardano solo le grandi aziende. Anche le piccole e medie imprese hanno subito provvedimenti sanzionatori, in particolare in Francia, Italia e Germania. Nel 2021, la sola CNIL ha emesso oltre 100 diffide formali a siti web di ogni dimensione in materia di conformità dei cookie.

Checklist pratica per la conformità dei cookie al GDPR

Utilizza questa checklist per verificare che il tuo sito web soddisfi i requisiti del GDPR in materia di cookie:

  1. Individua tutti i cookie installati dal tuo sito web, inclusi quelli inseriti da script di terze parti come strumenti di analisi, pubblicità e widget dei social media.
  2. Classifica ogni cookie come strettamente necessario, funzionale, analitico o di marketing/pubblicitario.
  3. Implementa il consenso preventivo per tutti i cookie non essenziali. Nessun cookie analitico o di marketing dovrebbe attivarsi prima che l'utente abbia prestato il consenso.
  4. Presenta le opzioni di consenso in modo equo. L'opzione per rifiutare i cookie deve essere altrettanto evidente e accessibile quanto quella per accettarli.
  5. Offri un consenso granulare. Gli utenti devono poter acconsentire a categorie specifiche di cookie anziché essere costretti a una scelta del tipo "tutto o niente".
  6. Non utilizzare caselle preselezionate. Tutte le categorie di cookie facoltative devono essere deselezionate per impostazione predefinita.
  7. Fornisci informazioni chiare sulla finalità di ciascun cookie, sui dati che raccoglie, su chi ha accesso ai dati e per quanto tempo il cookie persiste.
  8. Identifica le terze parti. Indica i servizi di terze parti che installano cookie sul tuo sito (Google Analytics, Facebook Pixel, HubSpot, ecc.).
  9. Rendi facile la revoca. Fornisci un modo persistente e facilmente accessibile affinché gli utenti possano modificare le proprie preferenze sui cookie dopo il consenso iniziale. Un link nel footer o un'icona flottante sono soluzioni comuni.
  10. Conserva le registrazioni del consenso. Mantieni un registro del momento in cui ogni utente ha prestato il consenso, di ciò a cui ha acconsentito e della versione della cookie policy in vigore in quel momento.
  11. Rispetta tecnicamente le scelte di consenso. Assicurati che il rifiuto del consenso impedisca effettivamente l'installazione dei cookie corrispondenti. Ciò richiede il blocco degli script prima del consenso, non la semplice eliminazione dei cookie a posteriori.
  12. Mantieni una cookie policy aggiornata, accurata e redatta in un linguaggio semplice. Aggiornala ogni volta che aggiungi nuovi cookie o servizi di terze parti.
  13. Gestisci le richieste degli interessati. Dotati di un processo per rispondere alle richieste di cancellazione che includa i dati raccolti tramite i cookie.
  14. Effettua scansioni regolari. Esegui scansioni automatiche dei cookie almeno una volta al mese e dopo ogni rilascio, per individuare i nuovi cookie introdotti da script o plugin aggiornati.

La conformità dei cookie al GDPR non è un'attività una tantum. Richiede un'attenzione costante man mano che il tuo sito web evolve, vengono aggiunti nuovi script e le linee guida normative vengono aggiornate. Le organizzazioni che la considerano un processo continuo anziché un mero adempimento formale sono quelle che evitano i provvedimenti sanzionatori — e che, nel farlo, costruiscono un rapporto di fiducia con i propri utenti.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis