Skip to main content

La Direttiva ePrivacy: la legge europea sui cookie spiegata

Quando si parla della "legge europea sui cookie", ci si riferisce di solito alla Direttiva ePrivacy — nello specifico all'articolo 5, paragrafo 3. Sebbene il GDPR occupi la maggior parte dei titoli, è la Direttiva ePrivacy a disciplinare direttamente l'uso dei cookie e delle tecnologie di tracciamento simili. Comprendere questa direttiva, il suo rapporto con il GDPR e la futura ePrivacy Regulation è fondamentale per chiunque sia responsabile della conformità in materia di cookie su un sito web europeo.

Cos'è la Direttiva ePrivacy?

La Direttiva ePrivacy (ufficialmente Direttiva 2002/58/CE) è stata adottata il 12 luglio 2002 come parte del quadro normativo europeo sulla privacy nelle telecomunicazioni. Inizialmente era incentrata sulla privacy nelle comunicazioni elettroniche, affrontando temi come la riservatezza delle comunicazioni, i dati sul traffico, lo spam e l'identificazione del chiamante.

Nel 2009 la direttiva è stata modificata in modo significativo dalla Direttiva 2009/136/CE (spesso chiamata "Direttiva sui diritti dei cittadini"). Questa modifica ha introdotto l'obbligo di consenso per i cookie che conosciamo oggi, sostituendo il precedente regime di opt-out con un modello di opt-in. Prima del 2009, i siti web dovevano soltanto informare gli utenti sui cookie e dare loro il diritto di rifiutarli. Dopo il 2009, il consenso preventivo è diventato obbligatorio per tutti i cookie non essenziali.

A differenza del GDPR, che è un regolamento (direttamente applicabile in tutti gli Stati membri), la Direttiva ePrivacy è una direttiva (ogni Stato membro deve recepirla nel proprio ordinamento nazionale). Ciò significa che le regole specifiche sui cookie variano da un Paese all'altro, anche se i requisiti di fondo sono gli stessi.

Articolo 5, paragrafo 3: la regola sul consenso ai cookie

L'articolo 5, paragrafo 3 della Direttiva ePrivacy è la disposizione che disciplina direttamente i cookie. Nella sua versione modificata, recita:

"Gli Stati membri assicurano che l'archiviazione di informazioni oppure l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, tra l'altro sugli scopi del trattamento, in conformità con [la Direttiva sulla protezione dei dati, ora il GDPR]."

Questa disposizione stabilisce diversi requisiti fondamentali:

  1. Ambito di applicazione: copre qualsiasi archiviazione di informazioni sul dispositivo di un utente o accesso a informazioni ivi archiviate. Ciò include i cookie, ma anche il local storage, l'IndexedDB, il fingerprinting dei dispositivi, i pixel di tracciamento e qualsiasi altra tecnologia che legga dal dispositivo dell'utente o vi scriva.
  2. Consenso preventivo: il consenso deve essere ottenuto prima che le informazioni vengano archiviate o consultate, non dopo.
  3. Consenso informato: all'utente devono essere fornite informazioni chiare e complete sulle finalità dell'archiviazione o dell'accesso.
  4. Standard del consenso: il riferimento al GDPR (originariamente la Direttiva sulla protezione dei dati) significa che si applicano la definizione e le condizioni del consenso previste dal GDPR. Il consenso deve essere libero, specifico, informato e inequivocabile.

L'esenzione per i cookie "strettamente necessari"

L'articolo 5, paragrafo 3 include un'importante esenzione nella sua seconda frase:

"Ciò non vieta l'eventuale archiviazione tecnica o l'accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio."

Questa esenzione copre due categorie di cookie che non richiedono il consenso:

  1. Cookie necessari per la trasmissione di una comunicazione (ad esempio, i cookie di bilanciamento del carico).
  2. Cookie strettamente necessari per erogare un servizio esplicitamente richiesto dall'utente (ad esempio, i cookie del carrello, i cookie di sessione per l'autenticazione, i cookie delle preferenze utente per un servizio che l'utente sta attivamente utilizzando).

Il predecessore del Comitato europeo per la protezione dei dati, il Gruppo di lavoro Articolo 29, ha fornito indicazioni dettagliate su quali cookie si qualificano come strettamente necessari nel Parere 04/2012. Alcuni esempi:

  • Esenti (nessun consenso richiesto): cookie di sessione per l'input dell'utente (moduli a più passaggi), cookie di autenticazione, cookie del carrello, cookie di sicurezza (token CSRF), cookie di sessione dei lettori multimediali, cookie di bilanciamento del carico, cookie di personalizzazione dell'interfaccia (preferenza linguistica) per la sessione in corso.
  • Non esenti (consenso richiesto): cookie analitici (incluso Google Analytics), cookie pubblicitari, cookie di condivisione/tracciamento dei social media, cookie di preferenza persistenti che durano oltre la sessione, qualsiasi cookie di tracciamento di terze parti.

La distinzione cruciale è tra i cookie che rispondono a una richiesta esplicita dell'utente e i cookie che servono agli interessi del gestore del sito. Un cookie di preferenza linguistica impostato perché l'utente ha cliccato su un selettore di lingua è strettamente necessario. Un cookie analitico impostato per aiutare il gestore del sito a comprendere il traffico non lo è, anche se il gestore lo considera importante.

Come collaborano ePrivacy e GDPR

Il rapporto tra la Direttiva ePrivacy e il GDPR è quello tra lex specialis (legge speciale) e lex generalis (legge generale). La Direttiva ePrivacy è la legge specifica che disciplina la privacy nelle comunicazioni elettroniche, mentre il GDPR è il quadro generale di protezione dei dati.

In termini pratici:

  • La Direttiva ePrivacy disciplina se è possibile installare un cookie sul dispositivo di un utente. Richiede il consenso per i cookie non essenziali, indipendentemente dal fatto che il cookie contenga o meno dati personali.
  • Il GDPR disciplina cosa costituisce un consenso valido e come è possibile trattare gli eventuali dati personali raccolti tramite i cookie. Fornisce inoltre il quadro sanzionatorio, incluso il diritto di presentare reclami alle autorità di controllo e il consistente regime delle sanzioni.

Ciò significa che anche un cookie che non contiene dati personali (ad esempio, un identificatore analitico generato casualmente e non collegato ad alcun altro dato) richiede comunque il consenso ai sensi della Direttiva ePrivacy, perché l'articolo 5, paragrafo 3 si applica a qualsiasi archiviazione sul dispositivo dell'utente, non solo all'archiviazione di dati personali.

Viceversa, se tratti dati personali tramite i cookie, devi rispettare l'intero quadro del GDPR: base giuridica, trasparenza, diritti degli interessati, valutazioni d'impatto sulla protezione dei dati e tutti gli altri obblighi.

Recepimenti nazionali

Poiché la Direttiva ePrivacy è una direttiva e non un regolamento, ogni Stato membro dell'UE l'ha recepita nel proprio ordinamento nazionale con alcune varianti. Sebbene il requisito fondamentale — il consenso preventivo per i cookie non essenziali — sia coerente in tutti gli Stati membri, esistono differenze significative in merito a:

  • Intensità delle attività di controllo: Francia (CNIL) e Italia (Garante) sono state le più attive nell'applicazione delle norme sui cookie, mentre altri Paesi hanno concentrato le proprie risorse altrove.
  • Esenzioni specifiche: alcuni Paesi hanno adottato interpretazioni leggermente più ampie o più restrittive dell'esenzione per i cookie "strettamente necessari".
  • Cookie analitici: alcune autorità di controllo hanno valutato se strumenti di analisi correttamente configurati e rispettosi della privacy (ad esempio, analisi anonimizzate senza tracciamento cross-site) possano rientrare nella base del legittimo interesse. L'esenzione del CNIL francese per gli strumenti di misurazione dell'audience a determinate condizioni è l'esempio più noto, sebbene rimanga controversa.
  • Cookie wall: la legittimità dei cookie wall (che richiedono il consenso per accedere a un sito web) varia da giurisdizione a giurisdizione. L'autorità di controllo olandese e l'EDPB hanno assunto una posizione rigorosa contro di essi, mentre il Conseil d'État francese li ha ritenuti ammissibili a determinate condizioni.

La proposta di ePrivacy Regulation

La Commissione europea ha pubblicato una proposta di ePrivacy Regulation nel gennaio 2017, con l'obiettivo di sostituire la Direttiva ePrivacy e allineare le regole sui cookie al GDPR. A distanza di oltre nove anni, il regolamento è ancora in fase di negoziazione, il che ne fa uno dei processi legislativi più lunghi della storia dell'UE.

Principali cambiamenti nella proposta di regolamento

Sebbene il testo definitivo non sia ancora stato concordato, la proposta e le successive posizioni del Consiglio hanno suggerito diversi cambiamenti significativi:

  • Applicabilità diretta: in quanto regolamento e non direttiva, l'ePrivacy Regulation si applicherebbe in modo uniforme in tutti gli Stati membri, eliminando l'attuale frammentazione.
  • Consenso a livello di browser: le prime proposte prevedevano disposizioni che consentivano agli utenti di impostare le proprie preferenze sui cookie a livello di browser, anziché rispondere ai singoli banner sui cookie su ogni sito web. Ciò semplificherebbe enormemente l'esperienza dell'utente, sebbene le sfide tecniche e politiche siano notevoli.
  • Ambito di applicazione ampliato: il regolamento si estenderebbe fino a coprire i servizi di comunicazione over-the-top (OTT) come WhatsApp e Skype, che non rientrano nell'attuale direttiva.
  • Esenzioni più chiare: il regolamento mira a chiarire quali tipi di cookie sono esenti dal consenso, ampliando potenzialmente l'esenzione fino a includere alcuni tipi di misurazione dell'audience.
  • Regole sui metadati: nuove disposizioni che disciplinano il trattamento dei metadati delle comunicazioni (dati di localizzazione, tempi di connessione) oltre quanto previsto dall'attuale direttiva.
  • Applicazione armonizzata: il regolamento istituirebbe un meccanismo di controllo coerente, probabilmente ispirato al principio dello sportello unico del GDPR.

Stato attuale e tempistiche

All'inizio del 2026, l'ePrivacy Regulation è ancora in fase di negoziazioni a triloghi tra il Parlamento europeo, il Consiglio dell'UE e la Commissione europea. I progressi sono stati lenti a causa di disaccordi fondamentali su diversi punti, tra cui il meccanismo di consenso a livello di browser, l'ambito dell'esenzione per i cookie "strettamente necessari" e le regole per il trattamento dei metadati.

Lo scenario più realistico è che il regolamento non sarà finalizzato prima del 2027 nella migliore delle ipotesi, con un ulteriore periodo di transizione di 12-24 mesi prima della sua entrata in vigore. I gestori di siti web dovrebbero continuare a rispettare l'attuale Direttiva ePrivacy come recepita nel proprio ordinamento nazionale, integrata dal quadro del consenso del GDPR.

Implicazioni pratiche per i proprietari di siti web

A prescindere dall'incertezza normativa sulla prossima ePrivacy Regulation, le regole attuali sono chiare e attivamente applicate. I proprietari di siti web dovrebbero:

  1. Considerare il regime attuale come base di partenza. L'obbligo di consenso per i cookie non essenziali è una norma consolidata in tutta l'UE. Non aspettate l'ePrivacy Regulation per implementare la conformità.
  2. Bloccare i cookie non essenziali prima del consenso. Questo è l'aspetto tecnicamente più impegnativo della conformità, ma non è negoziabile. Il tuo meccanismo di consenso ai cookie deve impedire agli script di impostare cookie finché l'utente non ha attivamente prestato il proprio consenso.
  3. Applicare lo standard del consenso del GDPR. Quando la Direttiva ePrivacy parla di "consenso", intende il consenso ai sensi del GDPR: libero, specifico, informato, inequivocabile e dimostrato da un'azione positiva inequivocabile.
  4. Documentare i cookie strettamente necessari. Mantieni un registro chiaro di quali cookie consideri strettamente necessari e perché. Sii pronto a giustificare questa classificazione in caso di contestazione da parte di un'autorità di controllo.
  5. Monitorare gli sviluppi nazionali. Poiché la Direttiva ePrivacy è attuata in modo diverso in ciascun Paese, rimani informato sulle indicazioni e sulle attività di controllo delle autorità competenti nei Paesi in cui si trovano i tuoi utenti.
  6. Prepararsi all'ePrivacy Regulation. Sebbene le tempistiche siano incerte, la direzione è chiara: regole più armonizzate, meccanismi di consenso potenzialmente più ampi e una costante attenzione alla privacy degli utenti. Costruire fin da ora un solido sistema di gestione del consenso renderà la transizione più agevole quando arriverà.

La Direttiva ePrivacy potrà avere più di vent'anni, ma resta la pietra angolare della legge sui cookie in Europa. Combinata con il quadro del consenso del GDPR e con i programmi di controllo attivi delle autorità nazionali, crea un contesto normativo in cui la conformità in materia di cookie non è facoltativa — è un obbligo legale con reali conseguenze finanziarie in caso di mancato rispetto.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis