Cookie Policy: cos'è e cosa deve contenere
Una cookie policy è un documento che spiega ai visitatori del tuo sito web quali cookie e tecnologie di tracciamento simili il sito utilizza, perché li utilizza e come gli utenti possono gestirli. Si tratta di un obbligo legale previsto sia dalla ePrivacy Directive sia dal GDPR, ed è un pilastro fondamentale di un trattamento dei dati trasparente.
Questa guida illustra cos'è una cookie policy, in cosa differisce da una privacy policy, cosa deve contenere secondo le normative vigenti e come mantenerla accurata nel tempo.
Cos'è una cookie policy?
Una cookie policy è un documento dedicato — una pagina a sé stante oppure una sezione chiaramente identificabile all'interno della tua privacy policy — che fornisce informazioni complete sull'utilizzo di cookie e tecnologie simili (local storage, session storage, pixel tag, web beacon, fingerprinting e simili) da parte del tuo sito web.
La base giuridica che rende obbligatoria una cookie policy deriva da due normative che si intersecano:
- ePrivacy Directive (2002/58/CE), Articolo 5(3) — richiede che agli utenti vengano fornite "informazioni chiare e complete" sulle finalità dei cookie prima di ottenerne il consenso.
- GDPR, Articoli 12-14 — richiedono trasparenza sul trattamento dei dati, incluse le informazioni su quali dati vengono raccolti, per quali finalità, con chi vengono condivisi e per quanto tempo vengono conservati.
Nel loro insieme, queste normative ti impongono di comunicare agli utenti esattamente quali tecnologie di tracciamento utilizzi e di offrire loro un controllo effettivo su tali tecnologie.
Cookie policy e privacy policy a confronto
Una cookie policy e una privacy policy sono documenti complementari ma distinti. Comprenderne la differenza è importante:
| Aspetto | Cookie Policy | Privacy Policy |
|---|---|---|
| Ambito | Nello specifico, cookie e tecnologie di tracciamento | Tutto il trattamento dei dati personali (moduli, account, acquisti, ecc.) |
| Base giuridica | Requisiti di trasparenza della ePrivacy Directive + GDPR | GDPR, Articoli 12-14 |
| Focus dei contenuti | Nomi dei cookie, finalità, durate, tipologie, categorie, meccanismi di controllo | Categorie di dati, basi giuridiche, diritti, trasferimenti, DPO, conservazione |
| Formato | Pagina a sé stante o sezione all'interno della privacy policy | Pagina a sé stante (obbligatoria) |
| Frequenza di aggiornamento | Ogni volta che i cookie cambiano (aggiunta/rimozione di strumenti, fornitori) | Ogni volta che cambiano le pratiche di trattamento dei dati |
Puoi includere la tua cookie policy come sezione all'interno della privacy policy, ma deve essere chiaramente identificabile e facilmente raggiungibile. Molte organizzazioni scelgono di mantenere una pagina dedicata alla cookie policy per maggiore chiarezza e perché le informazioni sui cookie possono essere piuttosto dettagliate.
Il tuo cookie banner dovrebbe rimandare alla cookie policy. Se le informazioni sui cookie sono contenute in una sezione della privacy policy, il link dovrebbe portare direttamente a quella sezione — non costringere gli utenti a scorrere pagine di informazioni sulla privacy non pertinenti per trovare i dettagli sui cookie.
L'obbligo legale di una cookie policy
La ePrivacy Directive richiede "informazioni chiare e complete" come precondizione per un consenso valido. Il principio di trasparenza del GDPR (Articolo 5(1)(a)) e gli obblighi informativi (Articoli 13-14) impongono inoltre che queste informazioni siano:
- Concise, trasparenti e comprensibili (Articolo 12(1))
- Fornite con un linguaggio chiaro e semplice (Articolo 12(1))
- Facilmente accessibili (Articolo 12(1))
- Fornite gratuitamente (Articolo 12(5))
In termini pratici: la tua cookie policy deve essere redatta in un linguaggio comprensibile anche a chi non ha competenze tecniche, deve essere collegata al tuo cookie banner e al footer del sito e deve contenere informazioni specifiche su ciascun cookie utilizzato dal tuo sito.
Cosa deve contenere una cookie policy
In base ai requisiti combinati della ePrivacy Directive, del GDPR e alle indicazioni delle autorità di protezione dei dati, tra cui l'ICO (Regno Unito), la CNIL (Francia) e il Gruppo di lavoro Articolo 29, la tua cookie policy deve includere le seguenti informazioni:
1. Quali cookie utilizzi
Fornisci un elenco completo di tutti i cookie e le tecnologie simili attivi sul tuo sito web. Ciò include sia i cookie impostati dal tuo codice (di prima parte) sia i cookie impostati dai servizi di terze parti che utilizzi (piattaforme di analisi, network pubblicitari, widget social, contenuti incorporati, chatbot, ecc.).
Ogni cookie deve essere identificato per nome. "Utilizziamo cookie analitici" non è sufficiente — devi elencare i cookie specifici: ad esempio _ga, _gid, _gat per Google Analytics.
2. La finalità di ciascun cookie
Per ciascun cookie o gruppo di cookie correlati, spiega cosa fa con un linguaggio semplice. Evita il gergo tecnico. Alcuni esempi di descrizioni efficaci delle finalità:
- "Memorizza le tue preferenze di consenso sui cookie così da non doverle richiedere a ogni visita."
- "Ci aiuta a contare quante persone visitano il nostro sito web e quali pagine sono più popolari."
- "Ci consente di mostrarti annunci pubblicitari pertinenti ai tuoi interessi su altri siti web."
3. Prima parte e terze parti
Indica se ciascun cookie è impostato direttamente dal tuo sito web (prima parte) o da un servizio esterno (terza parte). Per i cookie di terze parti, identifica il fornitore e inserisci un link alla sua privacy policy. Gli utenti hanno il diritto di sapere non solo che i loro dati vengono raccolti, ma anche da chi.
4. Durata / scadenza
Indica per quanto tempo persiste ciascun cookie. Esistono due tipologie:
- Cookie di sessione — eliminati quando l'utente chiude il browser. Specificalo chiaramente: "Sessione (eliminato alla chiusura del browser)."
- Cookie persistenti — rimangono sul dispositivo dell'utente per un periodo prestabilito. Indica la durata specifica: "2 anni", "30 giorni", "13 mesi". Non utilizzare termini vaghi come "a lungo termine".
Le autorità di protezione dei dati hanno posto grande attenzione sulla durata dei cookie. La CNIL, ad esempio, raccomanda che i cookie di consenso (quelli che memorizzano la scelta di consenso dell'utente) non superino i 13 mesi.
5. Come gestire ed eliminare i cookie
Spiega come gli utenti possono controllare i cookie attraverso due meccanismi:
- Il tuo banner di consenso. Spiega che gli utenti possono modificare in qualsiasi momento le proprie preferenze sui cookie tramite le impostazioni dei cookie (indica la posizione del link/icona delle impostazioni).
- Le impostazioni del browser. Fornisci istruzioni generali per gestire i cookie nei browser più comuni (Chrome, Firefox, Safari, Edge). Non è necessario fornire istruzioni passo dopo passo, ma dovresti spiegare che esistono impostazioni del browser e rimandare alle relative pagine di supporto di ciascun browser.
6. Come revocare il consenso
L'Articolo 7(3) del GDPR richiede che revocare il consenso sia facile quanto concederlo e che gli utenti siano informati di questo diritto prima di prestare il consenso. La tua cookie policy deve spiegare:
- Che l'utente ha il diritto di revocare il consenso in qualsiasi momento.
- Come farlo (in genere: cliccando sull'icona/link delle impostazioni dei cookie visibile su ogni pagina, oppure eliminando i cookie tramite le impostazioni del browser).
- Che la revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prima della revoca.
7. Categorie di cookie
Organizza i cookie nelle categorie standard utilizzate dal tuo banner di consenso. La categorizzazione più diffusa è la seguente:
- Strettamente necessari — cookie indispensabili per il funzionamento del sito web (sessioni di login, carrelli, token di sicurezza). Non richiedono il consenso ai sensi della ePrivacy Directive.
- Preferenze / funzionali — cookie che memorizzano le scelte dell'utente (lingua, area geografica, impostazioni di visualizzazione). Migliorano l'esperienza ma non sono essenziali.
- Analitici / statistici — cookie utilizzati per raccogliere dati di utilizzo anonimi (visualizzazioni di pagina, fonti di traffico, comportamenti degli utenti).
- Marketing / pubblicità — cookie utilizzati per pubblicità mirata, retargeting e misurazione degli annunci.
Le categorie della tua cookie policy dovrebbero corrispondere a quelle del tuo banner di consenso. Incongruenze tra i due documenti compromettono la trasparenza.
8. Informazioni di contatto
Fornisci i recapiti per domande relative alle tue pratiche sui cookie. In genere includono:
- L'identità del titolare del trattamento (nome della tua azienda e sede legale)
- Indirizzo email per le richieste in materia di privacy
- I recapiti del Responsabile della protezione dei dati (DPO), se ne hai nominato uno
- La tua autorità di controllo (l'autorità di protezione dei dati competente)
Dove mostrare la cookie policy
La tua cookie policy deve essere facilmente accessibile da più punti:
- Footer del sito web. Un link "Cookie Policy" nel footer, visibile su ogni pagina. È la posizione standard che gli utenti si aspettano.
- Cookie banner. Un link diretto dal cookie banner alla cookie policy completa. È un obbligo legale — gli utenti devono poter accedere alle informazioni dettagliate dall'interfaccia di consenso.
- Pannello delle impostazioni/preferenze sui cookie. Il secondo livello della tua interfaccia di consenso dovrebbe rimandare alla cookie policy per gli utenti che desiderano maggiori informazioni.
- Privacy policy. Se la tua cookie policy è un documento separato, inserisci un rimando incrociato dalla privacy policy e viceversa.
Come presentare le informazioni sui cookie
Il formato più efficace e trasparente per presentare i singoli cookie è la tabella. Le autorità di protezione dei dati, incluso l'ICO, raccomandano questo formato:
| Nome del cookie | Fornitore | Finalità | Tipo | Durata |
|---|---|---|---|---|
_ga |
Google Analytics | Distingue i visitatori unici assegnando un numero generato in modo casuale | Terza parte, analitico | 2 anni |
_gid |
Google Analytics | Distingue i visitatori unici per la giornata in corso | Terza parte, analitico | 24 ore |
cookie_consent |
Questo sito web | Memorizza le tue preferenze di consenso sui cookie | Prima parte, necessario | 12 mesi |
Questo formato è chiaro, facilmente consultabile e fornisce a colpo d'occhio tutte le informazioni necessarie.
Con quale frequenza aggiornarla
La tua cookie policy deve essere sempre accurata. Aggiornala ogni volta che:
- Aggiungi un nuovo servizio di terze parti che imposta cookie (un nuovo strumento di analisi, una nuova piattaforma di marketing, un nuovo chatbot).
- Rimuovi un servizio che in precedenza impostava cookie.
- Un servizio di terze parti modifica i propri cookie (nuovi nomi, nuove durate, nuove finalità).
- Modifichi le categorie del tuo banner di consenso.
- Cambiano le indicazioni normative (nuovi requisiti, nuove best practice).
Inserisci una data di "Ultimo aggiornamento" all'inizio o alla fine della tua cookie policy. Ciò dimostra che il documento è mantenuto attivamente e aiuta gli utenti a valutarne l'attualità.
La sfida, ovviamente, è sapere quando cambiano i tuoi cookie. I servizi di terze parti aggiornano frequentemente i propri sistemi di tracciamento e un cookie presente tre mesi fa potrebbe essere stato sostituito o rinominato. I controlli manuali sono inaffidabili perché dipendono dalla capacità di qualcuno di ricordarsi di verificare.
Mantieni la tua policy accurata con la scansione automatizzata
Il problema di conformità più comune nelle cookie policy non è l'assenza di informazioni, bensì la presenza di informazioni inaccurate. Una policy che elenca cookie che non utilizzi più, o che non menziona cookie aggiunti dall'integrazione recente di uno strumento di marketing, non è conforme.
La scansione automatizzata dei cookie risolve questo problema. Uno scanner visita il tuo sito web a intervalli regolari, identifica tutti i cookie impostati, li confronta con quelli dichiarati e ti segnala eventuali discrepanze.
Passiro esegue automaticamente la scansione del tuo sito web alla ricerca di cookie, li categorizza ed evidenzia eventuali cookie non dichiarati che non sono ancora presenti nella tua policy. In questo modo la tua cookie policy resta accurata senza bisogno di controlli manuali. Scopri di più sulla scansione automatizzata dei cookie di Passiro.
In questa sezione
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis