Skip to main content

Come scrivere una cookie policy: guida passo dopo passo

Una cookie policy vale tanto quanto la sua accuratezza e chiarezza. Questa guida ti accompagna nel processo di creazione di una cookie policy che soddisfi i requisiti di legge, sia utile ai tuoi utenti e resti accurata nel tempo. Segui questi nove passaggi per redigere una policy completa, trasparente e facile da mantenere.

Passo 1: analizza i tuoi cookie

Prima di poter descrivere i tuoi cookie, devi sapere con esattezza quali cookie imposta il tuo sito web. Questa è la base dell'intera policy — e il passaggio che la maggior parte delle organizzazioni sbaglia.

Un'analisi approfondita dei cookie prevede:

  1. Scansione di ogni pagina. I cookie possono variare da pagina a pagina. La tua homepage può impostare cookie diversi rispetto alla pagina di checkout, al blog o alle pagine dell'account. Un'analisi completa deve coprire tutte le tipologie di pagina.
  2. Rilevamento dei cookie di prima e terza parte. I cookie di prima parte sono impostati dal tuo dominio. I cookie di terza parte sono impostati da servizi esterni — piattaforme di analytics, reti pubblicitarie, widget dei social media, video incorporati, widget di chat, gestori di pagamenti e altro ancora.
  3. Individuazione dell'archiviazione diversa dai cookie. I siti web moderni utilizzano anche localStorage, sessionStorage, IndexedDB e pixel tag. Una policy completa copre tutti i meccanismi di archiviazione lato client, non solo i cookie HTTP.
  4. Test con e senza consenso. Alcuni cookie vengono impostati indipendentemente dal consenso (cookie strettamente necessari). Altri dovrebbero comparire solo dopo che il consenso è stato concesso. La tua analisi dovrebbe verificare che i cookie non essenziali siano effettivamente bloccati fino al rilascio del consenso.

Le analisi manuali sono inaffidabili. Aprire manualmente gli strumenti per sviluppatori del browser su poche pagine non rileverà i cookie impostati da script di terze parti che si caricano in modo asincrono, i cookie impostati solo in seguito a specifiche azioni dell'utente e i cookie che compaiono solo nelle visite successive. Utilizza strumenti di scansione automatizzata per avere un quadro completo.

Lo scanner automatico dei cookie di Passiro esamina l'intero sito web, identifica ogni cookie e meccanismo di archiviazione e fornisce un report categorizzato — il punto di partenza ideale per la tua policy.

Passo 2: categorizza ogni cookie

Una volta ottenuto l'elenco completo dei cookie, organizzali in categorie standard. La categorizzazione più diffusa e accettata, utilizzata dall'IAB Transparency and Consent Framework e raccomandata dalla maggior parte delle autorità garanti della protezione dei dati, è la seguente:

Strettamente necessari

Cookie senza i quali il sito web non può funzionare. Esempi: cookie di sessione per lo stato di login, cookie del carrello, token di protezione CSRF, cookie del bilanciamento del carico, cookie delle preferenze di consenso. Sono esenti dall'obbligo di consenso ai sensi dell'articolo 5(3) della ePrivacy Directive, ma devi comunque menzionarli nella tua policy.

Preferenze / Funzionali

Cookie che abilitano funzionalità avanzate e la personalizzazione. Esempi: selezione della lingua, preferenza di regione/valuta, impostazioni della dimensione del testo, articoli visualizzati di recente. Non sono strettamente necessari — il sito funzionerebbe anche senza di essi — ma migliorano l'esperienza dell'utente. Richiedono il consenso.

Analytics / Statistiche

Cookie utilizzati per raccogliere dati su come i visitatori interagiscono con il sito web. Esempi: cookie di Google Analytics (_ga, _gid), cookie di sessione di Hotjar, Plausible Analytics. Nella maggior parte delle giurisdizioni UE richiedono il consenso, anche se alcune autorità garanti (in particolare la CNIL francese) hanno introdotto esenzioni limitate per gli strumenti di misurazione del pubblico che soddisfano condizioni rigorose.

Marketing / Pubblicità

Cookie utilizzati per la pubblicità mirata, il retargeting e la misurazione delle performance degli annunci. Esempi: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookie delle reti pubblicitarie. Richiedono sempre il consenso e sono la categoria sotto maggiore osservazione.

Per ciascun cookie, assegna una categoria e verifica che la categorizzazione sia accurata. Un errore comune è classificare i cookie di analytics o marketing come "funzionali" per aggirare l'obbligo di consenso — una pratica non conforme e facilmente individuabile dalle autorità.

Passo 3: scrivi l'introduzione

La tua cookie policy dovrebbe iniziare con una breve introduzione che copra:

  • Chi sei. L'entità giuridica che gestisce il sito web (ragione sociale, indirizzo registrato).
  • Cosa copre questo documento. "Questa cookie policy spiega come [Nome azienda] utilizza i cookie e tecnologie simili su [URL del sito web]."
  • Quando è stata aggiornata l'ultima volta. Inserisci una data ben visibile.
  • Come contattarti. Fornisci un indirizzo email di contatto e, se applicabile, i dati del tuo Responsabile della Protezione dei Dati.

Mantieni l'introduzione a due o tre frasi. Gli utenti sono qui per informazioni specifiche, non per un preambolo aziendale.

Passo 4: spiega cosa sono i cookie

Includi una breve spiegazione non tecnica di cosa siano i cookie. Molti dei tuoi visitatori non lo sanno. Una buona spiegazione è la seguente:

I cookie sono piccoli file di testo che vengono memorizzati sul tuo dispositivo (computer, tablet o telefono) quando visiti un sito web. Sono ampiamente utilizzati per far funzionare i siti web, per migliorarne l'efficienza e per fornire informazioni ai proprietari dei siti. I cookie impostati dal sito web che stai visitando sono chiamati "cookie di prima parte". I cookie impostati da altre aziende (ad esempio, servizi di analytics o pubblicitari) sono chiamati "cookie di terze parti".

Se il tuo sito utilizza tecnologie diverse dai cookie HTTP — come localStorage, pixel tag o fingerprinting — menzionale anche. "In questa policy, utilizziamo il termine 'cookie' per riferirci ai cookie e a tecnologie simili, salvo diversa indicazione."

Passo 5: elenca i cookie in formato tabellare

Presenta i tuoi cookie in una tabella strutturata, organizzata per categoria. Per ciascun cookie, includi:

Campo Descrizione Esempio
Nome Il nome tecnico del cookie _ga
Fornitore Chi imposta questo cookie Google Analytics (google.com)
Finalità Cosa fa il cookie, in linguaggio semplice Genera un ID univoco per registrare dati statistici su come utilizzi il sito web
Tipo Prima o terza parte; cookie HTTP, localStorage, ecc. Cookie HTTP di terza parte
Durata Per quanto tempo il cookie persiste 2 anni

Ecco un esempio di tabella dei cookie ben strutturata per la categoria analytics:

Nome cookie Fornitore Finalità Tipo Durata
_ga Google Analytics Assegna un ID univoco per distinguere i visitatori e compilare report statistici Terza parte 2 anni
_gid Google Analytics Assegna un ID univoco per ciascuna sessione di navigazione per compilare report statistici Terza parte 24 ore
_gat_UA-* Google Analytics Limita la frequenza di raccolta dei dati sui siti ad alto traffico Terza parte 1 minuto

Ripeti questa tabella per ciascuna categoria: Strettamente necessari, Preferenze, Analytics e Marketing.

Passo 6: descrivi ogni categoria

Prima di ogni tabella dei cookie, fornisci una breve descrizione della categoria:

  • Cosa fanno i cookie di questa categoria — in termini generali.
  • Se è richiesto il consenso — i cookie strettamente necessari non richiedono consenso; tutti gli altri sì.
  • Cosa succede se l'utente rifiuta — "Se rifiuti i cookie di analytics, non raccoglieremo dati sulle tue visite. Il sito web funzionerà normalmente."

Queste informazioni contestuali aiutano gli utenti a prendere decisioni consapevoli e soddisfano i requisiti di trasparenza del GDPR.

Passo 7: spiega come gli utenti possono gestire i cookie

Questa sezione deve coprire due meccanismi di controllo:

Tramite il tuo banner di consenso

Spiega che gli utenti possono gestire le proprie preferenze sui cookie in qualsiasi momento cliccando sul link o sull'icona delle impostazioni dei cookie. Descrivi dove trovarli (ad esempio, "Clicca sull'icona dei cookie nell'angolo in basso a sinistra di qualsiasi pagina" oppure "Clicca su 'Impostazioni cookie' nel footer"). Sii specifico — non limitarti a dire "tramite il nostro cookie banner".

Tramite le impostazioni del browser

Fornisci link alle istruzioni per la gestione dei cookie per i principali browser:

Segnala la conseguenza: "Tieni presente che disabilitare i cookie tramite le impostazioni del browser può influire sul funzionamento di questo e di altri siti web che visiti."

Passo 8: aggiungi le informazioni di contatto e i dati del DPO

Fornisci informazioni di contatto chiare per le richieste relative alla privacy:

  • Identità del titolare del trattamento: ragione sociale, indirizzo registrato, numero di registrazione.
  • Email di contatto per la privacy: un indirizzo email monitorato (ad esempio, [email protected]).
  • Responsabile della Protezione dei Dati: se hai nominato un DPO (obbligatorio per determinate organizzazioni ai sensi dell'articolo 37 del GDPR), fornisci il suo nome e i dati di contatto.
  • Autorità di controllo: individua l'autorità garante della protezione dei dati competente e fornisci un link al suo meccanismo di reclamo. Ad esempio: "Hai il diritto di presentare un reclamo a [Nome autorità garante] all'indirizzo [URL]."

Passo 9: data la policy e pianifica gli aggiornamenti

Inserisci una chiara data di "Ultimo aggiornamento". Impegnati a rivedere e aggiornare la policy a intervalli regolari e ogni volta che il tuo utilizzo dei cookie cambia.

Valuta di aggiungere una dichiarazione come: "Rivediamo regolarmente questa cookie policy e la aggiorneremo quando necessario. Eventuali modifiche significative saranno comunicate tramite un avviso sul nostro sito web."

In pratica, pianifica almeno una revisione trimestrale. I servizi di terze parti modificano frequentemente i loro cookie, e persino un piccolo aggiornamento di un'integrazione può introdurre nuovi cookie che devono essere dichiarati.

Errori comuni da evitare

Anche le cookie policy scritte con cura contengono spesso questi errori:

  • Descrizioni vaghe delle finalità. "Questo cookie migliora la tua esperienza" non dice nulla all'utente. Sii specifico: quali dati raccoglie il cookie e a cosa servono?
  • Elenchi di cookie non aggiornati. Se la tua policy elenca cookie di uno strumento rimosso sei mesi fa, o non elenca i cookie di uno strumento aggiunto la settimana scorsa, è inaccurata. Un'informativa inaccurata mina la trasparenza.
  • Cookie di terze parti mancanti. Molte organizzazioni elencano i propri cookie ma dimenticano di documentare i cookie di terze parti impostati da contenuti incorporati (video di YouTube, pulsanti dei social media, widget di chat, ecc.). Questi sono spesso i cookie più invasivi per la privacy presenti sul sito.
  • Errori di categorizzazione. Classificare i cookie di marketing o analytics come "funzionali" o "necessari" per aggirare l'obbligo di consenso. Le autorità garanti della protezione dei dati controllano proprio questo aspetto.
  • Nessun meccanismo per modificare le preferenze. Dichiarare che gli utenti possono gestire le proprie preferenze senza però fornire un meccanismo chiaramente descritto e sempre disponibile per farlo.
  • Copiare un template senza personalizzarlo. Template generici di cookie policy che non riflettono i tuoi cookie effettivi, i tuoi servizi effettivi o il tuo effettivo trattamento dei dati. Un template è un punto di partenza, non un documento finito.
  • Linguaggio poco accessibile. Gergo giuridico, terminologia tecnica e strutture di frasi inutilmente complesse. Il GDPR richiede un linguaggio chiaro e semplice. Scrivi per un pubblico non specializzato.

Mantenere la policy allineata ai cookie effettivi

La parte più difficile del mantenere una cookie policy non è scriverla — è tenerla accurata. I siti web sono dinamici. I team di marketing aggiungono nuovi strumenti, gli sviluppatori integrano nuovi servizi, i sistemi di gestione dei contenuti installano plugin con funzionalità di tracciamento. Ogni modifica può introdurre cookie che la tua policy non menziona.

La soluzione è un monitoraggio automatizzato e continuo. Invece di affidarti ad analisi manuali (poco frequenti, incomplete e soggette a errori), utilizza uno strumento di scansione che esamini regolarmente il tuo sito web, identifichi tutti i cookie attivi e li confronti con l'elenco dei cookie dichiarati.

Passiro esegue automaticamente la scansione del tuo sito web, rileva i cookie non dichiarati e ti avvisa quando la tua policy deve essere aggiornata. Questo garantisce che la tua cookie policy rifletta sempre la realtà — non un'istantanea dell'ultima volta che qualcuno si è ricordato di controllare. Scopri la conformità automatizzata dei cookie di Passiro.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis