Skip to main content

Le leggi sui cookie per paese: una guida per l'UE e il SEE

Sebbene la Direttiva ePrivacy e il GDPR forniscano un quadro comune in tutta l'Unione Europea, ogni stato membro ha recepito la Direttiva ePrivacy nella propria legislazione nazionale con sfumature specifiche. L'intensità dell'applicazione, l'interpretazione delle esenzioni e l'entità delle sanzioni variano in modo significativo da paese a paese. Questa guida illustra i principali aspetti della normativa sui cookie per dodici importanti mercati europei.

Tabella di riferimento rapido

Paese Autorità Legge nazionale Livello di applicazione Da notare
Germania Autorità statali per la protezione dei dati + BfDI TTDSG (2021) Alto Applicazione decentralizzata; framework PIMS
Francia CNIL Loi Informatique et Libertés Molto alto Sanzioni record; linee guida dettagliate sui cookie
Italia Garante Codice Privacy (D.Lgs. 196/2003) Alto Linee guida complete sui cookie del 2021
Spagna AEPD LSSI-CE + LOPDGDD Moderato Storico dibattito sull'esenzione per gli analytics
Paesi Bassi AP Telecommunicatiewet Alto Rigido divieto dei cookie wall
Belgio APD/GBA ePrivacy Act (2012) Moderato Sentenza sull'IAB Europe TCF
Austria DSB TKG 2021 Moderato-Alto Prime sentenze su Google Analytics
Danimarca Datatilsynet Cookiebekendtgørelsen Moderato Applicazione in aumento dal 2022
Svezia IMY LEK (2003:389) Moderato-Alto Sanzioni importanti nel 2023-2024
Irlanda DPC SI 336/2011 Moderato Sede delle Big Tech; criticata per i tempi di applicazione
Polonia UODO Legge sulle telecomunicazioni Moderato Attività di applicazione in crescita
Norvegia Datatilsynet Ekomloven Moderato Membro del SEE; segue da vicino le indicazioni dell'EDPB

Germania

Autorità di controllo: il Garante federale per la protezione dei dati (BfDI) a livello federale, oltre a 16 autorità statali per la protezione dei dati (Landesdatenschutzbehörden).

Legge nazionale: il Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), entrato in vigore il 1° dicembre 2021, ha consolidato le norme tedesche sui cookie. La Sezione 25 del TTDSG recepisce l'Articolo 5(3) della Direttiva ePrivacy, richiedendo il consenso per l'archiviazione o l'accesso a informazioni sui dispositivi degli utenti finali, salvo che l'archiviazione sia strettamente necessaria.

Requisiti principali: il TTDSG ha chiarito che il consenso per i cookie deve soddisfare lo standard del GDPR. La Corte federale di giustizia tedesca (BGH) aveva già confermato questo principio nell'attuazione della sentenza Planet49 (maggio 2020), stabilendo che le caselle pre-selezionate non sono sufficienti. Il TTDSG ha inoltre introdotto disposizioni relative ai Personal Information Management Systems (PIMS) riconosciuti, che consentirebbero agli utenti di gestire le preferenze di consenso in modo centralizzato anziché su ciascun sito web, sebbene i regolamenti attuativi per i PIMS abbiano tardato a concretizzarsi.

Applicazione: la struttura decentralizzata dell'applicazione in Germania fa sì che il controllo sulla conformità dei cookie vari da stato a stato. Le autorità di Berlino, Amburgo e Baden-Württemberg sono state tra le più attive. La Conferenza delle autorità per la protezione dei dati (DSK) pubblica periodicamente posizioni congiunte sui requisiti relativi al consenso ai cookie.

Azioni di rilievo: molteplici indagini su banner dei cookie che utilizzavano dark pattern, in particolare design "nudging" in cui il pulsante di accettazione era visivamente in evidenza mentre l'opzione di rifiuto era messa in secondo piano. Le sanzioni sono state generalmente inferiori rispetto alla Francia, ma l'attività di applicazione è cresciuta costantemente dall'entrata in vigore del TTDSG.

Francia

Autorità di controllo: Commission Nationale de l'Informatique et des Libertés (CNIL).

Legge nazionale: Loi Informatique et Libertés (Legge n. 78-17), modificata per attuare la Direttiva ePrivacy. La CNIL ha pubblicato linee guida complete sui cookie a settembre 2020, con un periodo di adeguamento terminato il 31 marzo 2021.

Requisiti principali: la Francia è il mercato importante più rigoroso dell'UE in materia di conformità dei cookie. Le linee guida della CNIL richiedono: il consenso prima dell'installazione di qualsiasi cookie non essenziale; un'opzione di rifiuto sul primo livello del banner facile da usare quanto l'opzione di accettazione; nessun cookie wall (con limitate eccezioni confermate dal Conseil d'État); informazioni dettagliate su ciascuna finalità dei cookie.

Esenzione per la misurazione del pubblico: la CNIL prevede un'esenzione limitata per i cookie di misurazione del pubblico che soddisfano condizioni rigorose: lo strumento deve essere configurato per produrre solo dati statistici anonimi, i cookie devono essere limitati al sito dell'editore, la durata dei cookie non deve superare i 13 mesi e i dati non devono essere combinati con altri trattamenti. Strumenti come Matomo (con una configurazione specifica) e AT Internet sono stati riconosciuti nell'ambito di questa esenzione. Google Analytics non rientra in tale categoria.

Sanzioni di rilievo: la Francia ha comminato le sanzioni più elevate d'Europa in materia di cookie. Google LLC è stata multata per 150 milioni di euro a dicembre 2021 per aver reso il rifiuto dei cookie più difficile della loro accettazione. Facebook è stata multata per 60 milioni di euro nella stessa azione. Microsoft è stata multata per 60 milioni di euro a dicembre 2022. TikTok è stata multata per 5 milioni di euro a dicembre 2022. Criteo è stata multata per 40 milioni di euro a giugno 2023. Complessivamente, la CNIL ha comminato oltre 400 milioni di euro di sanzioni specifiche sui cookie.

Italia

Autorità di controllo: Garante per la protezione dei dati personali (Garante).

Legge nazionale: Codice Privacy (Decreto Legislativo 196/2003), modificato per allinearsi al GDPR. Il Garante ha pubblicato linee guida complete sui cookie il 10 giugno 2021, con conformità richiesta entro il 10 gennaio 2022.

Requisiti principali: le linee guida del Garante del 2021 sono tra le più dettagliate in Europa. Richiedono: un banner di primo livello con un pulsante di accettazione e un pulsante di rifiuto ben visibile (contrassegnato con una "X" o con "Continua senza accettare"); un secondo livello accessibile dal primo banner con controlli granulari sulle categorie di cookie; lo scorrimento non costituisce esplicitamente consenso; il consenso ai cookie deve essere richiesto nuovamente dopo un massimo di 6 mesi.

Da notare: il Garante ha introdotto il concetto di richiedere un apposito pulsante di "chiusura" sui banner dei cookie, anziché consentire che la continuazione della navigazione valga come rifiuto. Le linee guida hanno inoltre affrontato la questione dei cookie analitici, richiedendo il consenso per tutti gli analytics di terze parti e ammettendo un'esenzione limitata solo per gli strumenti di analytics di prima parte con dati adeguatamente anonimizzati.

Spagna

Autorità di controllo: Agencia Española de Protección de Datos (AEPD).

Legge nazionale: Ley de Servicios de la Sociedad de la Información (LSSI-CE) e Ley Orgánica de Protección de Datos (LOPDGDD).

Requisiti principali: inizialmente la Spagna aveva adottato un approccio più permissivo alla conformità dei cookie, con la guida ai cookie dell'AEPD del 2013 che suggeriva che alcuni cookie analitici potessero essere utilizzati sulla base del legittimo interesse. Tuttavia, l'AEPD si è progressivamente allineata al più rigoroso consenso europeo a seguito delle indicazioni dell'EDPB e della sentenza Planet49. Le attuali indicazioni dell'AEPD richiedono il consenso preventivo per i cookie analitici e di marketing.

Azioni di rilievo: l'AEPD ha multato Vueling Airlines per 30.000 euro nel 2020 per un banner dei cookie che offriva solo un'opzione di accettazione senza alcuna possibilità di rifiuto. CaixaBank è stata multata per 6 milioni di euro nel 2021, in parte per pratiche di trattamento dei dati collegate al tracciamento basato sui cookie. Più recentemente, l'AEPD si è concentrata sui cookie wall e sui dark pattern nelle interfacce di consenso.

Paesi Bassi

Autorità di controllo: Autoriteit Persoonsgegevens (AP).

Legge nazionale: Telecommunicatiewet (Legge sulle telecomunicazioni), Articolo 11.7a.

Requisiti principali: i Paesi Bassi hanno adottato una delle posizioni più rigorose d'Europa sui cookie wall. L'AP ha dichiarato chiaramente che subordinare l'accesso a un sito web all'accettazione dei cookie non costituisce un consenso valido, poiché il consenso non è "liberamente prestato" se l'alternativa è la perdita dell'accesso al servizio. L'AP richiede inoltre un consenso esplicito prima dell'installazione di qualsiasi cookie di tracciamento e ha criticato le piattaforme di gestione del consenso che utilizzano design manipolatori.

Azioni di rilievo: l'AP ha indagato su numerosi siti web per violazioni della conformità dei cookie e ha pubblicato indicazioni specificamente mirate ai dark pattern nei banner dei cookie. L'autorità ha inoltre partecipato a verifiche coordinate dei siti web governativi in materia di conformità dei cookie. Nel 2024 l'AP ha intensificato la propria attività di applicazione nei confronti delle organizzazioni di dimensioni più piccole, a segnalare che le aspettative in materia di conformità dei cookie valgono indipendentemente dalle dimensioni dell'azienda.

Belgio

Autorità di controllo: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Legge nazionale: Legge del 13 giugno 2005 sulle comunicazioni elettroniche, modificata dalla Legge del 10 luglio 2012.

Requisiti principali: il Belgio segue i requisiti standard della Direttiva ePrivacy. L'autorità belga ha assunto rilevanza globale nella regolamentazione dei cookie quando, a febbraio 2022, si è pronunciata sull'IAB Europe Transparency and Consent Framework (TCF), stabilendo che la stringa di consenso del TCF costituisce un dato personale e che IAB Europe era contitolare del trattamento. Questa sentenza, parzialmente confermata dalla CGUE a marzo 2024, ha implicazioni per ogni sito web che utilizza il TCF per la gestione del consenso ai cookie.

Da notare: la sentenza sull'IAB TCF ha scosso il settore della pubblicità online, poiché il TCF è il framework di consenso più utilizzato per la pubblicità programmatica in Europa. Sebbene IAB Europe abbia apportato modifiche per rispondere alle preoccupazioni dell'autorità, il caso ha evidenziato i rischi legati all'affidamento su framework di consenso progettati dal settore che potrebbero non soddisfare pienamente i requisiti del GDPR.

Austria

Autorità di controllo: Datenschutzbehörde (DSB).

Legge nazionale: Telekommunikationsgesetz 2021 (TKG 2021), Sezione 165.

Requisiti principali: le norme austriache sui cookie seguono il quadro standard della Direttiva ePrivacy. L'autorità austriaca ha ottenuto attenzione internazionale a gennaio 2022, quando è diventata la prima autorità europea a stabilire che l'uso di Google Analytics violava il GDPR, in particolare per quanto riguarda i trasferimenti di dati personali verso gli Stati Uniti a seguito della sentenza Schrems II. Sebbene si trattasse principalmente di una questione di trasferimento dei dati, ha avuto implicazioni dirette sulla conformità dei cookie, poiché i cookie di Google Analytics sono stati ritenuti dati personali trasferiti a un paese terzo senza garanzie adeguate.

Da notare: la sentenza su Google Analytics ha innescato una cascata di decisioni simili in tutta Europa (Francia, Italia e altri paesi hanno seguito l'esempio) e ha accelerato lo sviluppo di alternative di analytics rispettose della privacy. La DSB ha continuato a essere attiva sui temi dei cookie e delle tecnologie di tracciamento.

Danimarca

Autorità di controllo: Datatilsynet.

Legge nazionale: Cookiebekendtgørelsen (Decreto esecutivo sull'informazione e sul consenso necessari per l'archiviazione o l'accesso a informazioni nei dispositivi terminali degli utenti finali), che attua le disposizioni della Direttiva ePrivacy.

Requisiti principali: la Danimarca richiede il consenso per tutti i cookie, ad eccezione di quelli strettamente necessari per un servizio esplicitamente richiesto dall'utente. Il Datatilsynet ha pubblicato indicazioni che confermano che i cookie analitici richiedono il consenso e che la continuazione della navigazione non costituisce un consenso valido. Le indicazioni danesi si sono progressivamente allineate alle posizioni più rigorose adottate dalla CNIL e dall'EDPB.

Azioni di rilievo: il Datatilsynet ha intensificato l'attività di applicazione in materia di cookie dal 2022, indagando su siti web sia del settore pubblico che privato. Nel 2023 l'autorità ha emesso decisioni contro numerosi siti web danesi per meccanismi di consenso ai cookie inadeguati, inclusi casi in cui l'opzione di rifiuto non era sufficientemente visibile. Il Datatilsynet ha inoltre affrontato l'uso di Google Analytics e dei pixel di tracciamento di Meta sui siti web danesi, ordinando a diverse organizzazioni di cessare l'utilizzo di questi strumenti in assenza di un consenso adeguato e di garanzie sul trasferimento dei dati.

Svezia

Autorità di controllo: Integritetsskyddsmyndigheten (IMY).

Legge nazionale: Lag om elektronisk kommunikation (LEK, 2003:389).

Requisiti principali: negli ultimi anni la Svezia è passata da un livello di applicazione relativamente basso in materia di cookie a un'azione significativa. L'IMY ha comminato le sue prime sanzioni importanti relative ai cookie nel 2023, colpendo quattro aziende (tra cui Tele2, CDON, Dagens Industri e Coop) per un totale complessivo di oltre 100 milioni di corone svedesi (circa 9 milioni di euro) per l'uso di Google Analytics e la condivisione di dati personali con Google senza un consenso valido o adeguate garanzie sul trasferimento dei dati.

Da notare: le azioni di applicazione del 2023 hanno segnato un cambiamento importante nell'approccio svedese. L'IMY si è coordinata con altre autorità nordiche e ha seguito i precedenti stabiliti dalla DSB austriaca e dalla CNIL francese su Google Analytics. Le sanzioni sono state tra le più elevate mai comminate da un'autorità nordica e hanno dimostrato che l'applicazione svedese è ormai al pari delle autorità europee più rigorose.

Irlanda

Autorità di controllo: Data Protection Commission (DPC).

Legge nazionale: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Requisiti principali: l'Irlanda segue il quadro standard della Direttiva ePrivacy. Tuttavia, il ruolo del DPC come autorità di controllo capofila per molte grandi aziende tecnologiche con sede in Irlanda (tra cui Meta, Google, Apple, Microsoft e TikTok) le ha conferito un peso sproporzionato nella protezione dei dati europea. Il DPC ha pubblicato indicazioni sulla conformità dei cookie e condotto audit su siti web sia del settore pubblico che privato.

Da notare: il DPC è stato criticato da altre autorità europee e dal Parlamento europeo per la lentezza percepita nell'applicazione nei confronti delle Big Tech. Tuttavia, il DPC ha comminato sanzioni GDPR significative, tra cui una multa di 1,2 miliardi di euro a Meta nel 2023 per i trasferimenti di dati. Per quanto riguarda specificamente i cookie, il DPC ha condotto verifiche sui siti web nel 2020 e nel 2021, emettendo raccomandazioni di conformità a numerose organizzazioni. Le sanzioni specifiche sui cookie del DPC sono state relativamente modeste rispetto a quelle della CNIL.

Polonia

Autorità di controllo: Urząd Ochrony Danych Osobowych (UODO).

Legge nazionale: Legge sulle telecomunicazioni (Prawo telekomunikacyjne), Articolo 173.

Requisiti principali: la Polonia richiede il consenso per i cookie in linea con la Direttiva ePrivacy. L'UODO ha pubblicato indicazioni che confermano che le caselle pre-selezionate e la continuazione della navigazione non costituiscono un consenso valido. La legge polacca include disposizioni specifiche sulle informazioni che devono essere fornite agli utenti in merito ai cookie, incluse le finalità, l'identità del titolare del trattamento e le istruzioni per la gestione delle impostazioni dei cookie.

Da notare: l'attività di applicazione della Polonia in materia di cookie è aumentata, con l'UODO che indaga su reclami relativi a banner dei cookie non conformi e collabora con l'autorità di regolamentazione delle telecomunicazioni. L'UODO ha partecipato a verifiche di applicazione coordinate a livello UE e ha allineato le proprie indicazioni alle raccomandazioni dell'EDPB.

Norvegia

Autorità di controllo: Datatilsynet (l'autorità norvegese per la protezione dei dati, da non confondere con l'omonima autorità danese).

Legge nazionale: Ekomloven (Legge sulle comunicazioni elettroniche).

Requisiti principali: sebbene la Norvegia non sia uno stato membro dell'UE, è membro dello Spazio economico europeo (SEE) e ha incorporato il GDPR e la Direttiva ePrivacy nella propria legislazione nazionale tramite l'Accordo SEE. Il Datatilsynet norvegese segue da vicino le indicazioni dell'EDPB ed è stato attivo nell'applicazione in materia di cookie.

Azioni di rilievo: il Datatilsynet norvegese ha comminato una sanzione di 5 milioni di euro a Grindr a dicembre 2021 (successivamente ridotta a 6,5 milioni di euro in appello) per la condivisione dei dati degli utenti con partner pubblicitari senza un consenso valido. Sebbene si trattasse principalmente di un caso di consenso relativo alla condivisione dei dati anziché specificamente ai cookie, ha stabilito importanti precedenti per i requisiti di consenso nelle tecnologie di tracciamento. L'autorità ha inoltre indagato sull'uso di Google Analytics e di altri strumenti di tracciamento sui siti web norvegesi.

Punti chiave

Nonostante le differenze nell'attuazione e nell'applicazione a livello nazionale, diversi principi sono coerenti in tutti i paesi dell'UE e del SEE:

  • Il consenso è obbligatorio prima dell'installazione di qualsiasi cookie non essenziale. Nessun paese europeo accetta un modello di puro opt-out per i cookie.
  • Il consenso deve soddisfare lo standard del GDPR: liberamente prestato, specifico, informato, inequivocabile e dimostrato da un'azione affermativa chiara.
  • Il rifiuto deve essere facile quanto l'accettazione. Sebbene l'implementazione specifica possa variare (pulsante separato, X per chiudere, ecc.), il principio secondo cui rifiutare i cookie non deve essere più difficile che accettarli è universale.
  • L'applicazione è in aumento ovunque. I paesi che in precedenza erano più permissivi comminano ora sanzioni e adottano decisioni formali. Non esiste una giurisdizione europea "sicura" per la non conformità.
  • L'applicazione coordinata è in crescita. Le autorità per la protezione dei dati collaborano sempre più tramite l'EDPB e conducono verifiche coordinate, il che significa che la non conformità in un paese è probabile che attiri l'attenzione anche in altri.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis