La corretta gestione dei cookie e del consenso degli utenti rappresenta una delle sfide più rilevanti e complesse per i titolari del trattamento dati che sono gestori di siti web. L’Autorità Garante per la protezione dei dati personali ha ribadito in alcuni recenti provvedimenti, che facevano seguito a controlli ispettivi, l’importanza di conformarsi pienamente alle disposizioni del GDPR. Da tali provvedimenti si possono desumere alcune indicazioni che, sebbene non “nuove” offrono alcune indicazioni circa le criticità più diffuse e sulle azioni necessarie per evitare sanzioni.
Due casi emblematici: gli ammonimenti del Garante
Nel primo caso, il provvedimento è stato emesso nei confronti di una società sul cui sito web sono state rilevate violazioni multiple, tra cui un’informativa cookie incompleta e datata, con riferimenti normativi superati e mancanza di indicazioni chiare sui destinatari dei dati. Il banner cookie presentava un meccanismo inadeguato: chiudendolo tramite la “X”, il messaggio veniva riproposto a ogni accesso, compromettendo la libertà e la consapevolezza del consenso e questo in contrasto con il GDPR (artt. 4, 5, 7, 12, 13, 24 e 25) e con il Codice Privacy (art. 122). Nonostante modifiche adottate in corso di procedimento, il sito continuava a risultare conforme, portando all’ingiunzione di adeguamento e a un ammonimento.
Per lo stesso tipo di violazioni del GDPR (artt. 4, 5, 7, 12, 13, 24 e 25) e del Codice Privacy (art. 122) relative all’uso dei cookie, è stato emesso l’ammonimento oggetto del secondo provvedimento. L’Autorità ha rilevato che il banner cookie, presente al primo accesso, non consentiva all’utente di rifiutare facilmente i cookie non tecnici né di esprimere un consenso granulare, in violazione del GDPR (artt. 4, 5, 7, 12, 13, 24 e 25). In questo caso, la collaborazione dell’azienda e le misure correttive hanno evitato sanzioni pecuniarie, limitando l’intervento a un ammonimento.
Errori comuni e riflessioni operative
Un’analisi più ampia, come quella emersa dai provvedimenti n. 10152729 e n. 10152755 del 4 giugno 2025, evidenzia come tra gli errori più frequenti vi sia la sottovalutazione della responsabilità diretta del titolare del trattamento, anche quando mancano competenze tecniche per l’aggiornamento dell’informativa o del sistema di consenso. Il GDPR non prevede deleghe di responsabilità: il titolare deve garantire trasparenza, correttezza e liceità nell’uso di cookie e strumenti di tracciamento, anche laddove gestiti tecnicamente da terzi.
Il banner cookie rappresenta il principale strumento di informazione e acquisizione del consenso per i cookie non tecnici. La sua corretta configurazione deve garantire:
- Informazioni chiare e facilmente accessibili sull’uso dei cookie e sui destinatari dei dati;
- Possibilità per l’utente di esprimere un consenso libero, specifico e informato;
- Opzioni evidenti di accettazione, rifiuto e personalizzazione del consenso, senza ricorrere a pratiche ingannevoli o coercitive;
- Assenza di “dark patterns” come la riproposizione continua del banner a ogni accesso (consent fatigue), che spingono l’utente ad accettare i cookie per evitare disagi.
L’assenza di un chiaro “Rifiuta tutti” nel primo livello di interazione non è automaticamente una violazione, purché questa possibilità venga comunque offerta in modo semplice e trasparente in passaggi successivi.
Un aspetto spesso trascurato riguarda la necessità di indicare le conseguenze della chiusura del banner, ovvero che la navigazione continuerà con le impostazioni di default e l’uso di soli cookie tecnici, per i quali non è richiesto consenso.
Quando è obbligatorio il banner cookie?
Il banner cookie è obbligatorio ogni volta che un sito web si rivolge a utenti che si trovano all’interno dell’Unione Europea, oppure quando il titolare del sito — sia esso un privato, un’azienda o un ente — ha sede all’interno del territorio europeo. In entrambi i casi, infatti, si applicano le disposizioni del GDPR, che impongono l’obbligo di informare gli utenti sull’uso dei cookie e di raccogliere un consenso valido per quelli non strettamente necessari.
Tuttavia, non tutti i cookie richiedono il banner o il consenso dell’utente. Fanno eccezione, ad esempio, i cookie tecnici: si tratta di quei cookie indispensabili al corretto funzionamento del sito (come quelli che memorizzano il contenuto del carrello o la lingua selezionata) e che, proprio per la loro funzione essenziale, possono essere utilizzati senza necessità di una preventiva autorizzazione da parte dell’utente.
Trasparenza e informativa cookie
La cookie policy deve rispondere agli obblighi di trasparenza previsti dagli artt. 12, 13 e 14 del GDPR, essere facilmente reperibile (ad esempio tramite link nel footer) e redatta in modo chiaro e aggiornato. Deve indicare in modo preciso i destinatari dei dati personali raccolti e i riferimenti normativi attuali. Anche se si utilizzano solo cookie tecnici, la cookie policy deve essere presente.
I casi recenti evidenziano che informative obsolete, incomplete o non reperibili, costituiscono violazioni rilevanti, suscettibili di sanzioni e provvedimenti correttivi.
In sintesi, la cookie policy deve essere contenere tutte le informazioni richieste dal GDPR (finalità, tipologie di cookie, destinatari, durata, modalità di revoca del consenso).
Conclusioni e indicazioni operative
I provvedimenti del Garante sottolineano che la corretta gestione dei cookie non è solo una questione tecnica, ma un obbligo legale e un diritto fondamentale degli utenti. Il titolare del trattamento deve:
- Adottare un sistema di consenso che rispetti pienamente i requisiti di libertà, specificità e informazione;
- Assicurare la trasparenza e l’aggiornamento costante dell’informativa cookie;
- Evitare pratiche che forzino o disorientino l’utente, come la riproposizione continua del banner o l’assenza di opzioni di rifiuto chiare;
- Monitorare e aggiornare periodicamente la conformità, considerando anche le indicazioni e le ispezioni del Garante.
Il rischio di sanzioni pecuniarie esiste, soprattutto in caso di recidiva o di mancata collaborazione, come indicato dal Garante stesso. Un approccio proattivo e trasparente, insieme a strumenti conformi e aggiornati, tutela sia gli interessati sia i titolari dei siti web da sanzioni e danni reputazionali.
