Skip to main content
BusinessItaly

Cookie Policy

Reviewed by the Forms Legal Editorial Team·Last updated
Key takeaways

Una cookie policy è il documento con cui un sito web informa gli utenti sull'uso dei cookie e delle tecnologie di tracciamento, raccoglie il consenso ove richiesto e adempie agli obblighi di trasparenza previsti dal Reg. UE 2016/679 e dall'art. 122 D.Lgs. 196/2003. Ogni operatore che installi cookie non tecnici sul proprio sito — cookie analitici, pubblicitari o di profilazione — è tenuto a redigerla e renderla accessibile prima della raccolta dei dati.

Legal basis: Provv. Garante 10/06/2021 (linee guida cookie); Reg. UE 2016/679 artt. 6 e 7; art. 122 D.Lgs. 196/2003

cookie policy — free, fillable template; download as PDF or Word.

Che cos'è una cookie policy

La cookie policy è un documento informativo autonomo, distinto dalla privacy policy generale, che descrive in modo specifico le tecnologie di tracciamento utilizzate su un sito web. La sua base normativa si articola su due livelli: il Regolamento europeo 2016/679 (GDPR), che disciplina il trattamento dei dati personali in senso ampio, e l'art. 122 del D.Lgs. 196/2003 (Codice Privacy), che regolamenta specificamente l'accesso alle informazioni memorizzate nel dispositivo dell'utente tramite cookie o strumenti analoghi.

Il Garante per la protezione dei dati personali ha poi emanato le proprie linee guida con il Provv. 10/06/2021, chiarendo la distinzione tra categorie di cookie, le modalità di raccolta del consenso e i requisiti minimi del banner di primo accesso. Queste linee guida hanno introdotto standard più severi rispetto al passato, rendendo necessario per moltissimi operatori rivedere sia il documento sia il sistema di gestione del consenso (CMP, Consent Management Platform).

Dal punto di vista pratico, la cookie policy non è una formalità burocratica: senza di essa, qualsiasi cookie non tecnico installato sul sito è illegittimo, poiché manca la base giuridica del consenso informato richiesta dall'art. 6 del Reg. UE 2016/679.

Quando è obbligatoria

L'obbligo scatta non appena il sito installa cookie che non siano strettamente necessari al funzionamento tecnico del servizio. I cookie tecnici — quelli che gestiscono la sessione di autenticazione, il carrello di un e-commerce o le preferenze di lingua — non richiedono il consenso dell'utente né una specifica informativa estesa, sebbene vada comunque garantita una descrizione di base.

Per tutte le altre categorie — cookie analitici che tracciano il comportamento degli utenti, cookie di marketing, pixel di retargeting, cookie di social media integrati tramite widget — il quadro cambia radicalmente. Secondo il combinato disposto dell'art. 7 del Reg. UE 2016/679 e delle indicazioni del Provv. Garante 10/06/2021, il consenso deve essere libero, specifico, informato e inequivocabile. L'utente deve poterlo prestare prima che il cookie venga installato, non dopo.

Sono soggetti a questo obbligo: siti aziendali con moduli di analisi del traffico, blog e testate online che usano servizi pubblicitari terzi, e-commerce con tracciamento delle conversioni, applicazioni web che integrano chat live o strumenti di customer relationship management basati su cookie. La dimensione dell'impresa non rileva: anche un piccolo professionista autonomo con un sito personale che usa un servizio analitico di terze parti deve predisporre la cookie policy.

Contenuto essenziale del documento

Il Provv. Garante 10/06/2021 indica quali elementi devono figurare nell'informativa estesa sui cookie, quella che l'utente raggiunge cliccando su «maggiori informazioni» nel banner iniziale.

Elenco analitico dei cookie. Per ciascuna tecnologia di tracciamento occorre indicare: nome del cookie, finalità (tecnica, analitica, di profilazione, di marketing), durata (sessione o persistente con indicazione del periodo), titolare (first-party o third-party), e link all'informativa privacy del terzo fornitore. Un elenco generico non è sufficiente: la specificità è condizione di validità dell'informativa.

Base giuridica del trattamento. Per i cookie tecnici la base è il legittimo interesse o la necessità contrattuale ai sensi dell'art. 6 del Reg. UE 2016/679; per tutti gli altri la base è il consenso, disciplinato dall'art. 7 dello stesso regolamento.

Modalità di gestione e revoca del consenso. L'utente deve sapere come modificare le proprie scelte in qualsiasi momento, sia attraverso il pannello di preferenze sul sito sia attraverso le impostazioni del browser. La revoca del consenso deve essere resa possibile con la stessa facilità con cui è stato prestato, come prescrive l'art. 7 comma 3 del Reg. UE 2016/679.

Trasferimento verso paesi terzi. Se i cookie di terze parti comportano il trasferimento di dati verso paesi fuori dallo Spazio Economico Europeo, occorre indicarlo esplicitamente e citare la garanzia adottata (decisione di adeguatezza, clausole contrattuali standard o altro strumento riconosciuto dal GDPR).

Dati di contatto del titolare. Nome o ragione sociale, indirizzo e-mail o PEC, ed eventualmente i recapiti del responsabile della protezione dei dati (DPO) se nominato.

Come redigere il documento in modo corretto

Redigere una Cookie Policy efficace richiede un lavoro in due fasi: prima un'analisi tecnica del sito, poi la stesura del testo.

Fase di analisi. Prima di scrivere una riga occorre sapere quali cookie sono effettivamente presenti. Lo strumento più affidabile è una scansione con un cookie scanner (ne esistono diversi, anche gratuiti) che individui tutte le tecnologie installate, comprese quelle introdotte indirettamente dai fornitori terzi. È sorprendente quanti siti abbiano cookie di cui i titolari non sono a conoscenza, caricati da plug-in, temi grafici o widget incorporati. Un documento che non rispecchia la realtà del sito è un'informativa falsa e, come tale, invalida.

Fase di redazione. Il linguaggio deve essere chiaro e comprensibile per un utente medio, come richiede il principio di trasparenza del GDPR. Si evitino formulazioni in gergo tecnico senza spiegazione, rimandi circolari ad altri documenti senza precisare il contenuto rilevante, e diciture generiche come «potremmo usare cookie di profilazione». Ogni affermazione deve rispecchiare ciò che il sito effettivamente fa.

Aggiornamento periodico. La cookie policy non è un documento da redigere una volta sola. Ogni volta che si installa un nuovo plug-in, si cambia fornitore di analisi o si aggiunge un pixel di remarketing, il documento va aggiornato. È buona prassi inserire la data dell'ultimo aggiornamento in cima al documento e conservare le versioni precedenti, poiché potrebbero rilevare in caso di contestazione.

Il banner di primo accesso e il consenso

La cookie policy scritta non è l'unico adempimento: il documento deve essere raccordato con il meccanismo di consenso che l'utente incontra al primo accesso al sito. Il Provv. Garante 10/06/2021 ha stabilito requisiti precisi per il banner: deve contenere un'opzione di accettazione e una di rifiuto ugualmente visibili, senza che il tasto «accetta» sia enfatizzato graficamente rispetto al tasto «rifiuta» o «continua senza accettare».

Il cosiddetto consenso per scorrimento della pagina non è ammesso: il proseguire la navigazione non costituisce manifestazione di volontà valida ai sensi dell'art. 7 del Reg. UE 2016/679. Il consenso deve essere espresso attraverso un'azione positiva e inequivocabile. È altresì vietato il cosiddetto «cookie wall», ossia condizionare l'accesso al contenuto del sito alla prestazione del consenso ai cookie non tecnici, salvo in casi molto circoscritti e con specifiche garanzie.

Errori comuni da evitare

Copiare la policy di un altro sito. L'errore più frequente è adottare un template generico senza adattarlo alla reale configurazione del sito. Una cookie policy valida descrive i cookie di quel sito specifico, non una lista ipotetica.

Omettere i fornitori terzi. Molti operatori elencano solo i propri cookie e trascurano quelli installati da Google Analytics, Meta Pixel, HubSpot o altri servizi integrati. La responsabilità del titolare del sito riguarda tutti i cookie presenti, indipendentemente da chi li ha tecnicamente installati.

Non aggiornare il documento dopo modifiche tecniche. Una ristrutturazione del sito, l'adozione di un nuovo CRM o l'integrazione di un servizio di live chat possono introdurre nuovi cookie. Se il documento non viene aggiornato, si crea un disallineamento tra il testo e la realtà del trattamento.

Nascondere il link alla cookie policy. Il documento deve essere raggiungibile da ogni pagina del sito, solitamente nel footer, con un link visibile e funzionante. Un'informativa inaccessibile è equivalente a un'informativa assente.

Confondere la cookie policy con la privacy policy. Sono due documenti distinti con finalità diverse. La privacy policy riguarda il trattamento complessivo dei dati personali; la cookie policy si concentra sulle tecnologie di tracciamento. Possono essere collegate tra loro, ma non possono sostituirsi l'una all'altra.

Predisporre una cookie policy corretta, mantenerla aggiornata e raccordarla con un sistema di consenso conforme alle indicazioni del Garante non è soltanto un adempimento normativo: è anche un elemento di credibilità nei confronti degli utenti, sempre più attenti alla gestione dei propri dati.

Need the document itself? Download the free template →

This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.

More legal guides