Cookie Policy

Il Cookie Policy in Italia è l'atto disciplinato da Provv. Garante 10/06/2021 (linee guida cookie); Reg. UE 2016/679 artt. 6 e 7; art. 122 D.Lgs. 196/2003.

La Cookie Policy non va confusa con l'Informativa Privacy (che disciplina il trattamento complessivo dei dati personali degli utenti): la Cookie Policy è un documento complementare, specificamente focalizzato sui cookie e sugli altri tracker digitali, con l'elenco puntuale degli strumenti usati, i relativi provider (prima o terza parte), le finalità, i periodi di conservazione e le modalità di revoca del consenso. Secondo le linee guida del Garante e le indicazioni dell'EDPB (European Data Protection Board — Linee guida 02/2023 sull'uso tecnico dei cookie), la Cookie Policy deve essere aggiornata ogni volta che vengono introdotti nuovi cookie o tracker, con l'aggiornamento del banner per raccogliere un nuovo consenso informato se cambiano le finalità del trattamento o i terzi destinatari dei dati. Il Garante per la protezione dei dati personali può irrogare sanzioni fino a € 10.000.000 o al 2% del fatturato mondiale annuo per violazioni degli obblighi di informativa sui cookie (art. 83, par. 4 GDPR), e fino a € 20.000.000 o al 4% del fatturato per violazioni delle norme sul consenso (art. 83, par. 5 GDPR). Tra i provvedimenti più rilevanti del Garante italiano sui cookie figurano: il provvedimento contro Foodinho S.r.l. (2021), il provvedimento contro Mediamarket S.p.A. (2022), e la serie di provvedimenti sull'uso di Google Analytics (2022–2023) che ha portato molte aziende italiane a riconfigurare gli strumenti di analytics per rispettare le norme sul trasferimento di dati verso gli USA.

La Cookie Policy in Italia è obbligatoria per qualsiasi sito web che utilizzi anche un solo cookie non tecnico o che installi tracker di terze parti. La necessità di redigere e pubblicare una Cookie Policy conforme si presenta in queste situazioni: lancio di un nuovo sito web con sistemi di analytics (Google Analytics, Matomo, Adobe Analytics), strumenti di chat (Intercom, Zendesk), pulsanti social (Facebook Like, Twitter Share) o pixel pubblicitari (Meta Pixel, Google Ads, TikTok Pixel); aggiornamento delle tecnologie del sito con l'introduzione di nuovi strumenti di tracciamento; ricezione di un avvio di istruttoria dal Garante per la protezione dei dati personali a seguito di una segnalazione o di un accertamento d'ufficio; adeguamento agli standard richiesti dai partner commerciali o dalle piattaforme di e-commerce (Shopify, WooCommerce, Magento) che impongono la presenza della Cookie Policy come condizione di utilizzo del servizio.

Anche i siti che non svolgono attività commerciale (blog personali, siti istituzionali, portali informativi) devono adottare la Cookie Policy se utilizzano strumenti analitici o social plugin di terze parti. La soglia dimensionale non esime dall'obbligo: anche un piccolo sito con pochi visitatori è soggetto all'art. 122 D.Lgs. 196/2003 e al GDPR se raccoglie dati di utenti residenti nell'Unione Europea.

La Cookie Policy deve essere aggiornata ogni volta che si modificano gli strumenti di tracciamento del sito: l'introduzione di un nuovo plugin WordPress, di un nuovo pixel pubblicitario o di un sistema di live chat installa nuovi cookie che devono essere censiti e inclusi nella Cookie Policy aggiornata, con raccolta di un nuovo consenso informato tramite il banner. I siti che hanno adottato il Consent Management Platform (CMP) certificato IAB TCF 2.2 hanno un vantaggio operativo: la maggior parte delle CMP aggiorna automaticamente l'elenco dei cookie di terze parti nel Global Vendor List IAB. Tuttavia, il titolare rimane responsabile della verifica e dell'aggiornamento della Cookie Policy pubblicata sul sito, anche in presenza di una CMP automatizzata.

Una Cookie Policy conforme al diritto italiano e alle linee guida del Garante per la protezione dei dati personali del 10 giugno 2021 deve contenere specifici elementi obbligatori, organizzati in modo chiaro e leggibile anche per l'utente non tecnico. Il primo elemento è la lista completa dei cookie e tracker: per ciascun cookie è necessario indicare nome del cookie (es. '_ga', '_gid', '_fbp'), categoria (tecnico/analytics/profilazione), finalità specifica, provider — distinguendo prima parte (dominio del sito) e terza parte (Google, Meta, HubSpot, Hotjar) — dominio di installazione, durata (sessione o permanente, con durata esatta in giorni/mesi/anni), base giuridica (consenso o legittimo interesse motivato), e link alla privacy policy del provider terzo. La presentazione in formato tabellare è raccomandata dal Garante per garantire la leggibilità.

Il secondo elemento essenziale è la classificazione per categoria, che rispecchi la tassonomia del Provvedimento del Garante del 10/06/2021: cookie tecnici strettamente necessari al funzionamento del sito (sessione, autenticazione, carrello e-commerce — non richiedono consenso e non possono essere rifiutati); cookie analytics/statistici (richiedono consenso, o esenzione se anonimizzati in modo che impedisca l'identificazione dell'utente anche indiretta); cookie di profilazione e marketing (consenso sempre obbligatorio ex art. 122 D.Lgs. 196/2003, non è possibile alcuna base alternativa al consenso). Il terzo elemento è il meccanismo di gestione del consenso: link al banner/CMP (Consent Management Platform) per la raccolta e la gestione granulare del consenso per categoria, con funzione di revoca sempre accessibile, istruzioni per rifiutare i cookie tramite impostazioni del browser (Chrome, Firefox, Safari, Edge), e link all'elenco di opt-out del Network Advertising Initiative. Il quarto elemento riguarda i trasferimenti extra-UE: quando i provider di cookie (Google Analytics 4, Meta Pixel, TikTok Ads, Amazon Advertising, LinkedIn Insight Tag) trasferiscono dati verso paesi terzi (USA, India, Singapore, Brasile) non coperti da decisione di adeguatezza della Commissione Europea, devono essere indicate le garanzie adottate (Clausole Contrattuali Standard SCC, Data Privacy Framework UE-USA per provider certificati, Norme Vincolanti d'Impresa per trasferimenti infragruppo). Forms-legal.com include in questo template la struttura tabulare precompilata per le categorie principali di cookie, aggiornabile dal titolare del sito senza competenze tecniche particolari. Il quinto elemento è la data di ultima revisione della Cookie Policy, con versioning (es. 'Versione 2.1 — aggiornata il dd/mm/yyyy'), fondamentale per dimostrare il continuo aggiornamento del documento a fronte delle evoluzioni delle linee guida del Garante privacy e del Comitato Europeo per la Protezione dei Dati (EDPB).

Per compilare correttamente la Cookie Policy del proprio sito web in Italia è necessario seguire un approccio sistematico che parta dall'inventario tecnico dei cookie effettivamente installati. Prima di redigere il documento, eseguire una scansione completa del sito con strumenti come Cookie Scanner, Cookiebot Audit, OneTrust Scanner, o le DevTools del browser (tab Application → Cookies, poi verificare il traffico di rete nella tab Network per i cookie di sessione e di terze parti caricati dinamicamente tramite JavaScript).

Nella sezione identificazione del titolare indicare: denominazione del titolare del sito o dell'attività, sede legale completa, partita IVA, indirizzo email dedicato per le richieste privacy, indirizzo PEC e — se nominato — nome e contatti del Data Protection Officer (DPO) ex art. 37 GDPR, unitamente all'indicazione dell'autorità di controllo competente (Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma). Nella sezione lista cookie compilare per ciascun cookie identificato dalla scansione: nome esatto del cookie (es. '_ga', '_fbp', 'cookieconsent_status'), provider/fornitore (prima parte o terza parte, con denominazione del soggetto terzo), finalità specifica (es. 'sessione di login utente', 'tracking conversioni Google Ads', 'analisi del comportamento di navigazione tramite Google Analytics 4'), tipo (tecnico strettamente necessario / analytics-statistici / profilazione e marketing), scadenza (es. 'Sessione — cancellato alla chiusura del browser', '30 giorni dalla data di primo accesso', '2 anni'), base giuridica (consenso ex art. 6.1.a GDPR per tutti i non tecnici, oppure legittimo interesse motivato per analytics anonimizzati).

Nella sezione gestione delle preferenze indicare le modalità operative: come aprire il pannello preferenze cookie (link permanente nel footer e/o icona di gestione preferenze visibile sulla pagina), come disabilitare singole categorie senza dover rifiutare tutto il bundle, come revocare il consenso già dato (deve essere semplice quanto darlo, per rispettare l'art. 7 GDPR). Inserire anche i link agli opt-out dei principali provider: Google Analytics Opt-Out Add-on (tools.google.com/dlpage/gaoptout), Meta/Facebook Pixel Opt-Out (facebook.com/settings → Ads), Network Advertising Initiative (optout.networkadvertising.org), Digital Advertising Alliance (youradchoices.com). Concludere con data dell'ultima revisione del documento, numero di versione e indicazione del titolare responsabile dell'aggiornamento (es. DPO o responsabile IT).

La Cookie Policy italiana deve rispettare un quadro normativo articolato su tre livelli. A livello nazionale, l'art. 122 del D.Lgs. 196/2003 (Codice Privacy, come modificato dal D.Lgs. 101/2018) disciplina l'installazione di cookie e strumenti di tracciamento sui dispositivi degli utenti, richiedendo il consenso informato per tutti i cookie non strettamente tecnici; la violazione dell'art. 122 comporta sanzioni amministrative da € 10.000 a € 120.000 ai sensi dell'art. 162 D.Lgs. 196/2003. Il Provvedimento del Garante per la protezione dei dati personali n. 231 del 10 giugno 2021 ha specificato le modalità applicative del consenso ai cookie, vietando espressamente: il cookie wall (accesso al sito condizionato all'accettazione dei cookie senza alternativa equivalente), il precaricamento di cookie non tecnici prima del consenso, i pattern ingannevoli (dark pattern) come bottoni di rifiuto nascosti, checkbox pre-spuntate, opt-out difficili da individuare.

A livello europeo, il Reg. UE 2016/679 (GDPR) si applica al trattamento dei dati personali effettuato tramite cookie: l'art. 4 n. 11 definisce il consenso valido (libero, specifico, informato e inequivocabile — nessun silenzio, nessuna casella pre-spuntata), l'art. 7 impone la parità di facilità tra l'accettazione e il rifiuto del consenso, l'art. 7, par. 3 garantisce il diritto di revoca del consenso in qualsiasi momento con la stessa facilità con cui è stato accordato. L'EDPB (European Data Protection Board) ha pubblicato le Linee guida 05/2020 sui consensi, le Linee guida 03/2022 sulle dark patterns nell'interfaccia dei banner cookie e le Linee guida 02/2023 sull'uso tecnico dei cookie, tutte vincolanti per i titolari italiani nel quadro dell'interpretazione uniforme del GDPR. La Direttiva ePrivacy 2002/58/CE (art. 5, par. 3), recepita in Italia dall'art. 122 D.Lgs. 196/2003, stabilisce il regime del consenso preventivo per i cookie non tecnici (opt-in, non opt-out). Le sanzioni del Garante privacy italiano per violazioni sui cookie variano da ammonimenti a sanzioni pecuniarie: fino a € 10.000.000 o 2% del fatturato mondiale annuo per violazioni degli obblighi di informativa (art. 83, par. 4 GDPR), fino a € 20.000.000 o 4% del fatturato mondiale annuo per violazioni dei principi del consenso (art. 83, par. 5 GDPR).

Tra gli errori più frequenti nella redazione della Cookie Policy italiana vi è la lista cookie incompleta: molti siti indicano solo i cookie di prima parte (come quelli di sessione o di analytics) omettendo i cookie installati dagli script di terze parti (social plugin, player video YouTube/Vimeo, sistemi di chat come Intercom o Zendesk, widget di prenotazione, pixel di remarketing). Tutti i cookie presenti sul sito devono essere elencati nella Cookie Policy, indipendentemente dal fatto che siano installati direttamente dal titolare o da fornitori terzi — questa è una delle contestazioni più frequenti nei provvedimenti del Garante per la protezione dei dati personali.

Un secondo errore comune è la mancata distinzione tra cookie tecnici e cookie di profilazione: classificare erroneamente cookie di remarketing o pixel pubblicitari (Meta Pixel, TikTok Pixel, Google Ads Remarketing) come 'tecnici necessari' per evitare di raccogliere il consenso costituisce un illecito sanzionato dal Garante. Il Provvedimento n. 231 del 10 giugno 2021 è esplicito sul punto: l'esenzione dal consenso per i cookie tecnici riguarda esclusivamente i cookie necessari per il funzionamento del sito, non quelli utili per ottimizzare le performance commerciali del sito. Altre insidie ricorrenti: non aggiornare la Cookie Policy quando si aggiungono o rimuovono script e plugin (ogni nuovo cookie di categoria non tecnica richiede l'aggiornamento della lista e, se cambia la finalità, un nuovo consenso informato); non indicare la durata esatta di ciascun cookie ('persistente' non è sufficiente secondo le linee guida del Garante — va specificata la durata in giorni o mesi); non linkare le privacy policy dei provider terzi (Google, Meta, TikTok) nella colonna 'fornitore' della tabella cookie, rendendo impossibile per l'utente capire come vengono gestiti i suoi dati dal fornitore terzo; non prevedere un meccanismo facilmente accessibile e visibile per revocare il consenso in qualsiasi momento (il link 'Gestisci preferenze cookie' o 'Modifica preferenze' deve essere visibile nel footer di ogni pagina, non solo nella Cookie Policy); usare banner con dark pattern che rendono più difficile il rifiuto rispetto all'accettazione — violazione esplicita del Provvedimento del Garante del 10 giugno 2021. Per evitare questi errori, il template della Cookie Policy di forms-legal.com include la struttura tabulare completa e le istruzioni operative per l'implementazione del Consent Management Platform conforme agli standard IAB TCF 2.2 e alle linee guida del Garante.