Vuoi evitare il tracciamento pubblicitario indesiderato e metterti in regola con le nuove norme sui cookie in Italia? In pratica, devi fare tre cose: mostrare un banner chiaro alla prima visita, bloccare tutti i cookie non tecnici finché l’utente non accetta e offrire sempre un pulsante per rifiutare facilmente il tracciamento.
In questa guida trovi prima una spiegazione semplice, pensata per chi non è tecnico, e una lista di azioni veloci per metterti subito in sicurezza. Alla fine troverai una sezione “Technical Deep Dive” con indicazioni avanzate per sviluppatori, legali e responsabili privacy.
—
Cosa sono i cookie (in parole semplici)
I cookie sono piccoli file che il sito salva nel browser dell’utente. In generale possiamo distinguere:
– Cookie tecnici: servono al funzionamento del sito (login, carrello, preferenze di base). Di solito sono sempre permessi.
– Cookie di statistica / analytics: misurano traffico e utilizzo del sito. Alcuni possono essere configurati in modo da ridurre l’impatto sulla privacy.
– Cookie di profilazione / marketing: tracciano il comportamento dell’utente per mostrare pubblicità personalizzata o creare profili.
I problemi principali nascono con i cookie di profilazione e gli altri strumenti di tracciamento (come pixel, identificatori online e tecnologie simili) che seguono l’utente tra siti diversi per fini di marketing.
—
La soluzione veloce per essere (più) tranquilli
Se vuoi una strategia rapida per ridurre il rischio di non conformità alle nuove linee guida italiane, puoi adottare subito queste misure:
- Blocca per default tutti i cookie non tecnici (profilazione, marketing, parte degli analytics).
- Mostra un banner cookie alla prima visita, ben visibile e separato dal resto dei contenuti.
- Inserisci 3 comandi chiari nel banner:
– “Accetta tutti”
– “Rifiuta tutti” (stesso colore, dimensione e rilievo del pulsante di accettazione)
– “Personalizza” per scegliere categoria per categoria.
- Aggiungi una “X” in alto a destra che chiude il banner senza attivare cookie non tecnici.
- Collega il banner a una cookie policy dettagliata, facilmente raggiungibile con un link.
- Non riproporre il banner prima di 6 mesi, a meno che non cambino in modo rilevante le condizioni di trattamento o l’utente non abbia cancellato i cookie.
Questa configurazione copre gli aspetti principali richiesti dalle nuove linee guida italiane: consenso esplicito, blocco preventivo dei cookie non tecnici e trasparenza.
—
Perché sono cambiate le regole sui banner cookie in Italia
Negli ultimi anni, l’uso di cookie e strumenti di tracciamento è esploso, soprattutto per finalità di marketing e profilazione. Per proteggere gli utenti, sono intervenuti:
– Il GDPR, che richiede un consenso libero, specifico, informato e inequivocabile.
– Le nuove linee guida italiane sui cookie e altri strumenti di tracciamento, che chiariscono cosa deve contenere un banner, come raccogliere il consenso e cosa non è più accettabile (ad esempio, lo “scroll” come consenso o i cookie wall generalizzati).
In sintesi, il messaggio è chiaro: niente cookie non tecnici senza consenso valido, e niente interfacce ingannevoli che spingono l’utente ad accettare.
—
Cosa deve fare concretamente un titolare di sito in Italia
1. Mappare cookie e tracker presenti sul sito
Prima di tutto, è necessario sapere quali cookie e strumenti di tracciamento vengono usati:
– Elenca tutti i cookie installati (propri e di terza parte).
– Classificali in tecnici, statistici/analytics, profilazione/marketing.
– Verifica quali script di terze parti usi (es. strumenti di analytics, advertising, social plugin, heatmap, CDP, ecc.).
Strumenti di scansione automatica possono aiutarti a identificare cookie nascosti o script caricati tramite tag manager.
2. Bloccare i cookie non tecnici fino al consenso
Uno dei punti chiave delle nuove regole è che cookie e altri tracciatori con finalità diverse da quelle tecniche non devono essere attivati prima del consenso.
Questo significa che:
– Il codice di analytics avanzati, pixel pubblicitari, tag di remarketing e simili deve essere condizionato all’accettazione.
– Alla prima visita, l’utente deve poter navigare il sito solo con cookie tecnici attivi.
– Il rifiuto o la chiusura del banner tramite “X” non può comportare l’installazione di cookie di profilazione o altri cookie non tecnici.
3. Progettare un banner cookie conforme
Un banner conforme in Italia dovrebbe includere almeno:
– Comparsa alla prima visita dell’utente.
– Essere chiaramente distinguibile dal resto della pagina.
– Un testo breve e chiaro che spiega:
– che il sito utilizza cookie tecnici e, se presenti, cookie di profilazione/terze parti;
– per quali finalità principali (es. misurazione del traffico, pubblicità personalizzata, miglioramento del servizio);
– cosa succede se l’utente chiude il banner o rifiuta.
– Pulsanti con pari dignità grafica:
– “Accetta tutti”;
– “Rifiuta tutti”;
– “Personalizza” (o “Gestisci preferenze”).
– Una “X” in alto a destra che chiude il banner senza accettare cookie non tecnici.
– Un link alla cookie policy completa.
Evita soluzioni scorrette come:
– Caselle preselezionate per categorie non tecniche.
– Colori o design che rendono il rifiuto meno visibile o poco intuitivo.
– Messaggi che suggeriscono che il sito non sia utilizzabile se non si accetta il tracciamento, salvo casi realmente indispensabili e debitamente giustificati.
4. Gestire il consenso nel tempo
Una volta che l’utente ha espresso la propria scelta:
– Non puoi riproporre continuamente il banner; bisogna rispettare un intervallo minimo (in linea generale, almeno 6 mesi tra una richiesta di consenso e la successiva, salvo cambiamenti sostanziali nel trattamento o cancellazione dei cookie da parte dell’utente).
– Devi consentire in modo semplice la revoca del consenso in qualsiasi momento (ad esempio tramite:
– un link “Impostazioni cookie” nel footer;
– un’icona fissa che riapre il pannello di preferenze).
– Devi poter dimostrare (in caso di controlli) che il consenso è stato raccolto correttamente, con data, preferenze, versione dell’informativa e del banner.
5. Aggiornare privacy policy e cookie policy
Per essere in linea con le nuove indicazioni, è consigliabile:
– Redigere una cookie policy dedicata, separata o integrata alla privacy policy, ma facilmente raggiungibile.
– Indicare per ogni categoria (e, se possibile, per ogni singolo cookie):
– nome del cookie o identificatore;
– tipologia (tecnico, statistico, profilazione, terza parte);
– finalità specifica;
– durata di conservazione;
– eventuale terza parte che riceve i dati;
– base giuridica (per i cookie non tecnici, tipicamente il consenso).
– Spiegare in modo chiaro come l’utente può:
– modificare le proprie preferenze dal pannello del sito;
– usare le impostazioni del browser per cancellare o bloccare cookie;
– esercitare i propri diritti privacy.
—
Benefici di un banner cookie ben fatto
Oltre a evitare sanzioni, una gestione trasparente dei cookie può portare vantaggi concreti:
– Più fiducia: gli utenti percepiscono il sito come affidabile se viene spiegato in modo chiaro cosa viene tracciato e perché.
– Dati di qualità migliore: chi accetta il tracciamento lo fa consapevolmente; i dati raccolti sono meno numerosi ma spesso più affidabili.
– Meno rischio legale: riduci il rischio di contestazioni, reclami e controlli.
– Migliore esperienza utente: un banner chiaro e non invadente è meno fastidioso e non ostacola la navigazione.
—
Errori comuni da evitare
– Attivare cookie di profilazione già al caricamento della pagina, prima di qualsiasi azione dell’utente.
– Utilizzare lo scroll della pagina o il semplice proseguimento della navigazione come forma di consenso.
– Nascondere l’opzione “Rifiuta tutti” dietro a più clic o in una sezione poco visibile.
– Usare testi troppo tecnici o lunghi nel banner: la parte breve deve essere comprensibile anche a chi non è esperto.
– Dimenticare di aggiornare la cookie policy quando si aggiungono nuovi servizi o strumenti di tracciamento.
—
Technical Deep Dive
Questa sezione fornisce indicazioni più tecniche e approfondite, pensate per sviluppatori, responsabili legali e DPO.
Architettura di consenso e blocco preventivo
A livello tecnico, la conformità richiede:
– Un Consent Management Platform (CMP) o una soluzione personalizzata che:
– intercetti tutte le chiamate a script di terze parti prima del consenso;
– memorizzi il consenso in modo strutturato (ad es. per categoria e, se necessario, per singolo fornitore);
– offra una API interna per verificare, lato client e/o lato server, lo stato del consenso prima di eseguire determinati script.
– Integrazione con tag manager (es. tramite variabili o trigger basati sullo stato del consenso) in modo da:
– caricare i tag di profilazione/marketing solo quando il consenso specifico è “true”;
– evitare il caricamento di pixel invisibili o script che creano identificatori prima della scelta dell’utente.
Categorie e granularità del consenso
Un modello tipico di suddivisione delle categorie prevede:
– Necessari / Tecnici: sempre attivi, non soggetti a consenso, ma comunque descritti nella policy.
– Preferenze / Funzionali: migliorano l’esperienza, spesso gestiti con consenso, specie se implicano tracciamento.
– Statistici / Analytics:
– se completamente anonimizzati e aggregati, in certi casi possono essere trattati in modo assimilabile ai tecnici (dipende dalla configurazione e dalla giurisprudenza);
– se comportano tracciamento del singolo utente, anche tramite identificatori pseudonimi, richiedono consenso.
– Marketing / Profilazione: richiedono sempre consenso esplicito.
Il pannello “Personalizza” deve permettere all’utente di abilitare/disabilitare ciascuna categoria con un semplice interruttore e fornire una descrizione chiara.
Reiterazione del banner e gestione della prova del consenso
Per rispettare i requisiti di non riproposizione ossessiva del banner e di prova del consenso, è utile prevedere che il sistema di gestione:
– salvi uno storage locale (cookie tecnico o altro identificatore lecito) con:
– timestamp della scelta;
– preferenze per categoria;
– versione dell’informativa e del banner in vigore al momento del consenso;
– consenta la ripresentazione del banner solo se:
– sono passati almeno 6 mesi; oppure
– sono cambiati in modo significativo scopi, categorie di cookie, terze parti coinvolte; oppure
– l’utente ha cancellato i cookie dal proprio browser.
Sul piano documentale, è raccomandabile mantenere:
– una versione storica delle cookie policy e delle interfacce di banner;
– una registrazione dei consensi (aggregata o pseudonimizzata, nel rispetto del principio di minimizzazione) per dimostrare in caso di audit che il consenso era valido, informato e specifico.
Privacy by design e privacy by default
Le nuove regole insistono sui principi di privacy by design e privacy by default, che si traducono, in ambito cookie, in scelte progettuali concrete:
– Configurare di default il sito in modo che funzioni con i soli cookie tecnici.
– Limitare l’uso di tracciatori ai soli casi necessari, valutando alternative meno invasive.
– Effettuare una valutazione d’impatto (DPIA) quando le tecnologie di tracciamento sono particolarmente estese, intrusive o integrate con altri sistemi di profilazione.
– Minimizzare la quantità di dati personali memorizzati tramite cookie, riducendo:
– la durata di conservazione;
– la granularità delle informazioni tracciate;
– la condivisione con terze parti.
Integrazione con altri obblighi GDPR
La gestione dei cookie non è isolata, ma si collega a vari altri adempimenti GDPR:
– Registro dei trattamenti: è opportuno documentare i trattamenti basati su cookie e tracker (finalità, base giuridica, categorie di dati, destinatari, tempi di conservazione).
– Informative privacy: la cookie policy deve essere coerente con l’informativa generale, in particolare per quanto riguarda finalità, diritti dell’interessato, eventuali trasferimenti extra UE.
– Diritti degli interessati: il sistema deve consentire di dare corso a richieste di accesso, cancellazione, limitazione o opposizione riferite anche ai dati raccolti tramite cookie.
Adottare questa impostazione integrata ti permette non solo di rispettare le linee guida italiane sui cookie, ma anche di allineare la tua strategia di tracciamento all’intero ecosistema GDPR, riducendo rischi e complessità a lungo termine.
