Sito internet aziendale e gestione dei cookie: Guida operativa e Decalogo del Garante

Sito internet aziendale e gestione dei cookie: Guida operativa e Decalogo del Garante

19 marzo 2025

di Marco MIGLIETTA

La gestione dei cookie sui siti web aziendali è un aspetto molto importante per essere compliant alle normative europee, in particolare al Regolamento Generale sulla Protezione dei Dati (GDPR) e al Provvedimento del Garante Privacy del 10 giugno 2021, che fornisce le linee guida specifiche sulla gestione dei cookie.

Di seguito, una guida operativa per implementare correttamente la gestione dei cookie in azienda.

Premessa

L’Autorità Garante per la Protezione dei Dati Personali, ha aggiornato nel giugno del 2021 le Linee guida sui cookie, che risalivano al 2014, con l’obiettivo di rafforzare il potere decisionale degli utenti in merito all’uso dei loro dati personali durante la navigazione online.

Cosa sono i cookie?

I cookie sono piccoli file di testo che vengono memorizzati sul dispositivo dell’utente quando si visita un sito web. Questi file contengono informazioni che il sito web può utilizzare in seguito per migliorare l’esperienza dell’utente, ad esempio memorizzare le preferenze dell’utente, tenere traccia delle attività di navigazione o fornire pubblicità mirate.

I cookie possono essere suddivisi in diverse categorie:

  • Cookie tecnici: Questi cookie vengono utilizzati per garantire il corretto funzionamento del sito web e per migliorare l’esperienza dell’utente. A differenza dei cookie di profilazione, che vengono utilizzati per raccogliere informazioni per scopi di marketing o pubblicitari, i cookie tecnici sono necessari per il funzionamento basilare del sito e per permettere all’utente di navigarlo in modo efficiente.
  • Cookie di sessione: Questi cookie vengono memorizzati temporaneamente durante la sessione di navigazione e vengono eliminati dal dispositivo dell’utente una volta chiuso il browser.
  • Cookie permanenti: Questi cookie rimangono sul dispositivo dell’utente anche dopo la chiusura del browser e vengono utilizzati per memorizzare informazioni come le preferenze dell’utente per le visite future.
  • Cookie di prima parte: Sono impostati dal sito web visitato dall’utente.
  • Cookie di terze parti: Sono impostati da siti web diversi da quello che l’utente sta visitando, ad esempio per scopi pubblicitari o di analisi.

Le indicazioni del Garante hanno sostanzialmente innovato la disciplina della gestione dei cookie. Per praticità suddividiamo le novità sotto due aspettigiuridici e tecnici. Di seguito si riportano, in maniera operativa e schematica, gli adempimenti e gli obblighi a cui ottemperare.

Aspetti giuridici

Acquisizione del consenso: dovrà essere garantito che, per impostazione predefinita, al momento del primo accesso al sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva o passiva. Per i tracciatori valgono le seguenti regole:

  • Cookie tecnici: non serve il consenso;
  • Cookie analitici di prima parte: possono essere installati senza il consenso dell’utente (e senza blocco preventivo);
  • Cookie analitici di terze parti: possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni, ovvero qualora:
    • non permettano l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
    • il loro uso sia limitato a un singolo sito/app;
    • i dati raccolti non siano condivisi o comunicati a terzi;
    • i dati raccolti non siano combinati con altri dati.
  • Cookie di profilazione: è necessario il consenso.
  • Legittimo interesse: “in nessun caso sarà pertanto possibile invocare ad esempio…la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento”.

Aspetti tecnici

Posizione e struttura del banner: collocato in una posizione e con una dimensione sufficiente a costituire una percettibile discontinuità con i contenuti della pagina web (valutare la struttura del banner anche in base ai dispositivi utilizzati per accedere alla pagina web). 

Il banner inoltre deve:

  • contenere un link a un’area dedicata dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;
  • contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;
  • contenere un comando per rifiutare tutti i cookie o altri strumenti di tracciamento;
  • contenere un simbolo grafico (ad esempio una X) che consenta la chiusura del banner senza la necessità di modificare le impostazioni dei cookie
  • precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X in alto a destra, saranno mantenute le impostazioni predefinite che non consentono l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.

Gli interessati potranno cambiare agevolmente, anche successivamente, le proprie scelte tramite un pannello di controllo/dashboard.

L’informativa: deve essere predisposta un’informativa “breve”, ma anche una informativa “estesa”, essa dovrà indicare gli eventuali soggetti terzi destinatari dei dati personali e i tempi di conservazione delle informazioni. È richiesto di dare maggiori informazioni sul tipo di cookie utilizzati (fornitore, tipologia [prima o terza parte, analytics, profilazione], durata)

Tenere traccia del consenso acquisito, è possibile avvalersi di un apposito cookie tecnico o altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.

Stato dei consensi: il Garante ritiene sia buona prassi prevedere un’area contenente lo stato dei consensi resi dall’utente, dove è possibile modificarli o revocarli, raggiungibile tramite link posizionato nel footer di qualsiasi pagina web del dominio;

Scrolling: il semplice spostamento del cursore non rappresenta una idonea manifestazione del consenso e quindi titolari dei siti (publisher) «dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento».

Cookie Wall: esso vincola gli utenti all’espressione del consenso, ma l’Autorità Garante ritiene illegittimo questo meccanismo, salvo ipotesi da valutare caso per caso.

Ripresentazione del banner: la scelta dell’utente «dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento», sono previste le seguenti eccezioni in cui è possibile ripresentare il banner:

  1. modifiche significative nelle condizioni di trattamento;
  2. impossibilità di sapere se un cookie sia già memorizzato nel dispositivo;
  3. siano trascorsi 6 mesi.

Il decalogo degli adempimenti

N.AZIONE
1IMPOSTARE DI DEFAULT I COOKIES NON TECNICI SU “OFF”
2NUOVA COLLOCAZIONE DEL BANNER (NON PIÙ NEL FOOTER)
3INFORMATIVA BREVE
4INFORMATIVA ESTESA
5TRACCIABILITÀ DEI CONSENSI
6INSERIMENTO DEL PULSANTE ACCETTA TUTTI, INSERIRE “X” COME RIFIUTO DEI COOKIES, PULSANTE PER COMPIERE SCELTE ANALITICHE/GRANULARE DEI CONSENSI
7VIETARE LO SCROLLING COME CONSENSO
8VIETARE COOKIE WALL
9STATO DEI CONSENSI – PANNELLO DELLA GESTIONE PREFERENZE COOKIES MODIFICABILE DALL’INTERESSATO ANCHE IN UN SECONDO MOMENTO
10RIPRESENTAZIONE DEL BANNER SOLO IN CASO DELLE TRE ECCEZIONI INDICATE NEL PARAGRAFO “ASPETTI TECNICI”

In conclusione

Il quadro normativo relativo alla gestione dei cookie si presenta come un insieme complesso e in continua evoluzione che richiede un impegno costante da parte delle aziende per garantire la compliance aziendale.

Nonostante le difficoltà operative per le piccole e medie imprese, la tutela della privacy degli utenti rimane pertanto un obiettivo prioritario. L’obbligo di adeguamento alla normativa sui cookie, infatti, riguarda tutte le aziende, indipendentemente dal loro fatturato, che operano nell’Unione Europea o che trattano dati di cittadini europei. Quindi, non c’è una soglia di fatturato che esenti le aziende da questi obblighi.

Le sanzioni previste in caso di violazione – che ai sensi del GDPR possono ammontare fino al 4% del fatturato annuale globale dell’azienda o fino a 20 milioni di euro – rappresentano un forte incentivo per adeguarsi alle normative, ma allo stesso tempo, evidenziano la necessità di una maggiore consapevolezza e responsabilizzazione da parte dei soggetti coinvolti.

Le aziende devono, pertanto, adottare misure preventive efficaci, come l’implementazione di policy chiare sui cookie e la formazione del personale. L’evoluzione delle normative richiede inoltre un continuo aggiornamento delle procedure aziendali, non solo per ridurre il rischio di sanzioni, ma anche per salvaguardare la fiducia degli utenti e mantenere una reputazione aziendale solida.

Intervento di Marco MIGLIETTA – Legal & Compliance Specialist c/o F2A

Le opinioni espresse e le conclusioni sono attribuibili esclusivamente all’Autore e non impegnano in alcun modo la responsabilità dell’istituto di appartenenza.

Related Items

Maxi-Multa per Experian: L'Autorità Olandese per la Privacy Infligge una Sanzione Record per Violazione dei Dati PersonaliMaxi-Multa per Experian: L'Autorità Olandese per la Privacy Infligge una Sanzione Record per Violazione dei Dati Personali
Continua a leggere
DORA: Nuove Regole per la Cyber-resilienza del Settore Finanziario: Una Necessità Non Più RimandabileDORA: Nuove Regole per la Cyber-resilienza del Settore Finanziario: Una Necessità Non Più Rimandabile
Continua a leggere
Intervista a…  LP Avvocati: Radici Salde e Innovazione, un Partner Legale per il FuturoIntervista a…  LP Avvocati: Radici Salde e Innovazione, un Partner Legale per il Futuro
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *