Nel mondo digitale di oggi, la corretta gestione dei cookie rappresenta un tema centrale per tutelare la sicurezza e la riservatezza dei dati personali degli utenti dei siti web.
Gli interventi del Garante per la Protezione dei Dati Personali, nel corso degli anni, hanno posto l’accento sull’importanza della struttura del banner cookie, della gestione trasparente di questi strumenti di monitoraggio, dell’acquisizione del consenso dell’interessato e delle modalità di conservazione e aggiornamento delle preferenze degli utenti. In altre parole, hanno posto sotto i riflettori la trasparenza delle comunicazioni e il controllo che ogni utente deve poter esercitare sui propri dati.
Sanzioni e controlli: il ruolo del Garante
Già nel 2021, il Garante per la Protezione dei Dati Personali è intervenuto sul tema pubblicando le “Linea Guida cookie e altri strumenti di tracciamento” che riportano le indicazioni di cui tenere conto per l’utilizzo di dati di tracciamento e cookies sui siti web. Per maggiori approfondimenti, si rimanda al nostro precedente articolo pubblicato nel 2021, dove viene fornito un quadro generale sull’argomento.
I vari provvedimenti emessi dal Garante per la Protezione dei Dati Personali nel corso degli ultimi anni sono la diretta conseguenza di un’intensa attività di controllo avviata a seguito della pubblicazione delle “Linee Guida cookie e altri strumenti di tracciamento” del 2021 , come il provvedimento n. 327 del 4 giugno 2025, nato a seguito di un’ispezione effettuate nel 2023.
A partire dal 2022, infatti, il Garante per la Protezione dei Dati Personali ha inserito nei diversi piani ispettivi, incluso quello del primo semestre del 2025, controlli specifici sull’uso dei cookie.
Le ispezioni sono svolte a cura del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, che analizza (a campione o su segnalazione) da remoto i siti web a al fine di verificare il corretto utilizzo e la corretta configurazione di questi strumenti di tracciamento.
Essendo il sito web facilmente accessibile e verificabile, è quindi fondamentale porre la massima attenzione alla corretta implementazione del banner e della cookie policy, in modo tale da evitare sanzioni amministrative, ammonimenti o blocchi al funzionamento del sito web.
Vediamo allora quali sono gli errori commessi più frequentemente nella configurazione degli strumenti di tracciamento sui siti web oggetto di verifiche da parte dell’Autorità.
Il ruolo cruciale del banner per il consenso all’installazione dei cookie
Un elemento di importanza centrale di cui tenere conto quando si introducono sistemi di monitoraggio sui siti web è il “banner cookie”, che rappresenta il primo punto di contatto tra l’utente e il sito web e ha la funzione di informare e raccogliere il consenso al trattamento dei dati personali tramite cookie, se necessario.
Nel caso di installazione di cookie di profilazione e similari, il Titolare del trattamento, per permettere all’interessato di esprimere un consenso chiaro, consapevole e libero, deve includere all’interno del banner comandi espliciti e semplici per accettare, rifiutare o personalizzare i cookie, attraverso pulsanti che ne facilitano il controllo.
Infatti, come affermato nel provvedimento n. 98 del 27 febbraio 2025, devono essere presenti i pulsanti:
- accetta tutti (per autorizzare l’utilizzo di tutti i cookie);
- rifiuta tutto (per impedire l’installazione dei cookie non essenziali);
- gestisci le preferenze (per selezionare vari tipi di cookie).
Cliccando sul pulsante “gestione delle preferenze” l’utente dovrà essere messo in condizione di poter approfondire e scegliere quali categorie di cookie abilitare, consentendone la selezione individuale.
Inoltre, è importante che l’utente abbia la possibilità di chiudere il banner e continuare a navigare sul sito web, senza alcuna limitazione di accesso ai contenuti del sito web: in tal caso, l’utente deve essere informato che la chiusura del banner comporterà l’installazione dei soli cookie tecnici, necessari al funzionamento del sito, mentre quelli non tecnici non saranno installati in ogni sul suo device per consentirgli la navigazione sul sito.
In ultimo, occorre evitare la ricomparsa continua del banner ad ogni visita dopo che l’utente ha già espresso la sua preferenza sui cookie. Come indicato nelle linee guida sopra indicate, tali preferenze devono essere memorizzate per un periodo non superiore a 6 mesi, e rispettate, senza spingere l’utente a ripetere le sue scelte.
Per fornire alcuni esempi (vd. provvedimenti n. 327 del 4 giugno 2025 e n. 391 del 10 luglio 2025), i siti web oggetto dei provvedimenti del Garante presentavano le seguenti non conformità:
- la ricomparsa del banner a ogni successivo accesso al sito nel caso in cui l’utente avesse cliccato sul comando “X” del banner;
- la configurazione del banner in maniera tale da non consentire all’utente la prosecuzione della navigazione con l’impiego dei soli cookie tecnici, in caso di dissenso all’installazione di cookie non tecnici;
Trasparenza informativa: dal banner alla cookie policy
Un altro aspetto che incide in maniera decisiva sulla corretta manifestazione del consenso, oltre alla struttura del banner, consiste nella trasparenza delle comunicazioni delle informazioni all’utente, che riguarda non solo la cookie policy, ma anche il contenuto del testo del banner.
È importante che in tale testo ci sia un link che rimandi alla cookie policy completa, dove l’utente può trovare tutte le informazioni necessarie sulle diverse categorie di cookie che vengono utilizzati nel sito, in modo tale da esprimere un consenso specifico e consapevole.
La cookie policy e la privacy policy devono inoltre essere facilmente accessibili all’utente, ad esempio tramite il footer del sito, e devono sempre garantire una descrizione chiara e aggiornata del trattamento.
È fondamentale poi che la cookie policy sia coerente e conforme a quanto dichiarato nel banner, per garantire trasparenza e correttezza nei confronti dell’utente.
A questo riguardo, il provvedimento n. 391 del 10 luglio 2025, oltre ad evidenziare l’importanza di evitare criticità come la presenza di link non funzionanti alle informative, sottolinea come, nonostante nel banner fosse indicato un riferimento numerico relativo a terze parti coinvolte nel tracciamento, nella cookie policy venisse negato invece l’utilizzo di cookie di terze parti, non garantendo così la trasparenza delle informazioni.