Il cookie banner è obbligatorio?

L'obbligo deriva da due insiemi di regole che agiscono insieme:

• Direttiva ePrivacy e Codice Privacy (art. 122 del D.lgs. 196/2003): tutto ciò che viene memorizzato o letto sul dispositivo dell'utente – cookie, local storage, ID di tracciamento – richiede in linea di principio un consenso preventivo. Eccezione: l'elemento è strettamente necessario a far funzionare il servizio richiesto dall'utente.
• GDPR art. 6, par. 1, lett. a: per il successivo trattamento dei dati così raccolti – ad esempio per analisi o marketing – di norma la sola base giuridica adeguata è il consenso. Un "legittimo interesse" (art. 6, par. 1, lett. f) non basta per i cookie di tracciamento secondo l'orientamento prevalente e i provvedimenti del Garante.

Il quadro operativo è fissato dal Provvedimento del Garante per la protezione dei dati personali dell'8 maggio 2021 ("Linee guida cookie e altri strumenti di tracciamento"). In pratica: se il tuo sito usa Google Analytics, il pixel di Meta, video YouTube incorporati, font caricati da server terzi o altri strumenti di marketing e statistica, il banner di consenso è obbligatorio. E deve esserlo prima che questi strumenti vengano caricati.

Nessun banner è necessario se il tuo sito utilizza esclusivamente cookie tecnicamente necessari e non integra servizi che trasmettono dati a terzi. Sono tipicamente considerati tecnici:

• cookie di login e di sessione, per mantenere l'utente autenticato
• funzioni del carrello in uno shop
• funzioni di sicurezza e bilanciamento del carico
• la memorizzazione della scelta sul consenso stessa

Attenzione: l'asticella è alta. "Necessario" significa che senza quel cookie il servizio non funziona per l'utente, non che sia comodo per te o utile al marketing. Misurazione dell'audience, A/B test o conversion tracking non rientrano quasi mai nell'eccezione. Il Garante chiarisce inoltre che persino gli analytics rientrano nell'esenzione solo a condizioni rigorose (ad esempio IP anonimizzato e nessuna condivisione con terzi).

Un equivoco diffuso: anche molti componenti apparentemente innocui – mappe incorporate, font esterni, video embed – caricano dati da server terzi e fanno quindi scattare l'obbligo del banner. Se ti serve o meno si può stabilire con certezza solo guardando tutti i tracker realmente caricati.

Dalle norme e dal Provvedimento del Garante si ricavano requisiti minimi chiari:

• "Rifiuta tutto" equivalente già al primo livello. Accettare e rifiutare devono essere ugualmente visibili e ugualmente facili da raggiungere già nel primo livello del banner. Il Garante richiede che chiudere il banner senza scelta o tramite la "X" non equivalga a un consenso e che rifiutare sia semplice quanto accettare.
• Bloccare i tracker prima. Strumenti come Google Tag Manager possono caricarsi solo dopo un consenso valido, non già all'apertura della pagina. Se un tracker parte prima del clic dell'utente, il banner è pura cosmesi e il trattamento è illecito.
• Niente dark pattern. Rifiutare non deve essere più macchinoso che accettare. Nessun pulsante di accettazione vistoso accanto a un grigio link di rifiuto.
• Finalità chiare ed elenco completo dei fornitori. Gli utenti devono capire per quali scopi i dati vengono trattati e quali terzi sono coinvolti.
• Revoca semplice quanto il consenso. La scelta deve poter essere modificata in qualsiasi momento.

Se manca anche solo uno di questi punti, rischi reclami, contestazioni e, nei casi più gravi, sanzioni da parte del Garante.

• "Basta un banner, in qualsiasi modo." Falso. Un banner senza un pulsante di rifiuto equivalente o con tracker che si caricano in anticipo non ti protegge, anzi documenta la violazione.
• "Il legittimo interesse basta per gli analytics." No. Per i cookie di marketing e statistica il consenso è l'unica base giuridica solida.
• "Un banner impostato una volta resta a norma per sempre." No. Non appena si aggiunge un nuovo strumento, plugin o embed, cambia il panorama dei tracker. Senza una scansione regolare ogni soluzione di consenso invecchia.

Proprio per le web agency e i freelance con più siti clienti la cosa diventa rapidamente ingestibile: ogni sito ha un elenco di tracker diverso e ogni aggiornamento di un plugin può portare nuovi cookie.

Vuoi andare sul sicuro? Fai la scansione gratuita del sito di BlueOcean Privacy AI. In pochi minuti ti mostra quali tracker caricano davvero le tue pagine e se il tuo banner soddisfa i requisiti, per tutti i tuoi clienti da un'unica console. Avvia ora la scansione o prenota un appuntamento di consulenza gratuito.