La cookie law italiana non è una legge unica, ma l'effetto combinato del Codice Privacy (D.Lgs. 196/2003, art. 122), del GDPR per quanto riguarda i dati personali raccolti, e soprattutto delle linee guida del Garante per la Protezione dei Dati Personali, che nel tempo hanno fissato in modo molto concreto cosa rende un cookie banner conforme. Contenuto informativo: la verifica di conformità del proprio sito richiede sempre un DPO o un consulente privacy.
La parte più delicata, in pratica, non è sapere se serve il consenso per i cookie di profilazione (ormai noto a chiunque gestisca un sito), ma costruire un banner che non sia, di fatto, un meccanismo che spinge l'utente verso l'accettazione: è qui che si concentrano la maggior parte dei controlli e delle sanzioni recenti.
Cookie tecnici, analitici e di profilazione
I cookie tecnici, strettamente necessari al funzionamento del sito (sessione, autenticazione, carrello), non richiedono consenso, ma devono essere descritti nell'informativa estesa sui cookie. I cookie statistici, se configurati per anonimizzare l'indirizzo IP e non incrociare i dati con altre fonti, possono rientrare in un regime semplificato. I cookie di profilazione, invece, quelli che tracciano il comportamento dell'utente per finalità di marketing o pubblicità personalizzata, richiedono sempre il consenso esplicito, raccolto prima che vengano attivati.
Il pulsante di rifiuto: stesso piano dell'accettazione
Le linee guida cookie del Garante richiedono che il pulsante per rifiutare i cookie non essenziali sia presente sullo stesso primo livello del banner, con la stessa visibilità grafica del pulsante di accettazione, senza obbligare l'utente a cliccare su "personalizza" o "impostazioni" per trovarlo. Un banner che propone solo "Accetta tutto" in primo piano, relegando il rifiuto a un link minuscolo o a un secondo passaggio, non soddisfa il requisito di scelta libera ed equivalente.
I dark pattern: cosa li rende non conformi
Oltre alla disparità tra i due pulsanti, il Garante considera dark pattern anche altre tecniche: precaricare le caselle di consenso come già selezionate, usare colori che rendono il pulsante "accetta" molto più visibile del "rifiuta", o richiedere più clic per il rifiuto rispetto all'accettazione. Queste tecniche, anche quando formalmente offrono una scelta, sono progettate per orientare il comportamento dell'utente, e sono state oggetto di sanzioni specifiche negli ultimi provvedimenti.
La durata del consenso e il rinnovo
Le linee guida indicano una durata massima di 6 mesi per la validità del consenso prestato per i cookie non tecnici: superato questo termine, il banner deve essere riproposto all'utente, anche se le sue scelte non sono cambiate nel frattempo. Questo richiede una gestione tecnica attenta del meccanismo di memorizzazione del consenso (tipicamente tramite una piattaforma di Consent Management), per evitare sia di non richiedere mai il rinnovo sia di mostrare il banner troppo frequentemente, con effetti negativi sull'esperienza dell'utente.
Domande frequenti
- Quali cookie non richiedono il consenso?
I cookie tecnici strettamente necessari e i cookie statistici in forma aggregata e anonimizzata non richiedono consenso, ma vanno comunque indicati nell'informativa estesa.
- Il banner cookie può avere solo il tasto accetta?
No, il pulsante di rifiuto deve essere visibile sullo stesso piano del pulsante di accettazione, senza richiedere un sotto-livello per negare il consenso.
- Cosa sono i dark pattern nei cookie banner?
Tecniche di design che spingono verso l'accettazione, come caselle pre-selezionate o pulsanti di rifiuto poco visibili. Il Garante li considera una violazione del consenso libero e inequivocabile.
- Va rinnovato il consenso periodicamente?
Sì, le linee guida indicano una durata massima di 6 mesi, dopo la quale il banner va riproposto anche se le preferenze dell'utente non sono cambiate.