Protezione dei dati

Linee guida cookie del Garante: regole per i banner

Linee guida cookie del Garante 2021: requisiti del banner, no cookie wall, scroll non è consenso, riproposizione a 6 mesi e base giuridica ex art. 122.

Also available in:English·Français·Español·Deutsch

Le linee guida cookie del Garante, adottate il 10 giugno 2021 e pienamente applicabili da gennaio 2022, fissano le regole vincolanti per i banner dei siti italiani: il consenso ai cookie non tecnici deve essere libero, specifico e attivo, la “X” di chiusura deve avere pari evidenza rispetto ad “Accetta”, lo scroll non vale come consenso, i cookie wall sono vietati e la scelta va riproposta non prima di sei mesi. La base giuridica è l’art. 122 del Codice Privacy. Questa guida spiega ogni requisito del banner e gli errori che il Garante ha già sanzionato.

Key Takeaways

  • I cookie tecnici non richiedono consenso; i cookie di profilazione e di terze parti sì (art. 122 Codice Privacy).
  • Il banner deve offrire un’azione di accettazione e una di rifiuto con pari evidenza, oltre al link alla cookie policy.
  • Il cookie wall — accesso al sito subordinato all’accettazione — è in linea di principio vietato.
  • Lo scroll della pagina non costituisce consenso valido.
  • La scelta dell’utente non può essere riproposta prima di 6 mesi, salvo cambi di condizioni.

La base giuridica: art. 122 Codice Privacy

L’archiviazione di informazioni nel dispositivo dell’utente — o l’accesso a informazioni già archiviate — è consentita solo con il consenso dell’interessato, salvo che si tratti di operazioni strettamente necessarie a fornire il servizio richiesto. È il principio dell’art. 122 del Codice Privacy, attuazione italiana della Direttiva ePrivacy 2002/58/CE.

Da qui la distinzione fondamentale. I cookie tecnici (di sessione, di funzionalità, di carrello, alcuni analytics anonimizzati) sono esenti da consenso. I cookie di profilazione, di marketing e di terze parti richiedono un consenso conforme al GDPR: libero, specifico, informato e inequivocabile (art. 4, n. 11 e art. 7).

I requisiti del banner

Le linee guida descrivono in dettaglio come deve essere costruito il primo banner.

  • Comando di accettazione: un pulsante “Accetta tutti”.
  • Comando di rifiuto con pari evidenza: una “X” in alto a destra o un pulsante “Rifiuta/Continua senza accettare” con grafica equivalente ad “Accetta”. Rendere il rifiuto più difficile dell’accettazione è una violazione.
  • Link alla cookie policy e all’area di personalizzazione delle scelte.
  • Nessuna preselezione: i cookie non tecnici sono disattivati finché l’utente non acconsente.

La chiusura del banner tramite la “X” equivale a non prestare il consenso: la navigazione prosegue con i soli cookie tecnici. Il modello di banner pronto all’uso è nel nostro modello di cookie policy a norma Garante, mentre l’informativa generale del sito trova posto nel modello di informativa privacy.

Due comportamenti sono espressamente censurati.

Il cookie wall — subordinare l’accesso ai contenuti all’accettazione dei cookie di profilazione — nega la libertà del consenso e per il Garante è illegittimo, salvo casi in cui esista un’alternativa equivalente di accesso al servizio. Il scrolling non è consenso: le linee guida del 2021 hanno abbandonato l’orientamento del 2014 e chiariscono che lo scorrimento della pagina può valere solo all’interno di un percorso in cui l’utente compia un’azione inequivoca.

Pratica Ammessa? Nota
“X” con pari evidenza Equivale a rifiuto
Scroll come consenso No Serve azione inequivoca
Cookie wall No (di regola) Nega la libertà del consenso
Caselle pre-spuntate No Vietate dall’art. 7 GDPR
Riproposizione < 6 mesi No Salvo cambio condizioni

Riproposizione, durata e analytics

Se l’utente ha rifiutato, il sito non può riproporre il banner a ogni visita: la scelta va rispettata per almeno sei mesi, salvo mutamento significativo delle condizioni di trattamento o impossibilità di sapere se un cookie sia già stato installato. Le linee guida ricordano anche di documentare il consenso, in linea con l’accountability dell’art. 5, par. 2 GDPR.

Sul fronte analytics, il Garante distingue tra strumenti di misurazione anonimizzati (assimilabili ai tecnici) e strumenti che consentono l’identificazione dell’utente o il trasferimento dei dati verso paesi terzi. Sui trasferimenti extra-UE tramite servizi statistici di terze parti l’Autorità ha adottato provvedimenti di ammonimento, invitando i gestori a verificare la conformità delle configurazioni.

Enforcement e come mettersi in regola

Il Garante monitora i banner e interviene su segnalazione o d’ufficio. La mancata conformità espone alle sanzioni dell’art. 83 GDPR; il quadro delle multe italiane è nel riepilogo delle sanzioni del Garante privacy 2025. Per un sito e-commerce, i cookie sono solo un tassello del più ampio set di adempimenti descritto nella guida GDPR per l’e-commerce.

La checklist operativa è breve: banner con rifiuto equivalente, nessun cookie non tecnico prima del consenso, cookie policy completa, log dei consensi conservati, riproposizione non prima di sei mesi. Chi gestisce più siti trova utile centralizzare la mappatura dei cookie e la prova dei consensi in un unico strumento; è una delle attività che piattaforme come Legiscope automatizzano.

Un equivoco frequente è confondere il banner, la cookie policy e l’informativa privacy del sito. Sono tre elementi con funzioni diverse. Il banner è il primo livello di informazione e il punto di raccolta del consenso; la cookie policy è il documento esteso che elenca ogni cookie, la sua finalità, la durata e i terzi coinvolti; l’informativa privacy generale (art. 13 GDPR) copre tutti i trattamenti del sito, non solo i cookie. Le linee guida del Garante richiedono che il banner rinvii sia alla cookie policy sia all’area di gestione delle preferenze.

Sul piano tecnico, la conformità passa da una Consent Management Platform correttamente configurata: deve bloccare gli script di profilazione fino al consenso (prior blocking), registrare data, ora e contenuto della scelta, e consentire all’utente di revocare con la stessa facilità con cui ha accettato. Un banner esteticamente perfetto ma che carica i cookie di terze parti prima del clic è comunque non conforme, perché viola il principio dell’art. 122: nessuna archiviazione senza consenso preventivo.

Infine, la responsabilità. Il gestore del sito resta titolare del trattamento anche quando usa una CMP di terzi: la scelta e la configurazione dello strumento sono sue, e un banner mal impostato non si giustifica scaricando la colpa sul fornitore. Verificare periodicamente che la configurazione rispetti le linee guida è parte dell’accountability richiesta dal Garante.

FAQ

No. Dal 2021 il Garante ha superato l’orientamento precedente: lo scorrimento della pagina, da solo, non è un’azione inequivoca sufficiente a manifestare il consenso. Serve un’azione positiva dell’utente, come cliccare “Accetta”.

In linea di principio no: il cookie wall nega la libertà del consenso ed è considerato illegittimo dal Garante, salvo che sia offerta un’alternativa equivalente per accedere al servizio. Subordinare l’intero accesso all’accettazione dei cookie di profilazione è la pratica censurata.

Ogni quanto posso riproporre il banner a chi ha rifiutato?

Non prima di sei mesi, a meno che cambino significativamente le condizioni del trattamento o non sia possibile sapere se i cookie siano già stati installati. Riproporre la richiesta a ogni visita è una pratica scorretta.

Dipende. Se sono anonimizzati e usati solo per misurazioni aggregate dal gestore del sito, sono assimilati ai cookie tecnici ed esenti. Se consentono l’identificazione dell’utente o comportano il trasferimento dei dati a terzi o fuori dall’UE, serve il consenso e va verificata la disciplina sui trasferimenti.

Per tradurre queste regole in un documento pubblicabile, conviene partire da un modello di cookie policy da adattare al proprio sito.


Fonti ufficiali: le linee guida cookie del Garante, il testo del GDPR su EUR-Lex e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →