Una cookie policy a norma deve elencare, in modo chiaro e completo, le tipologie di cookie usate dal sito, la loro finalità, la base giuridica, la durata, le terze parti coinvolte e le modalità per revocare il consenso. La sua adozione risponde all’art. 122 del Codice Privacy (D.lgs. 196/2003) e alle Linee guida cookie del Garante del 10 giugno 2021, in vigore da gennaio 2022. Qui trovi il modello copia-e-incolla della cookie policy e i requisiti del banner che la accompagna — inclusi i punti su cui il Garante contesta più spesso.
Punti chiave
- I cookie tecnici non richiedono consenso; i cookie di profilazione e di terze parti sì (art. 122 Codice Privacy).
- Il banner deve avere un pulsante «X» per rifiutare con la stessa evidenza dell’accetta.
- Lo scroll non vale come consenso e il cookie wall è vietato (Linee guida 10 giugno 2021).
- Il consenso negato non va richiesto di nuovo prima di 6 mesi.
- La cookie policy è distinta dall’informativa generale, ma vi si collega.
Cookie tecnici, analitici e di profilazione
La distinzione che regge tutta la disciplina è tra cookie che richiedono il consenso e cookie che ne sono esenti.
- Cookie tecnici: necessari a far funzionare il sito o a erogare un servizio richiesto dall’utente (sessione, carrello, preferenze lingua, autenticazione). Non richiedono consenso, solo l’informativa.
- Cookie analitici: se «di prima parte» e resi anonimi (IP mascherato, nessuna combinazione con altri trattamenti, no condivisione con terzi), il Garante li equipara ai tecnici e non richiedono consenso. Gli analitici di terze parti che tracciano l’utente richiedono invece il consenso.
- Cookie di profilazione: creano profili dell’utente per pubblicità mirata. Richiedono sempre il consenso libero e specifico.
- Cookie di terze parti: installati da domini diversi da quello del sito (social, ad network). Richiedono il consenso e vanno elencati singolarmente.
Attenzione agli strumenti di analytics più diffusi: il Garante ha adottato provvedimenti di avvertimento sull’uso di Google Analytics nella configurazione che trasferiva dati verso gli Stati Uniti, invitando i gestori a verificare la conformità dei trasferimenti. Il quadro va letto insieme all’evoluzione sulle garanzie per i trasferimenti extra UE.
Il fac-simile della cookie policy
Ecco la struttura pronta da adattare. Sostituisci i campi tra parentesi con i dati del tuo sito.
Cookie Policy di [nome sito]
1. Cosa sono i cookie. Brevissima definizione (file di testo memorizzati dal browser).
2. Tipologie di cookie utilizzati.
- Cookie tecnici (necessari): [elenco, finalità, durata]. Base giuridica: art. 122 Codice Privacy — non richiedono consenso.
- Cookie analitici: [strumento, prima/terza parte, anonimizzazione, durata].
- Cookie di profilazione e di terze parti: [elenco nominativo, fornitore, finalità, durata, link alla privacy policy del terzo]. Base giuridica: consenso.
3. Base giuridica. Consenso per profilazione e terze parti (art. 6, par. 1, lett. a GDPR); legittimo funzionamento per i tecnici (art. 122 Codice Privacy).
4. Durata dei cookie. Tabella con la durata di ciascun cookie.
5. Come gestire o revocare il consenso. Istruzioni sul pannello di preferenze e sulle impostazioni del browser.
6. Titolare del trattamento e contatti. [Denominazione, sede, email, eventuale RPD].
7. Diritti dell’interessato. Rinvio all’informativa privacy e agli artt. 15-22 GDPR.
La tabella delle durate è l’elemento che i gestori dimenticano più spesso. Ecco un esempio da compilare.
| Cookie | Tipologia | Finalità | Terza parte | Durata |
|---|---|---|---|---|
| PHPSESSID | Tecnico | Sessione | No | Sessione |
| _ga | Analitico | Statistiche aggregate | Sì | 13 mesi |
| _fbp | Profilazione | Advertising | Sì (Meta) | 3 mesi |
| pref_lang | Tecnico | Preferenza lingua | No | 12 mesi |
I requisiti del banner cookie
La cookie policy vive insieme al banner che compare al primo accesso. Le Linee guida del 10 giugno 2021 fissano regole precise, che il Garante verifica:
- Simmetria delle scelte: il pulsante per rifiutare (spesso una «X» in alto a destra) deve avere la stessa immediatezza del pulsante «Accetta tutti». Un accetta ben visibile e un rifiuta nascosto è una contestazione.
- Nessun cookie wall: non puoi negare l’accesso al sito a chi rifiuta i cookie di profilazione.
- Lo scroll non è consenso: continuare a navigare o scorrere la pagina non equivale ad acconsentire. Serve un’azione positiva.
- Granularità: l’utente deve poter scegliere per categorie, non solo «tutto o niente». Vale lo stesso principio degli esempi di consenso GDPR: consenso libero, specifico e revocabile.
- Re-prompt a 6 mesi: se l’utente rifiuta, non puoi riproporgli il banner a ogni visita; la richiesta va ripetuta non prima di sei mesi (salvo cambiamenti significativi delle condizioni o impossibilità di sapere se i cookie erano già stati installati).
Prima del rilascio dei cookie non tecnici nessun cookie soggetto a consenso deve essere installato: il caricamento «al primo accesso», prima della scelta, è uno degli errori più comuni e più facilmente rilevabili. Il banner deve inoltre contenere un’informativa breve con il link alla cookie policy estesa, l’indicazione delle finalità e il richiamo alla possibilità di modificare le scelte in ogni momento tramite un pannello di preferenze sempre raggiungibile. La scelta espressa dall’utente va registrata e conservata come prova: in caso di controllo del Garante, devi poter dimostrare non solo che il banner esisteva, ma quale scelta ha compiuto ciascun utente e quando.
Cosa rischia chi sbaglia
Il Garante ha adottato numerosi provvedimenti sui banner non conformi, sia a seguito di reclami sia d’ufficio. La regola pratica: un banner asimmetrico, cookie caricati prima del consenso o l’assenza di una vera opzione di rifiuto sono tra le contestazioni più frequenti, perché verificabili con un semplice controllo tecnico della pagina. La casistica aggiornata è nella nostra sintesi delle sanzioni del Garante privacy e, per il dettaglio delle regole, nella pagina sulle linee guida cookie del Garante.
Gestire manualmente la mappatura dei cookie, l’aggiornamento del banner e la registrazione dei consensi diventa oneroso appena il sito integra più strumenti di terze parti. Soluzioni di software per la conformità GDPR come Legiscope aiutano a mantenere allineati inventario dei cookie, testo della policy e log dei consensi, così che ciò che dichiari nella policy corrisponda a ciò che il sito installa davvero.
Per la normativa, consulta l’art. 122 del Codice Privacy su Normattiva, il testo della Direttiva ePrivacy 2002/58/CE su EUR-Lex e le indicazioni del Garante per la protezione dei dati personali.
Domande frequenti
La cookie policy è la stessa cosa dell’informativa privacy?
No. La cookie policy è un documento specifico sui cookie e sugli strumenti di tracciamento; l’informativa privacy (artt. 13-14 GDPR) copre l’insieme dei trattamenti del sito. Sono distinte ma collegate: la cookie policy rinvia all’informativa generale per i diritti dell’interessato e i contatti del titolare.
I cookie analitici richiedono il consenso?
Dipende. Se sono di prima parte e configurati per non identificare l’utente (IP anonimizzato, nessuna condivisione con terzi, nessun incrocio con altri dati), il Garante li tratta come cookie tecnici e non serve il consenso. Gli analitici di terze parti che profilano o trasferiscono dati richiedono invece il consenso.
Posso caricare i cookie di profilazione appena l’utente arriva sul sito?
No. I cookie soggetti a consenso vanno installati solo dopo che l’utente ha espresso una scelta positiva. Caricarli al primo accesso, prima dell’interazione con il banner, viola l’art. 122 Codice Privacy ed è tra le violazioni più facili da accertare tecnicamente.
Ogni quanto devo riproporre il banner a chi ha rifiutato?
Non prima di sei mesi dalla precedente richiesta, secondo le Linee guida del 10 giugno 2021, salvo mutino significativamente le condizioni del trattamento o non sia tecnicamente possibile sapere se i cookie erano già stati installati. Riproporre il banner a ogni visita è considerato un modo per «stancare» l’utente e ottenere un consenso non libero.
Vedi anche: il GDPR per l’e-commerce, dove i cookie di tracciamento e il retargeting richiedono particolare attenzione, e per le agenzie di marketing che gestiscono le campagne.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial