Cookie Banner GDPR: Obblighi, Regole e Come Farlo Correttamente nel 2026
Cosa deve contenere un cookie banner conforme al GDPR e alle Linee Guida del Garante Privacy 2021? Obblighi, divieti, dark pattern e sanzioni. Guida aggiornata 2026.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Il cookie banner è obbligatorio per il tuo sito web?
Sì, se il sito utilizza cookie non tecnici (analytics, advertising, profilazione, social plugin). Le Linee Guida del Garante Privacy del 10 giugno 2021 e il D.Lgs. 196/2003 (Codice Privacy) richiedono il consenso preventivo dell'utente prima dell'installazione di qualsiasi cookie non strettamente necessario. Il consenso deve essere libero, specifico, informato e inequivocabile: i banner che predispongono caselle pre-spuntate o che rendono difficile il rifiuto sono illegittimi e sanzionabili.
Il cookie banner è il meccanismo tecnico-legale con cui un sito web informa gli utenti sull'utilizzo dei cookie e raccoglie il loro consenso prima di installarli. La disciplina applicabile in Italia è basata sul D.Lgs. 196/2003 (Codice Privacy), integrato dalle Linee Guida del Garante Privacy del 10 giugno 2021 e dal GDPR (Reg. UE 2016/679) per i cookie che trattano dati personali.
Fonti primarie: Linee Guida Garante Privacy — Cookie e altri strumenti di tracciamento, 10/06/2021 · D.Lgs. 196/2003 — Normattiva · Reg. UE 2016/679 (GDPR) — EUR-Lex
Quali tipi di cookie richiedono il consenso e quali no?
La risposta dipende dalla categoria del cookie. Le Linee Guida Garante 2021 distinguono due macro-categorie:
Cookie che NON richiedono consenso (cookie tecnici)
I cookie tecnici sono necessari per il funzionamento del sito. Non richiedono consenso, ma devono essere menzionati nell'informativa:
| Tipo | Descrizione | Esempi |
|---|---|---|
| Cookie di sessione | Mantengono la sessione attiva durante la navigazione | Login, dati temporanei |
| Cookie funzionali | Memorizzano preferenze dell'utente | Lingua, valuta, preferenze display |
| Cookie di autenticazione | Gestiscono accesso alle aree riservate | Token JWT, sessioni utente |
| Cookie del carrello | Mantengono i prodotti nel carrello e-commerce | Cart session |
| Cookie di sicurezza | Proteggono da CSRF, sessioni fraudolente | Token anti-falsificazione |
Caso speciale — cookie analytics: Il Garante italiano ha adottato una posizione di favore per gli strumenti di misurazione dell'audience in forma aggregata purché anonimi e limitati alla misurazione del sito. Tuttavia, questo non costituisce un'esenzione dal consenso automatica: dipende dalla configurazione specifica dello strumento. Google Analytics 4, nella sua configurazione predefinita, invia dati identificativi verso server USA e richiede consenso, salvo configurazione di anonimizzazione documentata.
Cookie che RICHIEDONO consenso preventivo
| Categoria | Descrizione | Necessità di consenso |
|---|---|---|
| Cookie analytics (non aggregati) | Profilazione individuale del comportamento di navigazione | Sì, sempre |
| Cookie di profilazione | Costruzione di profili utente per targeting | Sì, sempre |
| Cookie pubblicitari (advertising) | Pubblicità mirata basata su interessi | Sì, sempre |
| Cookie di social network | Pulsanti "Mi piace", condivisione, pixel di tracciamento | Sì, sempre |
| Cookie di terze parti | Cookie installati da soggetti diversi dal titolare del sito | Sì, sempre |
Come deve essere strutturato un cookie banner conforme?
Le Linee Guida Garante 2021 definiscono i requisiti minimi del banner. La struttura deve comprendere:
Primo livello — Informativa sintetica (il banner vero e proprio)
Il banner immediato deve contenere:
- Una descrizione sintetica dei cookie utilizzati e delle loro finalità
- Il tasto di accettazione di tutti i cookie non tecnici
- Il tasto di rifiuto di tutti i cookie non tecnici, con uguale evidenza visiva rispetto al tasto di accettazione
- Il link alle preferenze dettagliate (secondo livello)
- Il link alla cookie policy completa
Secondo livello — Preferenze granulari
Il pannello delle preferenze deve consentire all'utente di:
- Accettare o rifiutare categorie specifiche di cookie (analytics, marketing, social)
- Visualizzare la lista dei cookie per categoria con descrizione e durata
- Salvare le preferenze e modificarle in qualsiasi momento
Documentazione del consenso
Il sistema di gestione del consenso deve registrare per ciascun utente:
- Data e ora dell'espressione del consenso o del rifiuto
- Versione del banner al momento del consenso
- Scelte specifiche per categoria
- Metodo di raccolta (banner, link in footer, ecc.)
Nella consulenza a PMI e startup, rilevo che il punto più critico è proprio la documentazione: molte aziende hanno un banner visivamente corretto ma non conservano prova del consenso, rendendo impossibile rispondere ai reclami del Garante.
Cosa sono i dark pattern e perché sono vietati?
I dark pattern sono tecniche di design che inducono l'utente ad accettare cookie non tecnici senza una scelta davvero libera. Le Linee Guida Garante 2021 li vietano esplicitamente. Le pratiche più comuni e le relative violazioni:
| Dark Pattern | Descrizione | Violazione |
|---|---|---|
| X per chiudere = accettare | Il pulsante di chiusura del banner equivale al consenso | Art. 4(11) GDPR + Linee Guida Garante |
| Tasto rifiuta assente al primo livello | Il rifiuto richiede passaggi aggiuntivi rispetto all'accettazione | Principio di equivalenza Linee Guida 2021 |
| Contrasto cromatico asimmetrico | "Accetta" in verde brillante, "Rifiuta" in grigio sbiadito | Linee Guida Garante 2021 — simmetria visiva |
| Scrolbare = accettare | La semplice navigazione è interpretata come consenso | Art. 7.2 GDPR — consenso deve essere azione inequivocabile |
| Pre-spuntamento caselle | Le caselle di consenso per analytics/marketing sono già selezionate | Art. 7.2 GDPR e Art. 6.1.a GDPR |
| Tasto rifiuta molto piccolo o nascosto | Il rifiuto è accessibile solo con difficoltà | Principio di equivalenza Linee Guida 2021 |
Orientamento giurisprudenziale: Il Garante Privacy ha sanzionato sia provider di CMP (Consent Management Platform) sia singoli titolari per implementazioni con dark pattern. La violazione non richiede danno dimostrato: è sufficiente l'utilizzo della tecnica ingannevole.
Cookie banner e Google Analytics: cosa dice il Garante?
Il tema Google Analytics ha ricevuto attenzione specifica dal Garante Privacy italiano, che nel 2022 ha emesso una serie di provvedimenti nei confronti di gestori di siti web italiani che utilizzavano GA3 (Universal Analytics) senza adeguate misure, dichiarando illeciti i trasferimenti dei dati verso gli USA.
La situazione aggiornata per Google Analytics 4 (GA4):
- Il trasferimento verso gli USA è coperto dall'EU-US Data Privacy Framework (luglio 2023), che sostituisce il precedente Privacy Shield invalidato (Schrems II, CGUE C-311/18)
- Tuttavia, GA4 installa cookie che identificano il singolo utente nel tempo: richiedono consenso preventivo
- La configurazione con IP anonimizzato e senza dati demografici riduce il rischio ma non elimina l'obbligo di consenso
- Il Garante italiano ha confermato (orientamento 2023-2024) che i cookie analytics non aggregati rientrano nell'ambito del consenso obbligatorio ex D.Lgs. 196/2003
Nota redazionale: La situazione normativa relativa ai trasferimenti extra-UE attraverso strumenti come GA4 è soggetta a evoluzione interpretativa delle Autorità europee. Si consiglia di verificare periodicamente gli aggiornamenti dell'EDPB e del Garante Privacy italiano.
Quanto tempo dura il consenso e quando va rinnovato?
Il consenso espresso attraverso il cookie banner non ha una durata fissa stabilita per legge. Le Linee Guida Garante 2021 indicano che:
- Il cookie di memorizzazione del consenso (il cookie che ricorda la scelta dell'utente) non dovrebbe avere durata superiore a 6 mesi come regola generale
- Dopo tale periodo, è opportuno riproporre il banner
- Il consenso va rinnovato ogni volta che il sito modifica le categorie di cookie, introduce nuovi provider, o cambia le finalità
La prassi consolidata fissa in 6-13 mesi la durata massima del cookie di consenso, rinnovandolo a ogni modifica sostanziale del pannello.
Cookie banner e siti WordPress, Shopify o WooCommerce
Le piattaforme CMS non forniscono automaticamente un sistema di gestione del consenso conforme. Il titolare del sito rimane responsabile indipendentemente dalla piattaforma utilizzata.
Soluzioni tecniche diffuse (non costituiscono raccomandazione né endorcement):
- Plugin di Consent Management Platform (CMP) certificati IAB TCF 2.2
- Soluzioni native per le principali piattaforme e-commerce
- Sviluppo personalizzato con registrazione del consenso nel database
La conformità non dipende dallo strumento scelto ma dalla configurazione corretta: molti plugin CMP prevedono configurazioni non conformi per impostazione predefinita e richiedono personalizzazione da parte del responsabile tecnico e legale.
Quali sono le sanzioni per un cookie banner non conforme?
Le violazioni in materia di cookie rientrano nell'ambito del D.Lgs. 196/2003 (Art. 162 e seguenti) e, per la componente di trattamento dati personali, nell'Art. 83 GDPR:
| Tipo di violazione | Riferimento | Sanzione massima |
|---|---|---|
| Installazione cookie senza consenso | Art. 162 D.Lgs. 196/2003 + Art. 83.5 GDPR | Fino a 20 milioni EUR o 4% fatturato |
| Consenso ottenuto con dark pattern | Art. 7 GDPR + Linee Guida Garante 2021 | Fino a 20 milioni EUR o 4% fatturato |
| Mancata documentazione del consenso | Art. 7.1 GDPR | Fino a 10 milioni EUR o 2% fatturato |
| Cookie policy assente o inadeguata | Art. 13 GDPR | Fino a 20 milioni EUR o 4% fatturato |
Il Garante Privacy italiano applica sanzioni proporzionate all'entità e alla reiterazione della violazione, con particolare attenzione ai siti con traffico elevato e alle violazioni sistematiche.
Domande Frequenti (FAQ)
Il sito deve avere sia una cookie policy che una privacy policy? Sì. Sono documenti distinti con contenuti diversi. La cookie policy descrive i cookie utilizzati, le loro finalità, la durata e il meccanismo di consenso (base normativa: D.Lgs. 196/2003 + Linee Guida Garante 2021). La privacy policy copre tutti i trattamenti di dati personali (base normativa: Art. 13-14 GDPR). Possono essere redatti nello stesso documento purché le sezioni siano chiaramente distinte e comprensibili autonomamente.
Un sito con solo cookie tecnici deve avere il banner? No. Se il sito utilizza esclusivamente cookie tecnici strettamente necessari (sessione, autenticazione, carrello, sicurezza) e non integra strumenti di terze parti che installano cookie, non è richiesto il consenso. Rimane però opportuna un'informativa sintetica (nota cookie) nel footer. Nella pratica, la presenza di anche un solo script di terze parti (Google Fonts caricato localmente è diverso da chiamate esterne) può reintrodurre l'obbligo.
Il consenso ai cookie vale come consenso al trattamento dei dati per marketing? No. Il consenso al cookie banner gestisce l'installazione dei cookie. Il consenso per l'invio di email marketing è un consenso separato, specifico, che deve essere raccolto in modo distinto (es. checkbox nel form di iscrizione alla newsletter). I due consensi hanno basi normative diverse e non sono intercambiabili.
Cosa succede se un utente non interagisce con il banner? Se l'utente chiude il sito senza fare clic su alcun tasto, il comportamento corretto è non installare alcun cookie non tecnico. La semplice apertura della pagina, lo scrolling o la chiusura del browser non costituiscono consenso ex Art. 7 GDPR. I cookie non tecnici devono restare bloccati fino a espressione positiva del consenso.
Posso usare la stessa cookie policy per più siti? No. La cookie policy deve riflettere i cookie specificamente installati su ogni sito. Siti diversi, anche dello stesso titolare, possono avere integrazioni diverse, e la policy deve essere specifica. L'uso di policy identiche tra siti con implementazioni tecniche diverse costituisce un'informativa non accurata ai sensi dell'Art. 12 GDPR.
Quando serve una consulenza personalizzata
La configurazione corretta di un sistema di gestione del consenso richiede sia competenze tecniche (configurazione del CMP, verifica degli script di terze parti) sia competenze legali (verifica della conformità della policy, documentazione del consenso). Per siti con traffico significativo, integrazioni complesse o trattamenti di profilazione, è opportuno un audit specifico che verifichi l'intera catena cookie → consenso → documentazione → policy.
Disclaimer: Questo articolo ha finalità informative e non costituisce parere legale né consulenza professionale. Il contenuto rispecchia il quadro normativo vigente alla data di pubblicazione e potrà subire variazioni in seguito a nuovi provvedimenti del Garante Privacy o dell'EDPB. Per valutare la conformità della propria implementazione specifica, è necessaria una consulenza individuale.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →