Nel 2026, i cookie restano uno degli ambiti più controllati dal Garante per la protezione dei dati personali. Le Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, pubblicate sulla Gazzetta Ufficiale il 9 luglio 2021 e divenute operative dal 10 gennaio 2022, hanno stabilito un quadro preciso e stringente. L’articolo 122 del Codice in materia di protezione dei dati personali (D.lgs. 196/2003, noto come Codice Privacy) sancisce il principio del consenso preventivo per i cookie non tecnici. Con sanzioni che possono raggiungere i 20 milioni di euro o il 4 % del fatturato mondiale ai sensi del GDPR, la politica dei cookie non è più una questione secondaria: è un obbligo giuridico a tutti gli effetti.
Il quadro giuridico dei cookie in Italia
La normativa italiana sui cookie si fonda su due pilastri: la Direttiva ePrivacy 2002/58/CE (recepita nel diritto italiano attraverso l’articolo 122 del Codice Privacy) e il GDPR. L’articolo 122 del Codice Privacy stabilisce il principio: l’archiviazione di informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate richiede il consenso informato preventivo, con eccezioni limitate per i cookie tecnici.
Le Linee guida del Garante del giugno 2021 dettagliano le condizioni concrete di questo consenso. Queste linee guida si applicano a tutti i siti web accessibili dall’Italia, indipendentemente dalla localizzazione dell’editore.
Il GDPR (articoli 5, 6 e 7) stabilisce le condizioni di validità del consenso: deve essere libero, specifico, informato e inequivocabile. L’articolo 13 impone di fornire agli utenti informazioni complete sui trattamenti di dati legati ai cookie. Per verificare se il vostro sito è soggetto a questi obblighi, consultate la nostra guida completa sull’ambito di applicazione del GDPR.
I tipi di cookie e le loro regole
Non tutti i cookie sono soggetti allo stesso regime. Il Garante distingue chiaramente:
Cookie esenti dal consenso
Determinati cookie sono strettamente necessari al funzionamento del sito e non richiedono consenso. Si tratta dei cookie di sessione (carrello, autenticazione), dei cookie di preferenza linguistica, dei cookie di bilanciamento del carico del server e dei cookie di misurazione dell’audience quando configurati in modo tale da non consentire il tracciamento cross-site (come una configurazione ristretta di Matomo).
Cookie che richiedono consenso esplicito
Il consenso preventivo è obbligatorio per i cookie pubblicitari e di profilazione, i cookie dei social media (pulsanti di condivisione, widget integrati), i cookie di analisi della navigazione a fini commerciali (Google Analytics nella configurazione standard), i cookie di personalizzazione dei contenuti basati sul profilo dell’utente e i pixel di tracciamento di terze parti.
Il Garante sottolinea un punto fondamentale nelle sue Linee guida: lo scrolling della pagina non costituisce un consenso valido. L’utente deve compiere un’azione positiva chiara per ciascuna finalità di trattamento.
Il banner cookie conforme: le esigenze del Garante
Il banner dei cookie è il meccanismo attraverso il quale si raccoglie il consenso degli utenti. Il Garante impone requisiti precisi affinché sia considerato conforme:
Informare chiaramente l’utente: il banner deve menzionare le finalità dei cookie, l’identità dei titolari del trattamento (o un link all’elenco completo) e la possibilità di accettare o rifiutare.
Offrire una scelta reale: il pulsante «Rifiuta» (o «Prosegui senza accettare») deve essere altrettanto visibile e accessibile quanto il pulsante «Accetta». Il Garante ha specificato che la X di chiusura del banner deve equivalere al rifiuto del consenso, non alla sua accettazione.
Consentire un consenso granulare: l’utente deve poter accettare o rifiutare i cookie finalità per finalità (pubblicità, statistiche, social media, ecc.), sia direttamente dalla prima schermata sia tramite un secondo livello accessibile con un clic.
Non installare cookie prima del consenso: i cookie non essenziali non devono essere installati fino a quando l’utente non ha dato il suo accordo. Il caricamento di script di terze parti (Google Analytics, Facebook Pixel, ecc.) deve essere condizionato al consenso.
Conservare la prova del consenso: si deve poter dimostrare che l’utente ha acconsentito, quando e per quali finalità. La validità del consenso è di un massimo di 6 mesi secondo le Linee guida del Garante, a fronte della raccomandazione di rinnovo della scelta.
La politica dei cookie: cosa deve contenere
Oltre al banner, la politica dei cookie è un documento autonomo che descrive in dettaglio l’intera prassi in materia di cookie. Ai sensi degli articoli 12 e 13 del GDPR, deve includere:
- L’identità e i dati di contatto del titolare del trattamento
- L’elenco esaustivo dei cookie utilizzati (nome, finalità, durata, emittente)
- Le finalità di ciascun cookie, descritte in modo chiaro e comprensibile
- La base giuridica del trattamento (consenso per i cookie non essenziali, legittimo interesse per i cookie tecnici)
- I destinatari dei dati raccolti (partner pubblicitari, strumenti di analisi, ecc.)
- Gli eventuali trasferimenti di dati al di fuori dell’UE
- I termini di conservazione dei dati
- I diritti degli utenti (accesso, rettifica, cancellazione, opposizione) e come esercitarli
- Le modalità di gestione dei cookie (come modificare o revocare il consenso)
Questa politica deve essere accessibile in permanenza, generalmente tramite un link nel piè di pagina del sito, e deve essere distinta dalla vostra politica sulla privacy, anche se i due documenti si completano a vicenda.
Gli errori più comuni
Molti siti commettono ancora errori che li espongono a sanzioni:
Il «cookie wall» senza alternativa. Bloccare l’accesso al sito se l’utente rifiuta i cookie è generalmente considerato non conforme dal Garante, poiché vizia il carattere libero del consenso. Eccezioni limitate esistono per i siti editoriali che offrono un abbonamento alternativo.
Il design ingannevole (dark patterns). Un pulsante «Accetta tutto» in colore vivace accanto a un link «Impostazioni» discreto in grigio costituisce un dark pattern. Il Garante esige un livello di visibilità equivalente per l’accettazione e il rifiuto.
L’impossibilità di revocare il consenso. L’utente deve poter revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui lo ha dato. Un link permanente alle impostazioni dei cookie (spesso tramite un piccolo widget in fondo alla pagina) è indispensabile.
L’installazione di cookie prima del consenso. Numerosi siti caricano Google Analytics, Facebook Pixel o altri tracker non appena si accede alla pagina, prima di qualsiasi interazione con il banner. Questa è una violazione diretta dell’art. 122 del Codice Privacy.
Confondere la politica dei cookie con le note legali. Sono documenti distinti che rispondono a obblighi giuridici diversi. L’uno non sostituisce l’altro.
Le sanzioni: cosa si rischia
Il Garante dispone di un arsenale di sanzioni proporzionate alla gravità delle infrazioni:
Gli avvertimenti: il Garante può imporre l’adozione di misure correttive entro un termine stabilito, generalmente da 1 a 3 mesi. È spesso il primo passo, ma viene reso pubblico e può danneggiare la reputazione.
Le sanzioni amministrative: ai sensi del GDPR, le sanzioni possono raggiungere i 20 milioni di euro o il 4 % del fatturato annuo mondiale. Il Garante ha comminato sanzioni significative per infrazioni legate ai cookie, colpendo sia grandi aziende che PMI. Per una panoramica completa delle sanzioni più rilevanti, consultate la nostra classifica delle 15 maggiori sanzioni.
Le ingiunzioni: il Garante può ordinare la cessazione immediata del trattamento non conforme, il che può comportare la disattivazione di tutti gli strumenti di analisi e pubblicità.
Le sanzioni pecuniarie periodiche: in caso di inosservanza di un’ingiunzione, possono essere imposte sanzioni fino a 100 000 € per ogni giorno di ritardo.
Nel 2026, i controlli del Garante sono più frequenti che mai, con campagne tematiche mirate specificamente alle pratiche di cookie. I reclami presentati dagli utenti attraverso il sito web del Garante costituiscono anche un importante fattore scatenante di queste indagini.
Come mettersi in regola: le opzioni
Rivolgersi a un avvocato specializzato (300-800 €): un avvocato specializzato in diritto digitale redigerà una politica dei cookie su misura e potrà verificare il vostro banner di consenso. È la soluzione più personalizzata, ma il costo è elevato e i tempi di diverse settimane. Si giustifica per siti ad alto traffico o con trattamenti di dati complessi.
Usare modelli gratuiti online (0 € ma rischioso): esistono modelli di politiche dei cookie, ma raramente sono aggiornati con le ultime esigenze del Garante e richiedono da 3 a 5 ore di personalizzazione. Senza competenze tecniche, è difficile stilare la lista esatta dei cookie installati dal proprio sito.
Usare IA generica (ChatGPT, Claude) (0 € + revisione avvocato 150-300 €): questi strumenti possono produrre una prima bozza, ma la politica dei cookie richiede informazioni tecniche precise (lista dei cookie, durate, script di terze parti) che l’IA non può conoscere senza un audit preliminare. Una revisione giuridica resta necessaria.
Usare IA giuridica specializzata (14,90-19,90 €): soluzioni come WebLegal.ai generano una politica dei cookie conforme in pochi minuti, guidandovi attraverso le domande giuste. Il documento copre le esigenze del GDPR e del Codice Privacy, include una lista strutturata dei cookie per finalità ed è pronto per la pubblicazione. Per una protezione completa, combinatelo con i 4 documenti legali obbligatori per il vostro sito web.
Conclusione
La politica dei cookie e il banner di consenso conforme non sono più facoltativi nel 2026: sono obblighi di legge la cui inosservanza espone a sanzioni pecuniarie ingenti e a un grave rischio reputazionale. Con l’intensificazione dei controlli del Garante, ogni sito web deve imperativamente disporre di un banner conforme e di una politica dei cookie completa e aggiornata. Non aspettate che un’ispezione vi colga impreparati — assicurate la vostra conformità oggi stesso.