Consulenza Sicurezza Veneto: D.Lgs. 81/08
Obblighi del Datore di Lavoro e RSPP Esterno
Domenica 24 Maggio 2026




800300333
  • Home
  • FAQ
  • FAQ OGNI SITO WEB HA BISOGNO DI UNA PRIVACY E COOKIE POLICY

Don't Hesitate To Ask

Request A Quick Quote

FAQ OGNI SITO WEB HA BISOGNO DI UNA PRIVACY E COOKIE POLICY


Cosa si intende quando si parla di cookie?

I cookie sono piccoli file di testo che i siti visitati dall’utente inviano al suo dispositivo (di norma al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.

Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie di siti o di web server diversi?

Sì. Si parla di cookie di “terza parte”. Accade quando, nella pagina visitata, sono presenti elementi che richiamano risorse esterne (ad esempio video incorporati, mappe, font, widget social, strumenti di statistiche e pubblicità) erogate da domini diversi da quello del sito che stai visitando.

Perché si usano i cookie?

I cookie vengono usati per:

  • far funzionare correttamente un sito (ad esempio gestione della sessione, login, carrello, preferenze lingua);

  • ricordare scelte e impostazioni dell’utente;

  • misurare visite e prestazioni del sito (statistiche);

  • in alcuni casi, tracciare l’utente per finalità di marketing/profilazione e mostrare contenuti o annunci personalizzati.

Quanto rimangono nel sistema i cookie?

Dipende dal tipo di cookie:

  • cookie di sessione: si cancellano in genere alla chiusura del browser;

  • cookie persistenti: restano memorizzati fino alla scadenza prevista o finché l’utente non li elimina.
    Alcuni cookie (e strumenti simili) possono contenere identificativi univoci e, se usati per profilazione o marketing, consentono di ricostruire comportamenti di navigazione e preferenze dell’utente anche su più siti/servizi.

Cosa cambia con la normativa oggi applicata (aggiornata)?

In Italia la disciplina su cookie e tracciamenti si basa su:

  • Direttiva e-Privacy 2002/58/CE (come modificata dalla 2009/136/CE) e relativa applicazione nazionale;

  • art. 122 del D.Lgs. 196/2003 (Codice Privacy) e successive modifiche;

  • Regolamento (UE) 2016/679 (GDPR) per i requisiti del consenso e gli obblighi di trasparenza;

  • Linee guida del Garante Privacy “cookie e altri strumenti di tracciamento” (10 giugno 2021), applicate stabilmente anche nel 2026.

In pratica: qualunque strumento non “tecnico” (es. marketing, profilazione, molte terze parti, tracciamenti avanzati) richiede un consenso preventivo valido. Il semplice proseguimento della navigazione o lo “scroll” non bastano, di regola, a raccogliere un consenso.

Cosa prevede oggi la disciplina e-Privacy?

La regola generale resta l’“opt-in”: archiviare informazioni sul dispositivo dell’utente o accedere a informazioni già archiviate (cookie e strumenti analoghi) è consentito solo dopo che l’utente:

  • ha ricevuto un’informativa chiara e completa;

  • ha espresso un consenso valido, prima dell’attivazione dei tracciamenti non tecnici.

Resta ferma la possibilità di usare senza consenso i soli cookie/strumenti “strettamente necessari” per:

  • effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica; oppure

  • fornire un servizio esplicitamente richiesto dall’utente.
    Questi sono, in sintesi, i cookie “tecnici”.

Come cambia (e come si applica) la disciplina in Italia oggi?

In Italia, oggi:

  • i cookie tecnici possono essere utilizzati senza consenso, ma con informativa;

  • i cookie di profilazione/marketing (e in generale i tracciamenti non tecnici) richiedono consenso preventivo.

A titolo esemplificativo, rientrano nei casi in cui NON serve consenso (ma serve informativa):

  • cookie tecnici di sessione (es. carrello acquisti, mantenimento login, bilanciamento carichi);

  • cookie di funzionalità (es. lingua, preferenze, impostazioni scelte dall’utente);

  • cookie analytics “assimilabili ai tecnici” SOLO se usati per mere statistiche, con misure che riducono l’identificabilità (es. dati aggregati, minimizzazione, limitazioni, assenza di incroci con altri dati/terze parti e configurazioni coerenti con le linee guida del Garante).

Se invece la statistica o lo strumento di misurazione consente (anche indirettamente) tracciamento, profilazione o condivisione con terze parti per loro finalità, allora serve consenso preventivo.

Cosa devono fare le aziende per mettersi in regola?

In sintesi, chi gestisce un sito deve:

  • mappare cookie e strumenti di tracciamento (anche non-cookie: pixel, fingerprinting, SDK, ecc.);

  • distinguere tecnici da non tecnici e identificare le terze parti coinvolte;

  • bloccare preventivamente i tracciamenti non tecnici fino a consenso;

  • mostrare un banner conforme, con scelte reali (accetta / rifiuta / personalizza);

  • predisporre una cookie policy (informativa estesa) completa e aggiornata;

  • permettere di modificare le preferenze in qualsiasi momento con facilità;

  • conservare prova del consenso e rispettare tempi e condizioni di riproposizione.

Sono esclusi i cookie tecnici dall’informativa?

No. I cookie tecnici non richiedono consenso, ma richiedono comunque informativa (anche in forma semplificata, purché chiara).
Il consenso, invece, è obbligatorio per i cookie e gli strumenti di tracciamento non tecnici (profilazione/marketing e tracciamenti equivalenti), prima della loro attivazione.

Quali caratteristiche deve avere l'informativa agli utenti?

L’informativa deve essere chiara, comprensibile e coerente con quanto realmente installato/attivo. In pratica, deve:

  • spiegare che cosa sono cookie e tracciamenti e a cosa servono;

  • indicare tipologie e finalità (tecnici, funzionalità, statistici, marketing/profilazione, ecc.);

  • indicare eventuali terze parti e rimandare alle loro informative (quando pertinenti);

  • spiegare come negare o revocare il consenso e come modificare le preferenze;

  • indicare (quando applicabile) tempi di conservazione/durata e categorie coinvolte.

Cosa stabilisce l’art. 122 del Codice Privacy (in sintesi)?

L’archiviazione di informazioni sul dispositivo dell’utente o l’accesso a informazioni già archiviate è ammessa solo:

  • dopo informativa resa con modalità semplificate;

  • e, di regola, dopo consenso dell’utente.

Fa eccezione ciò che è strettamente necessario per:

  • trasmettere una comunicazione su rete; oppure

  • erogare un servizio esplicitamente richiesto dall’utente (cookie/strumenti tecnici).

Cosa ha fatto il Garante (e cosa conta oggi)?

Il Garante per la protezione dei dati personali ha adottato Linee guida specifiche su cookie e altri strumenti di tracciamento (10 giugno 2021), che restano il riferimento operativo per i siti in Italia anche nel 2026.

Tra i punti chiave:

  • consenso preventivo per tracciamenti non tecnici;

  • banner con opzioni “accetta”, “rifiuta” e/o “personalizza” in modo chiaro;

  • divieto di attivare i tracciamenti non tecnici prima della scelta;

  • limitazioni a cookie wall e a consenso tramite semplice scrolling.

Cosa deve indicare l’informativa?

L’informativa deve indicare chiaramente le finalità dei cookie e degli altri strumenti di tracciamento.
Se vengono usati per profilazione/marketing, non basta scrivere “finalità pubblicitarie”: occorre specificare che:

  • i tracciamenti possono consentire la creazione di profili o inferenze sulle preferenze dell’utente;

  • tali profili possono essere usati per mostrare contenuti/annunci personalizzati e misurare le campagne.

Quali sono le scadenze e ogni quanto va riproposto il banner?

Non esiste una “scadenza” annuale unica: le regole sono in vigore e vanno rispettate sempre.

Quanto alla riproposizione del banner e alla durata della scelta:

  • in linea generale, se l’utente ha già espresso una scelta (accettazione o rifiuto), il banner non dovrebbe ripresentarsi a ogni visita;

  • il banner può/va riproposto quando cambiano in modo significativo condizioni o finalità del trattamento, cambiano i cookie/terze parti, oppure quando non è tecnicamente possibile sapere se una scelta sia già stata registrata;

  • come regola pratica, è previsto un intervallo minimo di circa 6 mesi per tornare a richiedere la scelta, salvo i casi di cambiamenti rilevanti.

Come si esprime il consenso all'uso dei cookie?

Il consenso deve essere:

  • libero, specifico, informato e inequivocabile;

  • espresso con un’azione positiva chiara (es. click su “Accetta” o selezione di categorie/terze parti in “Personalizza”).

Non è valido, di regola:

  • il consenso “implicito” (continuare a navigare);

  • il consenso tramite semplice scrolling;

  • preselezioni attive (caselle già spuntate) per cookie non tecnici.

Cosa deve avere il consenso all’uso dei cookie per essere valido?

Per essere valido, il consenso deve:

  • essere revocabile facilmente e in qualsiasi momento;

  • non essere condizionato (niente penalizzazioni indebite per chi rifiuta);

  • essere granulare, quando possibile (scelte per categorie e/o per terze parti);

  • essere documentabile: il titolare deve poter dimostrare quando e come è stato raccolto.

Quali strumenti vanno utilizzati per acquisire il consenso?

Qualunque strumento di raccolta del consenso deve:

  • essere preceduto da informativa chiara (banner + cookie policy);

  • offrire scelte simmetriche e immediate (accetta/rifiuta/personalizza);

  • impedire l’installazione dei tracciamenti non tecnici prima della scelta;

  • consentire una modifica successiva delle preferenze con pari facilità.

Quali sono esempi di impostazioni o specifici programmi utili per gestire i cookie?

A titolo esemplificativo:

  • impostazioni del browser per bloccare o cancellare i cookie e per limitare le terze parti;

  • estensioni/plug-in per gestire blocchi e preferenze;

  • segnali come “Do Not Track”: esistono, ma non sono uno standard giuridico vincolante e non c’è garanzia che i siti li rispettino.

Chi è tenuto a informare gli utenti e ad acquisirne il consenso?

L’obbligo ricade sul gestore del sito, in qualità di titolare del trattamento, per i cookie e i tracciamenti che decide di attivare sul proprio sito.
Se sul sito operano terze parti, il gestore deve comunque assicurare trasparenza e controllo preventivo (blocco fino al consenso) per i tracciamenti non tecnici.

E se il sito consente la trasmissione di cookie di terza parte cosa si deve fare?

Se sono presenti terze parti:

  • l’utente deve essere informato in modo chiaro che sul sito possono operare tracciamenti di terzi;

  • i cookie/strumenti non tecnici di terza parte devono restare bloccati fino a consenso;

  • nell’informativa estesa vanno riportate le terze parti (o almeno le categorie di terze parti) e i rinvii alle loro informative, oltre a indicazioni pratiche per esercitare le scelte.

Si può escludere che il consenso venga acquisito dalle terze parti per il tramite del sito “prima parte”?

No: è possibile che il consenso venga raccolto anche tramite il sito “prima parte” (ad esempio tramite una piattaforma di gestione consensi), purché:

  • l’utente riceva un’informativa chiara e coerente;

  • la scelta sia realmente libera e granulare;

  • siano definiti correttamente ruoli e responsabilità tra i soggetti coinvolti (titolari/contitolari/responsabili, a seconda dei casi).

Sono obbligatori i cookie?

No. Tuttavia, alcuni cookie tecnici sono necessari per far funzionare servizi richiesti dall’utente (es. autenticazione, aree riservate, home banking, carrello acquisti).
I cookie non tecnici (marketing/profilazione) non sono “obbligatori”: l’utente deve poterli rifiutare senza essere bloccato dal sito, salvo casi particolari da valutare (ad esempio accesso a un servizio davvero equivalente senza consenso, caso per caso).

Quali sono le diverse tipologie di cookie?

In generale:

  • cookie tecnici: necessari al funzionamento del sito o a fornire un servizio richiesto (navigazione/sessione, autenticazione, funzionalità);

  • cookie analytics: possono essere “assimilabili ai tecnici” solo se configurati e usati per mere statistiche con misure di minimizzazione e senza uso ulteriore; altrimenti richiedono consenso;

  • cookie di profilazione/marketing: usati per tracciare l’utente e creare profili o mostrare pubblicità/contatti personalizzati; richiedono consenso preventivo.

Ultima verifica: 30/01/2026