Funzionalità Consent Mode Normativa News Partner Contatti
Italiano Italiano English English Español Español Français Français Deutsch Deutsch
Accedi Richiedi Accesso

Normativa GDPR e Cookie

Tutto quello che devi sapere sulla normativa europea per la protezione dei dati e la gestione dei cookie

gavel Il GDPR e i Cookie

Il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) è la normativa europea che disciplina il trattamento dei dati personali. In vigore dal 25 maggio 2018, il GDPR ha rivoluzionato il modo in cui le aziende devono gestire i dati degli utenti online.

Per quanto riguarda i cookie e le tecnologie di tracciamento, il GDPR stabilisce che il consenso dell'utente deve essere libero, specifico, informato e inequivocabile. Questo significa che ogni sito web che utilizza cookie non essenziali deve ottenere il consenso esplicito prima di installarli.

Importante: Il GDPR si applica a tutti i siti web che trattano dati di utenti residenti nell'Unione Europea, indipendentemente da dove ha sede l'azienda.

A chi si applica il GDPR?

  • Siti web ed e-commerce che raccolgono dati di utenti UE
  • Applicazioni web e mobile che utilizzano cookie o tecnologie di tracciamento
  • Piattaforme che offrono servizi a utenti nell'Unione Europea
  • Qualsiasi attività online che tratta dati personali di cittadini europei

cookie Cookie Banner: Obblighi e Requisiti

Il cookie banner è lo strumento principale attraverso cui un sito web informa gli utenti sull'utilizzo dei cookie e raccoglie il loro consenso. Secondo la normativa vigente, il banner deve apparire alla prima visita dell'utente e deve rispettare precisi requisiti tecnici e legali.

Elementi obbligatori del Cookie Banner

  • Informativa chiara: Spiegazione semplice e comprensibile di quali cookie vengono utilizzati e per quale scopo
  • Pulsante di accettazione: Un pulsante chiaro per accettare tutti i cookie
  • Pulsante di rifiuto: Un pulsante altrettanto visibile per rifiutare i cookie non essenziali
  • Gestione granulare: La possibilità di scegliere quali categorie di cookie accettare

Attenzione: Continuare la navigazione o lo scroll della pagina NON può essere considerato come consenso valido. Il Garante Privacy ha chiarito che il consenso deve essere un'azione esplicita e positiva.

policy Linee Guida del Garante Privacy 2022

Con il provvedimento del 10 giugno 2021 (entrato in vigore il 9 gennaio 2022), il Garante per la Protezione dei Dati Personali ha emanato le nuove "Linee guida cookie e altri strumenti di tracciamento". Queste linee guida hanno introdotto importanti novità che ogni sito web deve rispettare.

Le principali novità

block Blocco preventivo

I cookie non essenziali devono essere bloccati fino a quando l'utente non fornisce il consenso esplicito.

close Pulsante di rifiuto

Il banner deve avere un pulsante di rifiuto con la stessa visibilità del pulsante di accettazione.

tune Consenso granulare

L'utente deve poter scegliere singolarmente le categorie di cookie da accettare.

no_encryption No cookie wall

Non è consentito condizionare l'accesso al sito all'accettazione dei cookie (con alcune eccezioni).

swipe_down No scroll come consenso

Lo scroll della pagina non può più essere considerato come forma di consenso valido.

settings_backup_restore Revoca del consenso

L'utente deve poter revocare il consenso in qualsiasi momento in modo semplice e veloce.

Validità del consenso

Il consenso ai cookie ha una validità massima di 6 mesi, trascorsi i quali il banner deve essere ripresentato all'utente. Inoltre, il consenso deve essere documentato e conservato per poter dimostrare la conformità in caso di controlli.

checklist Requisiti Tecnici per la Conformità

Per essere conformi alla normativa, il tuo sito web deve soddisfare una serie di requisiti tecnici specifici. Ecco un elenco completo di cosa è necessario implementare:

Cookie Banner

  • Deve apparire alla prima visita dell'utente
  • Deve contenere un'informativa breve chiara e comprensibile
  • Deve avere un pulsante per accettare e uno per rifiutare con pari evidenza
  • Deve permettere la gestione granulare delle categorie di cookie
  • Deve essere accessibile in ogni momento per modificare le preferenze
  • Non deve utilizzare pratiche ingannevoli (dark patterns)

Blocco preventivo degli script

  • Tutti i cookie non essenziali devono essere bloccati prima del consenso
  • Gli script di terze parti (Google Analytics, Facebook Pixel, ecc.) devono essere caricati solo dopo il consenso
  • Il blocco deve essere implementato lato server o tramite tag manager
  • I cookie tecnici necessari al funzionamento del sito sono esenti dal blocco

Registro dei consensi

  • Ogni consenso deve essere registrato con timestamp
  • Deve essere possibile identificare l'utente che ha dato il consenso
  • Le preferenze espresse devono essere conservate
  • Il registro deve essere accessibile per eventuali verifiche del Garante

Documentazione necessaria

  • Privacy Policy aggiornata e dettagliata
  • Cookie Policy con elenco completo dei cookie utilizzati
  • Registro dei trattamenti (per aziende con più di 250 dipendenti)

history L'Archivio dei Consensi

L'archivio dei consensi (o registro dei consensi) è un obbligo introdotto dal GDPR che richiede ai titolari del trattamento di poter dimostrare che il consenso è stato effettivamente ottenuto. Questo vale non solo per i cookie, ma per qualsiasi forma di consenso raccolta online.

Art. 7 GDPR: "Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali."

Cosa significa in pratica?

Ogni volta che un utente interagisce con un meccanismo di consenso sul tuo sito (cookie banner, form di contatto, iscrizione newsletter, ecc.), devi conservare una prova di tale consenso. Questa prova deve includere chi ha dato il consenso, quando, a cosa e come.

Quali consensi archiviare?

Tutti i consensi raccolti tramite il tuo sito web devono essere archiviati e conservati. Ecco i principali:

cookie Consenso Cookie

Ogni interazione con il cookie banner deve essere registrata con le preferenze espresse.

mail Form di Contatto

Il consenso al trattamento dati espresso tramite i moduli di contatto.

newspaper Newsletter

L'iscrizione alla newsletter con prova del consenso (double opt-in).

shopping_cart E-commerce

Consensi relativi a termini di servizio, marketing e profilazione.

person_add Registrazione Utente

Il consenso espresso durante la creazione di un account.

campaign Marketing & Profilazione

Consensi specifici per attività di marketing diretto e profilazione.

Contenuto del registro

Ogni record del registro dei consensi deve contenere le seguenti informazioni:

  • Identificativo utente: Email, ID utente o altro identificativo univoco
  • Timestamp: Data e ora esatta in cui il consenso è stato espresso
  • Tipo di consenso: Cookie, privacy policy, marketing, ecc.
  • Versione dell'informativa: A quale versione della privacy/cookie policy l'utente ha acconsentito
  • Modalità: Come è stato raccolto il consenso (banner, form, checkbox, ecc.)

Attenzione: La mancata conservazione dei consensi può comportare sanzioni significative. In caso di ispezione, dovrai essere in grado di dimostrare che ogni consenso è stato legittimamente ottenuto.

Consentio automatizza la raccolta e l'archiviazione di tutti i consensi, generando un registro completo e a prova di audit, sempre disponibile per eventuali verifiche.

warning Sanzioni per Non Conformità

Il mancato rispetto della normativa GDPR e delle linee guida del Garante Privacy può comportare sanzioni amministrative molto severe. Le multe possono arrivare fino al 4% del fatturato annuo globale dell'azienda o fino a 20 milioni di euro, a seconda di quale importo sia maggiore.

Sanzione massima: Fino a 20 milioni di euro o il 4% del fatturato annuo mondiale, a seconda di quale importo sia superiore.

Esempi di sanzioni in Italia

  • Mancanza del cookie banner: Sanzioni da €10.000 a €120.000
  • Cookie installati senza consenso: Sanzioni da €6.000 a €36.000 per ogni violazione
  • Informativa privacy inadeguata: Sanzioni da €6.000 a €36.000
  • Mancata registrazione dei consensi: Sanzioni fino a €20.000.000 o 4% del fatturato
  • Trasferimento dati extra-UE non conforme: Sanzioni fino a €20.000.000 o 4% del fatturato

Non rischiare sanzioni che potrebbero mettere in ginocchio la tua attività. La conformità al GDPR non è un optional, è un obbligo di legge. Consentio ti aiuta a metterti in regola in pochi minuti.

analytics Google Consent Mode v2

A partire da marzo 2024, Google richiede che tutti i siti web che utilizzano servizi Google (Analytics, Ads, Tag Manager) implementino il Consent Mode v2. Senza questa implementazione, i dati di conversione e analytics potrebbero andare persi.

Cos'è il Consent Mode?

Google Consent Mode è un'API che permette di comunicare a Google lo stato del consenso degli utenti. In base al consenso ottenuto, Google adatta il comportamento dei propri tag e servizi, garantendo il rispetto della privacy degli utenti.

Dal marzo 2024: Google richiede l'implementazione del Consent Mode v2 per continuare a raccogliere dati di conversione e remarketing nell'Area Economica Europea (EEA) e nel Regno Unito.

Parametri del Consent Mode v2

  • ad_storage: Controlla l'utilizzo dei cookie per la pubblicità
  • analytics_storage: Controlla l'utilizzo dei cookie per le analisi
  • ad_user_data: Controlla l'invio dei dati utente a Google per la pubblicità
  • ad_personalization: Controlla la personalizzazione degli annunci

Consentio è certificato come CMP (Consent Management Platform) compatibile con Google Consent Mode v2. L'integrazione è automatica e non richiede configurazione aggiuntiva.

Vuoi verificare se il tuo sito è conforme?

Utilizza il nostro strumento gratuito di verifica per scoprire lo stato di conformità del tuo sito web.

search Verifica Gratuita