15 Giugno 2025
HomeIntervisteLegge e cookie. Garante risponde agli utenti. Esempi pratici
Interviste

Legge e cookie. Garante risponde agli utenti. Esempi pratici

Roberto Trizio
By Roberto Trizio

Punti chiave

La legge sui Cookie e il Provvedimento con cui il Garante della Privacy ha stabilito come e quando i webmaster devono avvisare della presenza di codici di questo tipo sui loro siti, è certamente il tema dominante di questo periodo.

In una prima intervista, il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali, aveva già dato alcune risposte in merito, ma ora abbiamo avuto la possibilità di tirare le somme e avere un quadro completo della normativa. Molte domande sono state formulate dai nostri utenti e girate alla fonte. Anche in questo caso, le risposte e i dati indicati nell’intervista sono stati revisionati dal Garante prima della pubblicazione.

Legge e cookie. Il Garante risponde agli utenti. Esempi pratici

Il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali
Il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali
Riassumiamo la situazione. Per quanto riguarda i cookie tecnici, quelli necessari al funzionamento del sito, la normativa cosa prevede?

Che ne venga data informativa nella Privacy Policy del sito, senza dover esporre nessun banner.

E i cookie di analisi (quelli usati per le statistiche del sito), ma che non coinvolgono terze parti, e sono totalmente gestiti dal proprietario del sito?

Il Garante l’ha chiarito nel provvedimento dell’8 maggio 2014. I  cookie analitycs sono assimilati ai cookie tecnici quando sono utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata. Quindi anche in questo caso, solo la segnalazione nel sito, ad esempio nella Privacy Policy, nessun banner né blocco.

E se il cookie di analisi coinvolge terze parti?

In questo caso se i dati sono decurtati di elementi identificativi (viene coperta una porzione rilevante dell’ indirizzo IP) e sempre che la terza parte non incroci i dati, si può, anche in questo caso, evitare di esporre il banner e di bloccare i cookie.

Come si fa a capire “la terza parte non incrocia i dati”? Devo avere un foglio scritto? una dichiarazione firmata?

È un elemento che si deve trarre dalle condizioni contrattuali o dalla privacy policy redatta della terza parte. E quindi è la terza parte che si assume la responsabilità di tale dichiarazione.

Il Garante della Privacy spiega caso per caso, come e quando esibire il banner e bloccare i cookie web.
Il Garante della Privacy spiega caso per caso, come e quando esibire il banner e bloccare i cookie web.
Nel caso in cui si utilizzano cookie di analisi di terze parti che però non riducono gli elementi identificativi degli IP e/o potrebbero incrociarli con altre informazioni? 

In questo caso la terza parte ha a disposizione dei cookie analitici con potere identificativo per cui il sito deve utilizzare il “banner” per il blocco preventivo dei cookie, essendo necessario il consenso dell’utente.

Parliamo dei cookie profilanti. In questo caso come ci si deve comportare?

Anche se il cookie di profilazione appartiene ad una terza parte, il webmaster deve esibire il banner, bloccare i cookie a priori, e sbloccarli solamente dopo il consenso dell’utente.

I widget dei social sono considerati profilanti?

Va fatta una verifica e se contengono cookie di profilazione si applica la disciplina relativa. Per quelli invece di mero rinvio ad un link non vi è alcun onere.

C’è un caso però in cui bisogna fare la notificazione al Garante giusto?

Nel caso in cui si abbiano dei cookie profilanti realizzati e utilizzati direttamente dal sito prima parte e quindi è il sito stesso a profilare, bisogna esporre il banner, bloccare i cookie a priori e notificare tale trattamento al Garante.

Chi è tenuto a fare la notificazione e a pagare i diritti di segreteria di 150 euro?

Come per tutti i casi individuati dalla legge in cui è necessario fare la notificazione, è il titolare del trattamento tenuto a tale adempimento. Sul sito del Garante ci sono tutte le indicazioni e le istruzioni.

Facciamo un esempio pratico. Un sito che ha cookie tecnici, cookie di analisi che non coinvolgono una terza parte, e non ha nessun tipo di cookie profilante, che deve fare?

Solo inserire tale elemento nell’informativa della sua Privacy Policy.

Un sito che ha cookie tecnici, cookie di analisi dove la terza parte potrebbe incrociare i dati (non ha garanzia che non lo faccia) e ha anche cookie di profilazione (tipo Google Adsense)?

Banner e blocco preventivo in quanto la presenza di cookie di profilazione, seppure di terza parte, da sola richiede la presenza del Banner.

Nel caso in cui si inseriscano cookie profilanti bisogna sempre eseguire il blocco preventivo e chiedere il consenso
Nel caso in cui si inseriscano cookie profilanti bisogna sempre eseguire il blocco preventivo e chiedere il consenso
Quali sono le condizioni per cui si intende che l’utente ha dato il consenso?

Il garante ha chiaramente indicato nel provvedimento dello scorso anno che la prosecuzione della navigazione selezionando un qualsiasi elemento si considera come prestazione del consenso all’uso dei cookie. Quindi è valido il click sul banner, fuori dal banner e lo scroll.

Quindi lo scroll, su cui ci sono stati dubbi, è valido come consenso?

Si. Lo “scroll”, cioè la prosecuzione della navigazione all’interno della medesima pagina web, come chiarito anche recentemente dalla Autorità, sono considerate in linea con i requisiti di legge, qualora chiaramente indicato nell’informativa.

Bisogna tenere un registro degli utenti che hanno dato il consenso?

Si, le modalità semplificate di acquisizione del consenso individuate dal Garante devono essere in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito prima parte. Si può fare il tutto anche tramite un semplice cookie tecnico.

Immaginiamo che un sito blocchi preventivamente le pubblicità, chiede il consenso ma l’utente glielo nega. L’utente potrà leggere il sito, ma i cookie non si sbloccano, e quindi non vede le pubblicità. Il sito come guadagna?

E’ importante capire che la disciplina mira a consentire agli utenti di poter sapere cosa viene registrato del loro comportamento e di poter decidere se acconsentire o meno ad essere seguiti nel web.  Per cui è giusto che a loro vada la massima protezione e che gli venga data la massima possibilità di scelta, anche se i webmaster perdono una piccola parte dei guadagni. In ogni caso la pubblicità potrà sempre esserci nei siti, al limite sarà “generalista” e non profilata.

Alcuni paesi come Olanda e Spagna hanno già eseguito le prime multe
Alcuni paesi come Olanda e Spagna hanno già eseguito le prime multe
Il Garante non poteva mettersi d’accordo con i browser per bloccare i cookie e lasciar scegliere all’utente, anzichè dare l’onere di tutto questo ai webmaster?

Innanzitutto il Garante non può intervenire al di fuori del dettato normativo. Più volte è stato evidenziato che la legge italiana è frutto del recepimento della direttiva Europea. Comunque il dialogo tra UE e le industrie del settore, che sono nella maggior parte collocate in altri continenti,  è stato avviato da tempo.

La legge è uguale per tutti i paesi dell’Unione Europea? noi siamo i più severi?

Questa direttiva è stata recepita in tutti i paesi dell’Unione. Ci sono alcuni paesi come la Spagna o l’Olanda che hanno già erogato sanzioni per il mancato rispetto della disciplina sui cookie.

La versione UK di questa legge però, viene criticata dagli esperti di privacy in quanto si discosta dalla direttiva perché non prevede un opt-in, un consenso preventivo, ma un opt-out, cioè un consenso successivo alla installazione del cookie. Comunque, c’è chi sta cercando di ottenere consensi per fare una class action contro il Garante, cosa ne pensa?

Personalmente non ho letto nulla al riguardo, ma proporre una class action nei confronti di un’Autorità per modificare una legge dello Stato non mi sembra abbia grande senso.

Vuole dire qualcosa ai nostri lettori?

Il provvedimento sui cookie segue altri recentemente emanati dal Garante. Penso ad esempio a quello che dà prescrizioni a Google inc. o a quello sulla profilazione on-line emanato lo scorso marzo, o ai molteplici interventi sulla profilazione operata ad esempio nel settore delle TLC. Le potenzialità di tracciamento, di arricchimento dei dati, di incrocio degli stessi hanno spostato in avanti il confine della data protection.

In tale ottica il provvedimento sui cookie deve essere letto come un intervento teso a trovare delle soluzioni semplici alla necessità di dare agli utenti della rete la possibilità di conoscere e di decidere come gli altri possono utilizzare i nostri dati in rete.

Il provvedimento, scritto con i contributi delle associazioni dei consumatori, di quelle degli operatori della rete e di esperti del settore, si muove nella cornice normativa attuale e cerca di raggiungere tale risultato operando un bilanciamento proprio tra il diritto degli utenti della rete con il diritto di chi opera nel web sia per fini commerciali che di manifestazione del pensiero.

In questi primi giorni di applicazione del provvedimento abbiamo registrato sia apprezzamenti che critiche. Sono convinto che anche le perplessità manifestate da alcuni saranno a breve superate e alla fine resterà solo un ulteriore conquista data dalla possibilità per ognuno di noi di scegliere liberamente se accettare o meno di essere seguiti per studiare le nostre abitudini o i nostri comportamenti in rete.

Ringraziamo il Dott. Montuori. Per ulteriori chiarimenti sulle sanzioni e la responsabilità in caso di mancata applicazione della legge, rimandiamo alla nostra prima intervista.

Articolo precedente
Cos’è il roaming zero e perché è tanto difficile ottenerlo
Articolo successivo
Apple Music, come funziona lo streaming musicale della Mela
Roberto Trizio
Roberto Triziohttps://www.alground.com
Dopo una formazione classica mi sono specializzato in giornalismo digitale, content marketing e posizionamento SEO semantico. Sono esperto di storia dell'antica Roma, ascolto Michael Jackson e i Coldplay.
Altri articoli

CHI SIAMO

Alground Geopolitica e Cyberwarfare.
Da una idea di Brunilde Trizio

Scrivici: [email protected]

© Copyright Alground 2025 © All rights reserved - Gruppo Trizio - Via del Tritone 132 Roma - Via Fieschi 2 Genova - P.iuva 02701880995