NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Banner cookie non conformi: il recente intervento del Garante Privacy insegna come evitare gli errori più comuni

Banner cookie non conformi: il recente intervento del Garante Privacy insegna come evitare gli errori più comuni

Sottostimare un banner cookie pensando che nessuno lo vada a leggere o non possa già di per sé costituire degli elementi di contestazione da parte dell’autorità di controllo è un errore piuttosto comune.

Anche perché, per quanto riguarda i cookie e gli altri strumenti di tracciamento, il Garante Privacy all’interno della Relazione sull’attività 2024 ha già anticipato una parte del piano ispettivo del secondo semestre 2025: "L’attività di verifica in tale specifico ambito proseguirà anche nel corso del 2025, rappresentando una delle linee di priorità fissate dal Garante nella programmazione dei propri interventi", ponendosi così in linea di continuità e confermando la prosecuzione di un’attività iniziata in seguito all’adozione delle Linee guida cookie e altri strumenti di tracciamento del 2021.

All’interno del provvedimento n. 327 del 4 giugno 2025, emerge come il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza abbia condotto e conduca un’attività ispettiva su delega del Garante su campioni di operatori per ambiti tramite accertamenti online.

In seguito agli accessi ad un sito web di e-commerce, sono state così rilevate diverse non conformità relative alla gestione dei cookie la cui analisi consente di esplorare alcuni degli errori più comuni e diffusi da parte dei titolari del trattamento nella gestione di un sito web e nell’impostazione dei cookie e degli strumenti di tracciamento.

Il primo, che è la premessa fondamentale, sta nel ritenere che la responsabilità a riguardo possa essere in qualche modo delegata o diminuita per il fatto, peraltro citato all’interno della memoria difensiva, di non possedere “competenze tecniche per aggiornare direttamente l’informativa cookie”. Eppure, basta ricordare infatti che nel sistema del GDPR le responsabilità si aggiungono e non si sottraggono per comprendere che è e resta ineliminabile ogni onere relativo al titolare per la corretta gestione degli aspetti di protezione dei dati personali nel caso in cui si avvale di cookie o altri strumenti di tracciamento all’interno del proprio sito web. In particolar modo, quello della trasparenza nel fornire un’informativa in modo completo e corretto, nonché quello della liceità nell’acquisire, qualora sia necessario, un consenso valido da parte dell’utente.

Per quanto riguarda l’aspetto di trasparenza e liceità, il banner cookie è uno strumento che contemporaneamente presenta informazioni relative al trattamento dei dati personali degli utenti e viene impiegato per acquisire il consenso per l’impiego di cookie e strumenti di tracciamento di natura non tecnica. Una corretta impostazione dello stesso richiede pertanto una particolare attenzione all’esperienza utente in tal senso: dalla comparsa del banner alle interazioni possibili anche per garantire un consenso informato, libero e specifico.

Nel caso in esame, il banner presentava le opzioni di accettare tutti i cookie o altrimenti di personalizzarne le impostazioni, non proponendo in modo chiaro un’alternativa di rifiuto per tutti i cookie con un “Rifiuta tutti”. Per quanto ciò non risponda alle migliori prassi, non è di per sé una violazione se viene presentata l’alternativa di rifiutare tutti i cookie in uno dei successivi passaggi dell’informativa (es. nella gestione delle impostazioni, come chiarito dal report della taskforce EDBP relativa ai banner cookie) anche se alcune autorità di controllo europee hanno adottato un approccio restrittivo imponendo, di fatto, le due opzioni già nel primo livello di informativa.

Con la chiusura del banner, invece, la navigazione proseguiva con le impostazioni di default in assenza di cookie e tracciamenti non di natura tecnica ma ad ogni successivo accesso la richiesta veniva ripresentata. Questo invece è un dark pattern piuttosto diffuso, largamente impiegato e già oggetto di contestazione in quanto provoca la c.d. consent fatigue forzando, di fatto, l’esperienza utente verso l’accettazione dei cookie per evitare la riproposizione della richiesta.

Infine, i rilievi del Garante Privacy hanno riguardato anche la carenza di un avvertimento circa le conseguenze della chiusura del banner, ovverosia la permanenza delle impostazioni di default e la navigazione con i soli cookie tecnici.

L’aspetto specifico della trasparenza - che ovviamente impatta anche sulla validità dei consensi acquisiti – richiede che la cookie policy sia presente anche nell’ipotesi dell’adozione dei soli cookie di natura tecnica (per cui non è richiesto alcun consenso dell’utente) e che in ogni caso risponda ai criteri di forma e contenuto generalmente prescritti nell’ambito delle informazioni da fornire agli interessati (artt. 12, 13 e 14 GDPR). È possibile formularla in modo stratificato, può essere altresì inserita all’interno della privacy policy generale come capo dedicato alla gestione dei cookie o con rinvio ad un’informativa dedicata. Ciò che conta è che sia chiara, completa e messa a disposizione degli utenti, ad esempio, con l’inserimento di un link all’interno del footer del sito web.

Nel caso citato, il titolare aveva inserito i link nel footer del sito a privacy e cookie policy, nonché allo strumento di gestione dei cookie, ma la privacy policy faceva riferimento a ” norme in materia di protezione dei dati personali non più in vigore” e la cookie policy “a norme di legge abrogate e non contiene l’indicazione dei destinatari dei dati” e non indicava i destinatari dei dati. In pendenza del procedimento, inoltre, la cookie policy non risultava più reperibile e non c’era alcun riferimento al trattamento dei dati degli utenti in questo ambito nelle informazioni fornite all’interno della privacy policy.

La sola navigazione del sito e l’aspetto del banner cookie ha così comportato la contestazione della violazione degli artt. 5, 7, 12, 13, 24 e 25 GDPR, oltre che dell’art. 122 del Codice Privacy e delle Linee guida cookie e altri strumenti di tracciamento del 2021. La chiusura del procedimento ha portato all’adozione del potere correttivo dell’ingiunzione (art. art. 58, par. 2, lett. d) GDPR) la prescrizione dei correttivi da applicare, nonché un ammonimento in luogo della sanzione pecuniaria "in ragione delle specificità dell’accertamento".

Prima di fare l’errore di ritenere che ulteriori violazioni simili potranno comunque portare a misure non di carattere sanzionatorio, è opportuno notare che l’accertamento risale al 2023 e la frequenza degli interventi del Garante in un determinato ambito con cui si sono evidenziate criticità e fornite indicazioni per adeguare i trattamenti alla normativa costituisce invece un elemento che può solo aggravare la responsabilità del titolare.

Note sull'Autore

Stefano Gazzella Stefano Gazzella

Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia. Web: www.gdpready.it 

Articoli correlati

Prev Tracciatori online e responsabilità del Data Protection Officer: tra valutazione d’impatto, profilazione e strategia
Next I controlli troppo invasivi sulla vita privata del dipendente in malattia violano il GDPR

Galleria Video

Il presidente di Federprivacy alla trasmissione Ore 12 su CR1 TV

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza