Garante Privacy: la chiarezza come priorità nella gestione dei cookie
Come è noto, la corretta gestione dei cookie parte già dall’impostazione del banner ma questo non è l’unico elemento di cui si deve tenere conto. Un presupposto fondamentale è infatti quello della chiarezza che svolge la duplice funzione di esprimere il principio di trasparenza ed integrare il fondamento di liceità del consenso, che costituisce l’unica base giuridica per le attività di trattamento svolte tramite cookie non di natura tecnica.
Nel corso della conduzione degli accertamenti a campione all’interno del settore dell’e-commerce per la verifica del rispetto delle Linee guida in materia di cookie e altri strumenti di tracciamento, l’Autorità Garante per la protezione dei dati personali ha avuto occasione di affrontare questo aspetto con il provv. n. 391 del 10 luglio 2025.
Già dopo il primo accesso, è stato infatti necessario rivolgere una richiesta di informazioni al titolare, dal momento che il sito faceva utilizzo di cookie, come confermato da una verifica tramite browser, ma:
- presentava un banner cookie che invitava a consultare la cookie policy e avvertiva che in caso di chiusura, scrolling o prosecuzione della navigazione l’utente avrebbe acconsentito all’uso dei cookie;
- pur indicando nel footer i link a privacy e cookie policy, questi indirizzavano a pagine vuote.
Nei chiarimenti resi, il titolare ha precisato che la mancanza delle informative consultabili era dovuta per «un errore di aggiornamento relativo a un plug-in utilizzato per la pubblicazione delle policy», provvedendo alle modifiche del caso, fra cui la modifica del banner a comparsa che riportava un’informativa sintetica e consentiva di accettare, rifiutare o selezionare le scelte in relazione all’utilizzo dei cookie diversi da quelli di natura tecnica.
I rilievi svolti in seguito agli ulteriori controlli e che hanno comportato l’apertura dell’istruttoria hanno riguardato una serie di elementi il cui denominatore, come anticipato, è riconducibile all’aspetto della chiarezza in quanto:
- la configurazione del banner comportava un consenso implicito tramite prosecuzione della navigazione, anziché l’impiego dei soli cookie di natura tecnica;
- il mancato conferimento delle informazioni, che impediva anche la prestazione di un consenso informato e valido sull’utilizzo dei cookie;
- la contraddittorietà delle informazioni rese nella cookie policy e il banner in relazione all’impiego di cookie di terze parti, che venivano rispettivamente esclusi e riportati;
- l’impiego della nomenclatura “finalità di esperienza” non sufficientemente chiara e intellegibile per indicare le finalità;
- la non facile accessibilità delle indicazioni contenuta nel pannello per le scelte granulari.
In un passaggio dell’istruttoria, è ribadito che l’impiego di formule troppo ampie e generiche nell’informativa impatta negativamente sia sul rispetto del principio di trasparenza e correttezza, sia sulla validità del consenso eventualmente prestato.
All’esito dell’istruttoria è stata così confermata la contestazione circa la violazione degli artt. 5, 7, 12, 13, 24 e 25 GDPR e dell’art. 122 del Codice Privacy, nonché delle linee guida su cookie e altri strumenti di tracciamento con l’esito dell’adozione del provvedimento correttivo di ingiunzione a conformare i trattamenti al GDPR:
«adottando una dicitura delle categorie di cookie che sia esplicativa della loro funzione e, nello specifico, sostituire l’attuale qualificazione di cookie di “esperienza” con altra che riassuma in modo chiaro e più intuitivo l’effettiva finalità perseguita» e di rivolgere un ammonimento in luogo di una sanzione, per le specificità dell’accertamento e riconoscendo l’atteggiamento proattivo del titolare.
Questo a conferma che la chiarezza non è un elemento accessorio, bensì un criterio di verifica della tenuta delle misure adottate per garantire l’adempimento degli obblighi informativi.Come è noto, la corretta gestione dei cookie parte già dall’impostazione del banner ma questo non è l’unico elemento di cui si deve tenere conto. Un presupposto fondamentale è infatti quello della chiarezza che svolge la duplice funzione di esprimere il principio di trasparenza ed integrare il fondamento di liceità del consenso, che costituisce l’unica base giuridica per le attività di trattamento svolte tramite cookie non di natura tecnica.
Nel corso della conduzione degli accertamenti a campione all’interno del settore dell’e-commerce per la verifica del rispetto delle Linee guida in materia di cookie e altri strumenti di tracciamento, l’Autorità Garante per la protezione dei dati personali ha avuto occasione di affrontare questo aspetto con il provv. n. 391 del 10 luglio 2025.
Già dopo il primo accesso, è stato infatti necessario rivolgere una richiesta di informazioni al titolare, dal momento che il sito faceva utilizzo di cookie, come confermato da una verifica tramite browser, ma:
- presentava un banner cookie che invitava a consultare la cookie policy e avvertiva che in caso di chiusura, scrolling o prosecuzione della navigazione l’utente avrebbe acconsentito all’uso dei cookie;
- pur indicando nel footer i link a privacy e cookie policy, questi indirizzavano a pagine vuote.
Nei chiarimenti resi, il titolare ha precisato che la mancanza delle informative consultabili era dovuta per «un errore di aggiornamento relativo a un plug-in utilizzato per la pubblicazione delle policy», provvedendo alle modifiche del caso, fra cui la modifica del banner a comparsa che riportava un’informativa sintetica e consentiva di accettare, rifiutare o selezionare le scelte in relazione all’utilizzo dei cookie diversi da quelli di natura tecnica.
I rilievi svolti in seguito agli ulteriori controlli e che hanno comportato l’apertura dell’istruttoria hanno riguardato una serie di elementi il cui denominatore, come anticipato, è riconducibile all’aspetto della chiarezza in quanto:
- la configurazione del banner comportava un consenso implicito tramite prosecuzione della navigazione, anziché l’impiego dei soli cookie di natura tecnica;
- il mancato conferimento delle informazioni, che impediva anche la prestazione di un consenso informato e valido sull’utilizzo dei cookie;
- la contraddittorietà delle informazioni rese nella cookie policy e il banner in relazione all’impiego di cookie di terze parti, che venivano rispettivamente esclusi e riportati;
- l’impiego della nomenclatura “finalità di esperienza” non sufficientemente chiara e intellegibile per indicare le finalità;
- la non facile accessibilità delle indicazioni contenuta nel pannello per le scelte granulari.
In un passaggio dell’istruttoria, è ribadito che l’impiego di formule troppo ampie e generiche nell’informativa impatta negativamente sia sul rispetto del principio di trasparenza e correttezza, sia sulla validità del consenso eventualmente prestato.
All’esito dell’istruttoria è stata così confermata la contestazione circa la violazione degli artt. 5, 7, 12, 13, 24 e 25 GDPR e dell’art. 122 del Codice Privacy, nonché delle linee guida su cookie e altri strumenti di tracciamento con l’esito dell’adozione del provvedimento correttivo di ingiunzione a conformare i trattamenti al GDPR: «adottando una dicitura delle categorie di cookie che sia esplicativa della loro funzione e, nello specifico, sostituire l’attuale qualificazione di cookie di “esperienza” con altra che riassuma in modo chiaro e più intuitivo l’effettiva finalità perseguita;» e di rivolgere un ammonimento in luogo di una sanzione, per le specificità dell’accertamento e riconoscendo l’atteggiamento proattivo del titolare.
Questo a conferma che la chiarezza non è un elemento accessorio, bensì un criterio di verifica della tenuta delle misure adottate per garantire l’adempimento degli obblighi informativi.
