Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Banner cookie non conformi: il Garante Privacy richiama all’ordine

Il Garante per la protezione dei dati personali, con provvedimento del 4 giugno 2025, è intervenuto nuovamente in tema di cookie e strumenti di tracciamento online, richiamando un’azienda operante nel settore dell’e-commerce a correggere le modalità di gestione del proprio sito web.

L’intervento si inserisce in una linea di continuità con le Linee guida sui cookie e altri strumenti di tracciamento del 2021, documento che rappresenta oggi il punto di riferimento per tutti i titolari di siti web. Come ricordato anche nella Relazione annuale 2024, i controlli in materia proseguiranno per tutto il 2025 e costituiscono una delle aree prioritarie di vigilanza dell’Autorità.

Banner cookie non conformi: le criticità emerse

L’analisi del sito web ha messo in luce una serie di irregolarità che riflettono errori diffusi in questo ambito. In particolare:

  • Gestione del banner: la chiusura della finestra con la “X” determinava la ricomparsa costante della richiesta di consenso a ogni accesso successivo, inducendo l’utente a cedere pur di proseguire la navigazione. Si tratta di un tipico dark pattern, già oggetto di contestazioni da parte di diverse autorità europee, poiché mina la libertà effettiva di scelta e provoca la cosiddetta consent fatigue.
  • Informative datate e incomplete: la cookie policy richiamava norme ormai abrogate e ometteva l’indicazione dei destinatari dei dati, mentre la privacy policy includeva riferimenti non più attuali (come quelli all’emergenza sanitaria da Covid-19).
  • Assenza di trasparenza: non era presente un chiaro avviso sulle conseguenze della chiusura del banner, ovvero la prosecuzione della navigazione con i soli cookie tecnici.

In pendenza del procedimento, il titolare aveva modificato il banner, ma in modo ancor meno conforme: le uniche opzioni disponibili erano “Accetto” e “Informativa Privacy”, senza alcuna possibilità di rifiuto o di personalizzazione dei consensi, mentre la cookie policy era stata rimossa dal sito.

Le argomentazioni difensive e la posizione del Garante

La società aveva sostenuto di non disporre delle competenze tecniche per gestire direttamente il sito, affidato a un soggetto terzo. Tuttavia, il Garante ha ribadito un principio cardine del Regolamento (UE) 2016/679 (GDPR): la responsabilità del titolare del trattamento non può essere delegata. Chi decide finalità e mezzi del trattamento resta sempre responsabile della conformità, anche quando si avvale di fornitori esterni.

In questo caso, la mancanza di informative chiare e la gestione scorretta del consenso hanno comportato la violazione di diversi articoli del GDPR: dagli artt. 12 e 13 in tema di trasparenza e diritto all’informazione, fino agli artt. 24 e 25 che sanciscono i principi di responsabilizzazione (accountability) e di protezione dei dati fin dalla progettazione (privacy by design).

La decisione dell’Autorità

Con il provvedimento del 4 giugno, il Garante ha quindi disposto:

  • l’ingiunzione a conformare il sito, configurando un banner che consenta un consenso realmente libero, informato e specifico per i cookie non tecnici;
  • l’integrazione dell’informativa privacy con esplicito riferimento ai trattamenti effettuati tramite cookie e altri strumenti di tracciamento;
  • un ammonimento formale, ritenuto proporzionato rispetto alle circostanze del caso, in luogo di una sanzione pecuniaria.

La scelta di non comminare una multa non deve però far pensare a una minore severità: l’Autorità ha chiarito che il perdurare di condotte simili, in un contesto in cui le regole sono ormai note e consolidate, potrà comportare conseguenze ben più onerose.

Le lezioni per i titolari di siti web

Questo intervento costituisce un monito chiaro per tutti i gestori di siti web ed e-commerce: i banner cookie non sono un dettaglio secondario, ma uno strumento fondamentale per garantire la trasparenza e la correttezza del trattamento dei dati personali.

Gli errori da evitare, ormai ricorrenti, possono essere riassunti in quattro punti:

  1. Delegare la responsabilità al fornitore tecnico, dimenticando che essa resta sempre in capo al titolare.
  2. Mantenere informative obsolete, con riferimenti a norme superate o incomplete.
  3. Forzare il consenso tramite modalità che ostacolano l’esperienza utente o riducono la libertà di scelta.
  4. Trascurare la chiarezza e l’accessibilità: privacy e cookie policy devono essere aggiornate, comprensibili e facilmente reperibili, ad esempio tramite link nel footer del sito.

Il messaggio che arriva dal Garante è dunque netto: chi utilizza cookie e strumenti di tracciamento deve configurare procedure trasparenti e rispettose del GDPR. Non si tratta solo di evitare contestazioni o sanzioni, ma di costruire un rapporto di fiducia con gli utenti, basato su correttezza e chiarezza nella gestione dei loro dati.