
Nel panorama del diritto dell’economia digitale, la regolamentazione dei cookie e degli altri strumenti di tracciamento rappresenta uno dei bivi più complessi tra le esigenze di monetizzazione dei provider web e la fondamentale tutela della riservatezza dei dati personali degli utenti.
L’evoluzione normativa e provvedimentale, culminata nelle Linee guida del Garante per la protezione dei dati personali e nelle disposizioni del GDPR (Regolamento UE 2016/679), ha delineato un quadro rigoroso volto a restituire all’interessato il pieno controllo della propria identità digitale.
- Inquadramento Sistematico: La Natura Giuridica dei Cookie
Sotto il profilo tecnico-giuridico, i cookie sono piccoli file di testo che i siti web visitati inviano al terminale dell’utente, dove vengono memorizzati per essere poi ritrasmessi alla visita successiva. Il quadro regolatorio si fonda sulla distinzione tra due macro-categorie di dispositivi, individuate in base alle finalità del trattamento:
- Cookie Tecnici
Sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione” (art. 122, comma 1, Codice della Privacy).
Base giuridica: Non richiedono il consenso preventivo dell’utente, in quanto strettamente necessari all’erogazione del servizio richiesto. È tuttavia obbligatorio darne menzione nell’informativa sul trattamento dei dati.
- Cookie di Profilazione (e Tracciamento delle Preferenze)
Sono volti a ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte. Lo scopo principale è la creazione di un profilo dell’utente per l’invio di pubblicità comportamentale mirata (behavioral advertising) e la personalizzazione dei servizi.
Base giuridica: Possono essere installati esclusivamente previa manifestazione di un consenso libero, specifico, informato e inequivocabile da parte dell’interessato.
- Il Consenso Digitale alla luce del GDPR e del Garante
Il fulcro della tutela della privacy risiede nelle modalità con cui il titolare del trattamento raccoglie il consenso all’attivazione dei tracker di profilazione. Il quadro applicativo italiano ed europeo vieta qualsiasi meccanismo di acquisizione passiva o fittizia del consenso:
Illecito dello “Scrolling“: La mera prosecuzione della navigazione (attraverso lo scorrimento della pagina o il click su altre aree del sito) non costituisce una manifestazione attiva e inequivocabile di volontà e, pertanto, non può essere considerata un consenso valido.
Divieto di “Cookie Wall”: È illegittimo subordinare l’accesso ai contenuti di un sito web all’accettazione indiscriminata dei cookie di tracciamento. Tale pratica inficia il requisito della “libertà” del consenso previsto dal GDPR, salvo rari casi in cui venga offerta un’alternativa equivalente priva di tracciamento.
Consenso Granulare:
L’utente deve poter scegliere in modo selettivo quali categorie di cookie autorizzare (es. funzionali, statistici o di profilazione pubblicitaria). Le caselle di spunta o gli toggle non devono mai essere preselezionati.
- Requisiti di Conformità del Cookie Banner
Per garantire la compliance alle prescrizioni delle autorità di controllo, il primo punto di contatto con l’utente – il cookie banner – deve rispettare precisi standard di progettazione giuridica ed ergonomica (privacy by design):
Pulsante di Rifiuto Immediato: Il banner deve contenere un comando (come una “X” in alto a destra o un pulsante equivalente “Rifiuta tutti”) che consenta di chiudere la finestra mantenendo le impostazioni di default, ossia l’attivazione dei soli cookie tecnici.
Parità di Rilievo Grafico: I comandi per accettare tutti i cookie e per rifiutarli devono avere la medesima evidenza visiva, colori equivalenti e pari accessibilità. L’uso di dark patterns (interfacce manipolatorie) costituisce una violazione diretta.
Registro dei Consensi: Il titolare del trattamento deve essere in grado di dimostrare di aver ottenuto un consenso valido ai sensi dell’art. 7.1 del GDPR. Tale prova informatica deve essere registrata e conservata in modo sicuro
- Profili di Responsabilità e Profili Sanzionatori
La violazione delle regole in materia di tracciamento ed espressione delle preferenze comporta l’applicazione delle pesanti sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR, che possono giungere fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente della società coinvolta.



