Cosa richiede il GDPR da un banner cookie

Il GDPR e la Direttiva ePrivacy stabiliscono cinque regole non negoziabili per il consenso ai cookie:

• Liberamente dato: Rifiutare i cookie deve essere facile quanto accettarli.
• Specifico: Il consenso deve essere richiesto separatamente per ogni finalità.
• Informato: Gli utenti devono sapere a cosa acconsentono prima di acconsentire.
• Inequivocabile: Le caselle pre-selezionate e la prosecuzione della navigazione non contano.
• Revocabile: Gli utenti devono poter revocare il consenso in qualsiasi momento.

Esempio 1: Il banner "Solo accetta" (Non conforme)

Come appare

Una piccola barra con "Utilizziamo cookie per migliorare la tua esperienza" e un unico pulsante "OK". Nessuna opzione di rifiuto, nessuna impostazione.

Perché fallisce

Nessuna scelta reale, nessuna informazione sui cookie, nessun modo per rifiutare. La CNIL ha multato Google per 150 milioni EUR e Facebook per 60 milioni EUR nel 2022 per esattamente questo modello.

Verdetto: Illegale ai sensi del GDPR.

Esempio 2: Accetta tutto + piccolo link "Gestisci preferenze" (Non conforme)

Come appare

Un pulsante prominente "Accetta tutto" con un piccolo link grigio "Gestisci preferenze". Nessun pulsante "Rifiuta tutto".

Perché fallisce

La gerarchia visiva spinge gli utenti verso l'accettazione. Rifiutare richiede due clic mentre accettare ne richiede uno. Più garanti hanno stabilito che questo non è consenso liberamente dato.

Verdetto: Non conforme. Rifiuta deve essere accessibile quanto Accetta.

Esempio 3: Pulsanti Accetta e Rifiuta uguali (Conforme)

Come appare

Due pulsanti della stessa dimensione: "Accetta tutto" e "Rifiuta tutto". Sotto, un link "Gestisci preferenze". Breve spiegazione delle finalità dei cookie.

Perché funziona

Scelta libera genuina, entrambe le opzioni ugualmente prominenti, un clic ciascuna. Questo è il modello raccomandato esplicitamente dalla CNIL.

Verdetto: Conforme. La base che ogni sito web dovrebbe rispettare.

Esempio 4: Il cookie wall (Non conforme)

Come appare

Overlay a schermo intero che blocca tutti i contenuti. L'unica opzione è "Accetta cookie".

Perché fallisce

Articolo 7(4) del GDPR — il consenso non è libero se l'accesso al servizio è condizionato. Il garante olandese ha concluso che i cookie wall generalmente non sono consentiti.

Verdetto: Non conforme nella maggior parte delle giurisdizioni UE.

Esempio 5: Caselle pre-selezionate (Non conforme)

Come appare

Banner dettagliato che mostra categorie di cookie con caselle — ma tutte pre-selezionate.

Perché fallisce

La sentenza Planet49 della CGUE (2019) ha risolto definitivamente: le caselle pre-selezionate non costituiscono consenso valido. Il consenso richiede un'azione affermativa chiara.

Verdetto: Esplicitamente illegale secondo la giurisprudenza CGUE.

Esempio 6: L'approccio a strati (Conforme — Best practice)

Come appare

Primo strato: banner compatto con pulsanti Accetta tutto, Rifiuta tutto e Personalizza. Secondo strato: centro preferenze dettagliato con toggle per categoria e lista fornitori. Terzo strato: informativa cookie completa.

Perché funziona

Bilancia informazione e usabilità. Il primo strato offre la scelta, il secondo i dettagli, il terzo la trasparenza totale. Raccomandato esplicitamente dall'EDPB.

Verdetto: Best practice. Il gold standard per la conformità.

Esempio 7: Etichette dei pulsanti fuorvianti (Non conforme)

Come appare

"Accetto" contro "Non accetto di rifiutare i cookie non essenziali". Oppure: "Accetta impostazioni consigliate" contro "Usa versione limitata".

Perché fallisce

Il considerando 42 del GDPR richiede un linguaggio chiaro e semplice. Doppie negazioni, conseguenze implicite ed etichette manipolative non sono conformi.

Verdetto: Non conforme. Utilizzare etichette chiare e neutrali.

Esempio 8: Il banner conforme fatto bene

Come appare

Una barra inferiore pulita con: titolo chiaro, breve spiegazione, tre pulsanti con lo stesso stile (Accetta tutto, Rifiuta tutto, Gestisci preferenze) e un link all'informativa cookie. Gestisci preferenze apre un centro preferenze con toggle individuali, lista fornitori e pulsante Salva.

Perché funziona

Soddisfa tutti i requisiti: scelta libera, pulsanti simmetrici, informazioni a strati, linguaggio semplice, nessuna casella pre-selezionata, facile revoca tramite icona impostazioni cookie.

Verdetto: Pienamente conforme.

Multe reali per banner scorretti

• Google (Francia, 2022): 150 milioni EUR — l'opzione di rifiuto era più difficile da trovare rispetto all'accettazione.
• Facebook (Francia, 2022): 60 milioni EUR — stesso problema di asimmetria.
• Microsoft (Francia, 2022): 60 milioni EUR — cookie pubblicitari impostati senza consenso valido.
• TikTok (Francia, 2023): 5 milioni EUR — rifiutare i cookie richiedeva più passaggi che accettare.

Checklist di conformità

• C'è un pulsante "Rifiuta tutto" visibile sul primo strato?
• Accetta e Rifiuta sono ugualmente prominenti?
• Tutte le caselle sono deselezionate per impostazione predefinita?
• Il banner viene mostrato prima che i cookie non essenziali vengano impostati?
• Gli utenti possono accedere a controlli granulari per categoria?
• Il consenso viene registrato con timestamp?
• Gli utenti possono modificare il consenso in qualsiasi momento?
• Il banner è nella lingua dell'utente?
• Cliccando Rifiuta si impediscono effettivamente i cookie non essenziali?

Come FlexyConsent gestisce tutto questo nativamente

FlexyConsent è una CMP certificata da Google con supporto IAB TCF 2.3. Risponde a ogni requisito di conformità:

• Pulsanti Accetta e Rifiuta uguali sul primo strato
• Approccio a strati integrato (primo strato per la scelta, secondo per i controlli granulari)
• Nessuna casella pre-selezionata — tutte le categorie opzionali deselezionate per impostazione predefinita
• Google Consent Mode V2 integrato nativamente
• 43 lingue con rilevamento automatico
• Geo-targeting per banner specifici per regione
• Registrazione del consenso e prove per audit
• Piani da 0 EUR/mese

Configura un banner conforme in meno di cinque minuti su panel.flexyconsent.com.