Il fondamento giuridico

Gli obblighi relativi al consenso ai cookie derivano dal GDPR (Regulation 2016/679) e dalla ePrivacy Directive (2002/58/EC). La ePrivacy Directive richiede il consenso prima di memorizzare informazioni sul dispositivo dell'utente (Article 5(3)), mentre il GDPR definisce il consenso valido (Article 4(11), Article 7, Recital 32).

I 14 requisiti

1. Consenso preventivo

I cookie non essenziali non devono essere attivati prima che l'utente acconsenta. L'Article 5(3) della ePrivacy Directive è esplicito. CNIL ha multato Google per 150 milioni di EUR (2022) per aver caricato cookie prima dell'interazione dell'utente.

2. Consenso libero

Il consenso non può essere una condizione per l'accesso (GDPR Article 4(11)). Non è consentito accorpare il consenso ai cookie con i termini di servizio.

3. Selezione granulare delle finalità

Gli utenti devono acconsentire a ciascuna finalità separatamente — analisi, pubblicità, funzionale (GDPR Recital 43). Un unico pulsante "Accetta tutto" senza la selezione delle categorie non è sufficiente.

4. Pari evidenza per Accetta e Rifiuta

Rifiuta deve essere visibile quanto Accetta. CNIL richiede un pulsante "Rifiuta tutto" nel primo livello con pari evidenza visiva. Microsoft è stata multata per 60 milioni di EUR (2022) anche per aver nascosto l'opzione di rifiuto.

5. Nessuna casella preselezionata

Sentenza CJEU Planet49 (C-673/17, 2019): le caselle preselezionate non costituiscono consenso valido. Tutte le categorie devono essere disattivate per impostazione predefinita.

6. Nessun cookie wall

Bloccare l'accesso al sito finché non viene dato il consenso è generalmente non conforme. L'EDPB e la DPA olandese lo hanno confermato.

7. Linguaggio chiaro e semplice

GDPR Article 7(2) — le richieste di consenso devono utilizzare un linguaggio chiaro e semplice. "Utilizziamo i cookie per migliorare la tua esperienza" non è sufficiente.

8. Corrispondenza linguistica

GDPR Article 12(1) — le informazioni devono essere comprensibili. Il banner deve corrispondere alla lingua del sito web.

9. Link alla cookie policy

GDPR Articles 13-14 richiedono informazioni complete. Il banner deve contenere un link a una cookie policy completa che elenchi tutti i cookie.

10. Revoca semplice

GDPR Article 7(3) — la revoca deve essere facile quanto il consenso. Un widget persistente o un link nel footer deve consentire di riaprire l'interfaccia di consenso.

11. Registrazione del consenso

GDPR Article 7(1) — è necessario dimostrare che il consenso è stato ottenuto. Registrare timestamp, scelte e versioni del banner.

12. Comunicazione a terzi

GDPR Article 13(1)(e) — indicare tutti i destinatari terzi dei dati. Con TCF 2.3, l'elenco dei fornitori deve essere accessibile dall'interfaccia di consenso.

13. Trasparenza sulla conservazione dei dati

GDPR Article 13(2)(a) — indicare per quanto tempo i cookie persistono.

14. Responsività mobile

Nessuna esenzione GDPR per il mobile. I pulsanti devono essere cliccabili, il testo leggibile e l'interfaccia funzionale su tutti gli schermi.

Checklist di audit rapida

• Nessun cookie non essenziale si attiva prima del consenso
• Accetta e Rifiuta sono ugualmente visibili nel primo livello
• La selezione per singola categoria è disponibile
• Nessun toggle preselezionato per le categorie non essenziali
• Il sito è accessibile anche se l'utente rifiuta tutto
• La lingua del banner corrisponde a quella del contenuto
• Linguaggio semplice e non tecnico
• Link alla cookie policy completa visibile sul banner
• La cookie policy elenca ogni cookie per nome, finalità e durata
• Un widget persistente permette di riaprire l'interfaccia di consenso
• La revoca del consenso richiede lo stesso numero di clic del consenso
• I record di consenso sono registrati con timestamp
• I destinatari terzi sono indicati
• Il banner è funzionale sui dispositivi mobili
• Nessun colore, dimensione o formulazione manipolativa

Automatizza tutto: FlexyConsent gestisce ogni requisito — CMP certificato Google con IAB TCF 2.3, Consent Mode V2, oltre 43 lingue, piani a partire da 0 EUR/mese. Inizia su panel.flexyconsent.com.