Tutti gli articoli del nostro blog

Garante privacy e cookie: guida alla conformità per i siti web italiani

Close
Tempo di lettura
6 min
Pubblicato
Giu 22, 2026
Condividi
  • Dal 2022 il Garante ispeziona i siti web a campione con la Guardia di Finanza: nessun sito è troppo piccolo per finire nel mirino
  • Scrolling, inattività e prosecuzione della navigazione non costituiscono consenso valido: serve sempre un'azione positiva e inequivocabile dell’utente
  • Il cookie banner non è solo una formalità: la legge prescrive esattamente cosa deve contenere e come deve essere strutturato
  • I casi Enel Energia, TIM e Wind Tre dimostrano che il Garante sanziona anche i grandi gruppi: 79,1 milioni, 27,8 milioni e 16,7 milioni di euro rispettivamente
  • Cercare di adeguarsi manualmente alle normative sulla privacy è rischioso: un singolo script di terze parti implementato prima dell’ottenimento del consenso può rendere il sito non conforme

Il Garante per la protezione dei dati personali è una delle autorità di controllo più attive in Europa. Dal 2022 in poi ha avviato campagne di ispezione sistematiche sui siti web italiani, con accertamenti condotti dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Se gestisci un sito web, questa guida ti spiega cosa è necessario fare concretamente per agire in conformità alle normative.

Cos'è il Garante privacy e che poteri ha?

Il Garante per la protezione dei dati personali è l'autorità amministrativa indipendente istituita in Italia nel 1996, oggi operante nell'ambito del GDPR e del Codice Privacy (D.Lgs. 196/2003). Rispetto ad altre autorità europee, il Garante si distingue per un approccio particolarmente attivo: avvia ispezioni d'ufficio, risponde ai reclami degli utenti e ha una lunga storia di provvedimenti sia contro grandi aziende che PMI.

I suoi poteri principali sono:

  • Investigativi: accesso ai locali, richiesta di documenti, audizione dei titolari del trattamento.
  • Correttivi: ammonimenti, ingiunzioni, limitazione o divieto del trattamento.
  • Sanzionatori: multe fino a 20 milioni di euro o al 4% del fatturato annuo globale.
  • Consultivi: adozione di linee guida, pareri e codici di condotta.

Il Garante collabora con le altre autorità europee nell'ambito dell'European Data Protection Board (EDPB) e può attivare procedure d'urgenza per trattamenti transfrontalieri a rischio.

Il 10 giugno 2021 il Garante ha adottato le Linee guida cookie e altri strumenti di tracciamento, pubblicate in Gazzetta Ufficiale il 9 luglio 2021. Dopo un periodo di adeguamento di sei mesi, sono diventate obbligatorie il 9 gennaio 2022 per tutti i gestori di siti web.

Le novità più rilevanti rispetto al precedente provvedimento del 2014:

  • L'Autorità chiarisce in modo netto che lo scrolling (ovvero, lo scorrimento della pagina) e la semplice prosecuzione della navigazione non possono in nessun caso essere interpretati come una manifestazione di consenso valida ribadendo che il consenso deve essere espresso attraverso un atto positivo inequivocabile. 
  • Sul piano pratico, i titolari del trattamento sono ora tenuti a garantire che l'utente possa esercitare scelte granulari per ciascuna categoria di cookie (tecnici, di analisi e di profilazione) nonché in relazione alle singole terze parti coinvolte, con le impostazioni predefinite orientate al diniego secondo il principio di privacy by default.

Secondo le normative vigenti in Italia, sono esenti dall’ottenimento del consenso i cookie strettamente necessari al funzionamento di un sito web o esplicitamente richiesti dall’utente, quali ad esempio:

  • Cookie di sessione e autenticazione
  • Cookie per il carrello in un e-commerce
  • Cookie di sicurezza (es. protezione CSRF)
  • Cookie analytics di prima parte, a condizione che siano usati esclusivamente per statistiche aggregate, non siano ceduti a terzi e la finalità sia limitata alla misurazione dell’audience.

Richiedono invece l’ottenimento del consenso dell’utente: 

  • Cookie di profilazione (first e third party): tracciano le abitudini di navigazione per creare profili a fini pubblicitari.
  • Cookie analytics di terza parte: il Garante li considera assimilabili ai cookie di profilazione quando i dati vengono aggregati dal fornitore per proprie finalità.
  • Pixel di social media (Facebook/Meta, LinkedIn, TikTok, ecc.): permettono al social network di tracciare l'utente anche al di fuori della piattaforma.
  • Cookie di remarketing e di targeting pubblicitario.

Un banner conforme alle linee guida del 2021 deve rispettare i seguenti requisiti:

  1. Il banner deve essere visualizzato immediatamente al primo accesso dell’utente 
  2. Il banner deve necessariamente contenere:
  • Una X in alto a destra per chiudere il banner e mantenere le impostazioni di default e dunque non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento
  • L’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default 
  • Un’informativa sintetica sull'uso dei cookie o altri strumenti tecnici
  • Un tasto o link per accettare tutti i cookie non necessari
  • Un tasto o link per rifiutare tutti i cookie non necessari, con la stessa evidenza grafica del tasto di accettazione
  • Il link a una ulteriore area dedicata per selezionare, in modo analitico, soltanto le funzionalità, le terze parti e i cookie al cui utilizzo l’utente scelga di acconsentire
  • Un link all’informativa sulla privacy estesa 
  • Accesso alle impostazioni granulari per categoria

Sanzioni del Garante: casi reali e importi delle multe

Il Garante non si limita a emanare linee guida. Dal 2022 ha inserito nei piani ispettivi controlli specifici sull'uso dei cookie, con accertamenti condotti a campione e su segnalazione dalla Guardia di Finanza.

Dal 25 maggio 2018, le violazioni in materia di cookie sono sanzionate principalmente ai sensi del GDPR, artt. 83 e 84:

  • Fino a 10 milioni di euro o 2% del fatturato mondiale per violazioni relative al consenso =
  • Fino a 20 milioni di euro o 4% del fatturato mondiale per violazioni dei principi base del trattamento

Al 2026, il record per la sanzione più alta legata al GDPR in Italia appartiene a Enel Energia. Nel febbraio 2024, il Garante per la protezione dei dati personali ha imposto una sanzione di 79,1 milioni di euro al gigante dell’energia.

La sanzione è stata il risultato di una massiccia indagine sul cosiddetto “telemarketing selvaggio” e su fallimenti sistemici nella governance dei dati. Le violazioni principali includevano:

Acquisizione illecita di dati

L’azienda ha utilizzato liste di clienti acquisite da quattro agenzie esterne che avevano raccolto i dati senza il dovuto consenso

Carenze di sicurezza

Gravi lacune nei sistemi di gestione dei clienti hanno permesso ad agenti non autorizzati di accedere ai database e attivare migliaia di contratti non richiesti

Accountability (responsabilità)

Il Garante ha stabilito che, in quanto attore principale del mercato, Enel avesse un livello di responsabilità superiore nel monitorare la propria rete di vendita e nel garantire l’integrità dei dati trattati

Prima del record di Enel, il Garante italiano si era già affermato come uno dei regolatori più attivi in Europa. Altre multe significative si possono citare:

TIM (2020)

una sanzione di 27,8 milioni di euro per tattiche di marketing aggressive e gestione impropria dei dati

WIND TRE (2020)

multata per 16,7 milioni di euro a causa del trattamento illecito di dati e della creazione di ostacoli per gli utenti che cercavano di negare il consenso al marketing (opt-out)

Per saperne di più sui record delle sanzioni GDPR in Italia e nel mondo, ti invitiamo a leggere questo articolo.

Rendi il tuo sito web conforme alle normative con Cookiebot

Adeguarsi manualmente alle normative vigenti è tecnicamente rischioso: basta un script di terze parti che implementa un cookie prima dell’ottenimento del consenso dell’utente, o un banner che non rispetta tutti i requisiti previsti, per essere considerati inadempienti. Cookiebot by Usercentrics aiuta a semplificare la conformità alle normative automatizzando l'intero processo.

Cosa fa Cookiebot nella pratica:

  • Scansiona automaticamente tutti i cookie e tracker attivi sul tuo sito web, con aggiornamenti periodici. Non dovrai tracciare manualmente ogni script di terze parti.
  • Blocca preventivamente gli script prima che l'utente fornisca il proprio consenso. Questo è il requisito tecnico più critico e quello più spesso violato.
  • Fornisce banner conformi alle linee guida del Garante.
  • Registra i consensi con marca temporale, versione del banner e i dettagli sulle scelte dell’utente, informazioni preziose in caso di ispezioni da parte delle autorità. 
  • Mette a disposizione un’integrazione nativa con WordPress, Shopify, Google Tag Manager e le principali piattaforme CMS.
  • Fornisce aggiornamenti automatici alle normative: quando il Garante o l'EDPB aggiornano le linee guida, Cookiebot aggiorna la piattaforma.
Inizia la prova gratuita

Questa guida ha finalità informative generali e non costituisce consulenza legale. Per una valutazione specifica della tua situazione, rivolgiti a un consulente privacy qualificato.

Domande frequenti

No. Le linee guida del 2021 vietano esplicitamente lo scrolling e qualsiasi comportamento passivo come forma di consenso. Serve un'azione positiva e inequivocabile da parte dell'utente.

La prestazione del consenso non può essere nuovamente sollecitata all’utente a meno che non siano mutate significativamente una o più condizioni del trattamento o siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Sì. Le linee guida del Garante si applicano a tutti i siti che usano cookie non necessari e si rivolgono a utenti italiani o europei, indipendentemente dalle dimensioni o dalla natura giuridica.

Devi conservare per ogni utente: data e ora del consenso, versione del banner al momento della scelta, categorie accettate o rifiutate. Cookiebot genera e archivia automaticamente questo log.