Complianz e la ePrivacy: Conformità per il Mercato Italiano
Quando si parla di conformità cookie e privacy per il mercato italiano, il GDPR è solo una parte dell’equazione. La Direttiva ePrivacy (2002/58/CE), le sue successive modifiche e soprattutto le Linee Guida del Garante italiano per la Privacy introducono requisiti specifici che si aggiungono a quelli del GDPR e che ogni sito web rivolto a utenti italiani deve rispettare. Complianz è uno dei pochi plugin che gestisce in modo integrato sia i requisiti del GDPR che quelli della normativa ePrivacy italiana, ma è fondamentale comprendere le specificità di questa normativa per una configurazione ottimale.
La Direttiva ePrivacy: Contesto e Applicazione
La Direttiva ePrivacy, comunemente nota come “Cookie Law”, è una normativa europea che disciplina la privacy nelle comunicazioni elettroniche. A differenza del GDPR, che è un regolamento (direttamente applicabile in tutti gli stati membri), la ePrivacy è una direttiva che deve essere recepita nella legislazione nazionale di ciascuno stato membro.
In Italia, la Direttiva ePrivacy è stata recepita nel Codice in materia di protezione dei dati personali (D.lgs. 196/2003, il cosiddetto “Codice Privacy”), come modificato dal D.lgs. 101/2018 per l’adeguamento al GDPR. L’articolo 122 del Codice Privacy disciplina specificamente l’uso dei cookie e delle tecnologie di tracciamento.
La relazione tra GDPR e ePrivacy è di complementarietà: la Direttiva ePrivacy è considerata lex specialis rispetto al GDPR per quanto riguarda i cookie e le comunicazioni elettroniche. Questo significa che per i cookie si applicano prima le regole della ePrivacy e, dove questa non dispone specificamente, si applicano le regole del GDPR.
Le Linee Guida del Garante Italiano sui Cookie
Il Garante per la Protezione dei Dati Personali ha emanato nel giugno 2021 le “Linee guida cookie e altri strumenti di tracciamento” (Provvedimento n. 231 del 10 giugno 2021), aggiornando e sostituendo il precedente provvedimento del 2014. Queste linee guida sono particolarmente dettagliate e introducono requisiti specifici per il mercato italiano che vanno oltre i requisiti generali del GDPR.
Ecco i punti chiave delle linee guida:
Classificazione dei cookie: il Garante distingue tre categorie principali di cookie. I cookie tecnici (necessari per il funzionamento del sito) non richiedono il consenso ma devono essere menzionati nell’informativa. I cookie analitici possono essere equiparati ai cookie tecnici solo se utilizzati in forma anonimizzata e senza incroci con altri dati (condizioni molto restrittive). I cookie di profilazione richiedono sempre il consenso preventivo dell’interessato.
Scroll come consenso: il Garante ha chiarito esplicitamente che lo scrolling della pagina non costituisce un consenso valido. Questa precisazione, già implicita nel GDPR, è stata resa esplicita dal Garante italiano per eliminare ogni ambiguità.
Cookie wall: il Garante vieta i cookie wall puri (siti che impediscono l’accesso se l’utente non accetta i cookie). Tuttavia, ammette il cosiddetto “soft cookie wall” se il sito offre un’alternativa equivalente di accesso (ad esempio, un contenuto equivalente senza cookie di profilazione o un abbonamento a pagamento).
Requisiti Specifici del Banner per il Mercato Italiano
Le linee guida del Garante italiano dettano requisiti specifici per il cookie banner che Complianz deve implementare correttamente:
Primo livello informativo (il banner): al primo accesso, l’utente deve visualizzare un banner con un’informativa breve che contenga: l’indicazione che il sito utilizza cookie tecnici e, previo consenso, cookie di profilazione (propri o di terze parti); un link alla cookie policy completa (“secondo livello”); un comando per accettare tutti i cookie; un comando per rifiutare tutti i cookie (o per accettare solo quelli tecnici); un link per personalizzare le scelte per categoria.
Il pulsante di rifiuto deve essere equivalente: questo è un punto su cui il Garante italiano è particolarmente rigoroso. Il pulsante per rifiutare i cookie deve avere la stessa visibilità, dimensione e posizione del pulsante di accettazione. Non è ammesso nascondere il rifiuto dietro un link testuale, un colore meno visibile o una posizione meno prominente.
Il banner deve bloccare i cookie prima del consenso: nessun cookie di profilazione può essere impostato prima che l’utente abbia espresso il proprio consenso. Questo vale anche per i cookie di terze parti: se il tuo sito include un video YouTube, il cookie di YouTube non può essere impostato fino a quando l’utente non accetta la categoria corrispondente.
Ripresentazione del banner: il banner non deve essere ripresentato ad ogni accesso se l’utente ha già espresso le proprie preferenze. Tuttavia, deve essere ripresentato se la cookie policy cambia significativamente o se il consenso è scaduto.
Configurare Complianz per il Mercato Italiano
Complianz offre configurazioni specifiche per il mercato italiano che rispettano le linee guida del Garante. Ecco come configurare il plugin correttamente:
Regione: nel wizard di Complianz, seleziona “Unione Europea” come regione. Complianz applica automaticamente i requisiti del GDPR e adatta il banner alle specificazioni europee. Se vuoi la massima conformità con le linee guida italiane, verifica che le impostazioni del banner rispettino i punti sopra elencati.
Lingua: Complianz è completamente tradotto in italiano, includendo i testi del banner, i documenti legali e l’interfaccia di amministrazione. Verifica che la lingua del sito WordPress sia impostata su Italiano per ottenere i testi predefiniti in italiano.
Pulsanti del banner: configura il banner con tre pulsanti: “Accetta tutto”, “Rifiuta tutto” (o “Solo necessari”) e “Personalizza”. Assicurati che i pulsanti Accetta e Rifiuta abbiano lo stesso stile visivo (stesso colore di sfondo, stessa dimensione, stessa prominenza).
Testo del banner: il testo predefinito di Complianz in italiano è già conforme alle linee guida. Tuttavia, se lo personalizzi, assicurati che menzioni esplicitamente i cookie tecnici e i cookie di profilazione, e che includa un link alla cookie policy completa.
Cookie analitici: il Garante italiano ha specificato che i cookie analitici possono essere trattati come cookie tecnici (senza consenso) solo a condizioni molto precise: devono essere utilizzati esclusivamente per scopi statistici, i dati devono essere anonimizzati (non solo pseudonimizzati), e non devono essere incrociati con altri dati. Google Analytics 4, anche con l’anonimizzazione dell’IP attiva, generalmente non soddisfa queste condizioni e richiede quindi il consenso.
La Cookie Policy Secondo le Linee Guida Italiane
Il Garante italiano richiede che la cookie policy (“secondo livello informativo”) sia un documento dettagliato e facilmente accessibile. Complianz genera automaticamente una cookie policy che rispetta questi requisiti, ma è importante verificare che contenga tutti gli elementi richiesti:
Classificazione dei cookie: la policy deve classificare chiaramente i cookie in tecnici, analitici e di profilazione, spiegando per ciascuna categoria la finalità e la base giuridica del trattamento.
Cookie di terze parti: per ogni cookie di terze parti, la policy deve indicare il nome del servizio che lo imposta, il link alla privacy policy del terzo e il link diretto al modulo di opt-out (se disponibile). Complianz include automaticamente queste informazioni per i servizi più comuni.
Gestione delle preferenze: la policy deve spiegare come l’utente può gestire le proprie preferenze sui cookie, sia attraverso il banner di Complianz che attraverso le impostazioni del browser. Il Garante richiede istruzioni specifiche per i browser più diffusi (Chrome, Firefox, Safari, Edge, Opera).
Informativa completa: la policy deve includere anche le informazioni previste dall’articolo 13 del GDPR: identità del titolare, finalità del trattamento, basi giuridiche, destinatari dei dati, trasferimenti extra-UE, tempi di conservazione e diritti dell’interessato.
Il Regolamento ePrivacy: Cosa Cambierà
La Direttiva ePrivacy è destinata a essere sostituita da un Regolamento ePrivacy, attualmente in fase di negoziazione a livello europeo. Il regolamento, a differenza della direttiva, sarà direttamente applicabile in tutti gli stati membri senza necessità di recepimento nazionale.
Le principali novità attese dal Regolamento ePrivacy includono: l’estensione del campo di applicazione alle comunicazioni OTT (WhatsApp, Telegram, Signal), regole più chiare sui cookie wall, la possibilità di gestire il consenso attraverso le impostazioni del browser (browser-level consent), e un allineamento più stretto con il GDPR.
Fino all’entrata in vigore del nuovo regolamento, restano applicabili la Direttiva ePrivacy e le linee guida nazionali. Complianz viene costantemente aggiornato per adeguarsi alle evoluzioni normative, e gli sviluppatori hanno già annunciato che il plugin sarà aggiornato per conformarsi al Regolamento ePrivacy quando entrerà in vigore.
Il Provvedimento del Garante sulla Profilazione Online
Oltre alle linee guida sui cookie, il Garante italiano ha emanato diversi provvedimenti sulla profilazione online che hanno implicazioni per la gestione dei cookie di marketing e di targeting. In particolare, il Garante ha precisato che:
La profilazione dell’utente attraverso il tracciamento del comportamento di navigazione richiede sempre un consenso preventivo, specifico e documentabile. Il consenso deve essere rinnovato periodicamente (il Garante suggerisce un intervallo massimo di 12 mesi per i cookie di profilazione).
L’utente deve poter revocare il consenso alla profilazione in qualsiasi momento, con la stessa facilità con cui lo ha prestato. La revoca deve essere effettiva immediatamente: dopo la revoca, nessun cookie di profilazione deve rimanere attivo.
Complianz gestisce questi requisiti attraverso il meccanismo di scadenza del consenso (configurabile nelle impostazioni) e il pulsante di revoca sempre accessibile. È consigliabile impostare la scadenza del consenso a 12 mesi per i cookie di profilazione, in linea con le indicazioni del Garante.
Sanzioni del Garante Italiano in Materia di Cookie
Il Garante italiano è stato particolarmente attivo nell’applicazione delle sanzioni in materia di cookie. Negli ultimi anni, sono state comminate sanzioni significative per violazioni come:
- Assenza del cookie banner o banner non conforme (pulsante di rifiuto assente o nascosto)
- Impostazione di cookie di profilazione prima del consenso dell’utente
- Cookie policy incompleta o assente
- Impossibilità di revocare il consenso
- Utilizzo dello scrolling come forma di consenso
- Cookie wall che impediscono l’accesso al sito senza consenso
Le sanzioni hanno colpito sia grandi aziende che piccole e medie imprese, dimostrando che il Garante non fa distinzioni in base alla dimensione dell’organizzazione. La conformità è un obbligo per tutti, e l’investimento in uno strumento come Complianz è una protezione essenziale.
Google Analytics e il Mercato Italiano
La questione di Google Analytics in Italia ha una storia particolare. Nel giugno 2022, il Garante italiano ha emesso un provvedimento (in linea con decisioni simili delle autorità austriaca e francese) che dichiarava l’utilizzo di Google Analytics (nella versione Universal Analytics) non conforme al GDPR a causa del trasferimento dei dati verso gli Stati Uniti senza garanzie adeguate.
La situazione si è evoluta con l’introduzione di Google Analytics 4 (che offre opzioni di controllo più granulari) e con l’adozione del Data Privacy Framework UE-USA nel luglio 2023, che fornisce una base giuridica per il trasferimento dei dati verso le aziende statunitensi certificate (tra cui Google).
Nonostante il DPF, il Garante italiano continua a richiedere il consenso per l’utilizzo di Google Analytics, poiché il servizio imposta cookie di tracciamento che raccolgono dati personali (indirizzo IP, anche se anonimizzato, e identificatori univoci). Complianz gestisce correttamente questa situazione, bloccando Google Analytics fino al consenso dell’utente e includendo nella cookie policy le informazioni sul trasferimento dei dati verso gli USA.
Checklist di Conformità per il Mercato Italiano
Ecco una checklist completa per verificare la conformità del tuo sito alle linee guida del Garante italiano:
- Banner con testo informativo chiaro in italiano
- Pulsante “Accetta tutto” e “Rifiuta tutto” con lo stesso stile visivo
- Opzione “Personalizza” per la selezione per categoria
- Nessun cookie di profilazione impostato prima del consenso
- Cookie policy completa e accessibile con un click dal banner
- Cookie classificati correttamente (tecnici, analitici, profilazione)
- Informazioni sui cookie di terze parti con link alle policy e all’opt-out
- Istruzioni per la gestione dei cookie nei principali browser
- Pulsante di revoca del consenso facilmente accessibile
- Scadenza del consenso configurata (massimo 12 mesi per la profilazione)
- Registro dei consensi attivo (preferibilmente lato server)
- Lo scrolling non è utilizzato come forma di consenso
- Nessun cookie wall puro (accesso al sito anche senza consenso)
Conclusione
La conformità per il mercato italiano richiede un’attenzione particolare alle specificazioni del Garante, che sono tra le più dettagliate in Europa. Complianz, con la sua configurazione adattata alle diverse giurisdizioni e il supporto nativo per la lingua italiana, è uno strumento eccellente per raggiungere e mantenere questa conformità.
Tuttavia, la normativa è in continua evoluzione, e è importante mantenersi aggiornati sui nuovi provvedimenti del Garante e sugli sviluppi del Regolamento ePrivacy. Complianz facilita questo compito con aggiornamenti regolari che incorporano le novità normative.
Per una verifica della conformità del tuo sito alle linee guida italiane, contattaci. Il nostro team può effettuare un audit completo e suggerirti le azioni correttive necessarie.
Leggi gli altri articoli della serie Complianz
- Come Installare e Configurare Complianz su WordPress
- Complianz: Cookie Banner GDPR Conforme in 5 Minuti
- Complianz Wizard: Configurazione Guidata Passo Passo
- Complianz e il GDPR: Tutto Quello che Devi Sapere
- Complianz: Cookie Policy e Privacy Policy Automatiche
- Complianz e Google Consent Mode v2: Configurazione
- Complianz: Gestire i Cookie di Google Analytics e GTM
- Complianz e WooCommerce: GDPR per E-Commerce
- Complianz: Registro dei Consensi e Proof of Consent
- Complianz: Personalizzare il Cookie Banner con CSS
- Complianz Free vs Premium: Confronto e Prezzi 2026
- Complianz vs CookieYes vs CookieBot: Confronto GDPR
- Complianz: A/B Testing del Cookie Banner per Opt-In Rate
- Risolvere i Problemi Comuni di Complianz: Troubleshooting
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: