Tutti i cookie richiedono il consenso?

L'analisi dei quadri normativi rivela che non tutti i cookie sono soggetti agli stessi requisiti di consenso. La direttiva ePrivacy (Direttiva 2002/58/CE), spesso definita "legge UE sui cookie", distingue nettamente tra cookie strettamente necessari e altri tipi di cookie. Secondo l'articolo 5, paragrafo 3, “il consenso non è richiesto per l'archiviazione tecnica o l'accesso strettamente necessario al legittimo scopo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente.”

L'indagine empirica sulle pratiche dei siti web conferma che i cookie strettamente necessari—ovvero quelli richiesti per le funzionalità principali come la gestione della sessione, i carrelli della spesa e le funzioni di sicurezza—vengono regolarmente implementati senza il consenso esplicito dell'utente. Ad esempio, i token di autenticazione per l'accesso e i cookie per la memorizzazione del carrello rientrano in questa esenzione. Tali conclusioni sono in linea con le linee guida emesse dalle autorità di regolamentazione, tra cui il Comitato europeo per la protezione dei dati (EDPB, 2020), che afferma:

• “I cookie essenziali per il funzionamento di un sito web non richiedono il consenso.”

Al contrario, i cookie utilizzati per l'analisi, la pubblicità o la personalizzazione non rientrano nell'esenzione e richiedono quindi il consenso informato preventivo degli utenti. Questa biforcazione è esplicitamente supportata dall'articolo 6 del GDPR, che impone una base giuridica per il trattamento dei dati personali, ulteriormente rafforzata dal Considerando 30, che identifica gli identificatori online come dati personali.

Un esame delle implementazioni nazionali (ad esempio, le normative britanniche sulla privacy e le comunicazioni elettroniche—PECR, e le linee guida della CNIL francese) conferma un approccio coerente:

• Il consenso non è necessario per i cookie essenziali.
• Il consenso è obbligatorio per i cookie non essenziali (ad es. tracciamento, profilazione).

Le valutazioni d'impatto pratiche indicano che la maggior parte dei siti web implementa ora banner per i cookie che distinguono tra cookie essenziali e non essenziali, offrendo controlli granulari agli utenti. Questo approccio minimizza i rischi di conformità e si allinea con le aspettative normative.

In sintesi, l'analisi normativa e la pratica osservata supportano la seguente conclusione:

• I cookie strettamente necessari sono esenti dai requisiti di consenso ai sensi della legge UE.
• Tutte le altre categorie di cookie richiedono il consenso esplicito dell'utente prima della loro implementazione.

Questa distinzione è ormai una pratica standard nelle strategie di conformità in tutte le giurisdizioni disciplinate dalla direttiva ePrivacy e dal GDPR.