August 18, 2025
2 min read
L'analisi dei requisiti del GDPR dimostra che il consenso è esplicitamente richiesto prima di installare la maggior parte dei cookie sui dispositivi degli utenti. Diverse fonti autorevoli confermano che i cookie, come definiti dall'articolo 4(1) del GDPR come “identificatori online”, sono considerati dati personali quando possono identificare un utente, direttamente o indirettamente (Parlamento Europeo, 2016).
Risultati principali:
"Il consenso deve essere ottenuto prima che qualsiasi cookie venga installato o consultato sul dispositivo dell'utente, ad eccezione di quelli strettamente necessari per la fornitura del servizio esplicitamente richiesto dall'utente" (Corte di Giustizia Europea, caso Planet49, 2019).
Studi empirici sui banner dei cookie e sulla conformità nei siti web dell'UE rivelano un'ampia implementazione dei meccanismi di consenso. Tuttavia, i dark pattern e i design ingannevoli portano ancora a pratiche non conformi (Utz et al., 2019). Le piattaforme di gestione del consenso (CMP) efficaci devono fornire:
La non conformità con i requisiti di consenso del GDPR ha portato a diverse azioni esecutive di alto profilo e a sanzioni da parte delle autorità per la protezione dei dati.
In sintesi, il GDPR impone il consenso preventivo e affermativo dell'utente per tutti i cookie, ad eccezione di quelli strettamente necessari per il funzionamento del sito web, con un crescente corpus di direttive normative e precedenti legali che rafforzano questo obbligo in tutta l'UE e nel Regno Unito.
