SEM Devs
← Tutti gli articoli
gdprcomplianceprivacycookie

Cookie banner e Garante Privacy: cosa devi sistemare prima del 2024

14 December 20232 min di lettura

Il Garante è tornato a colpire i cookie banner non conformi. Tra dark pattern, scroll come consenso e Google Analytics, ecco le regole che applichiamo a tutti i siti dei nostri clienti.

Nel 2023 il Garante Privacy ha mantenuto alta la pressione sui cookie banner: provvedimenti, ispezioni a tappeto sui siti più visitati e una serie di sanzioni che hanno colpito anche realtà piccole. Le regole non sono nuove — le linee guida sono del 2021 — ma molti siti sono ancora fuori. Vale la pena ripassare cosa va sistemato prima del 2024.

Cosa il Garante non vuole vedere

  • Solo "Accetta": il pulsante per rifiutare deve essere presente nello stesso layer e con la stessa enfasi grafica di "Accetta".
  • Scroll come consenso: scrollare la pagina o cliccare fuori dal banner non è consenso valido.
  • Pre-flag delle preferenze: i checkbox dei cookie non essenziali devono essere disattivi di default.
  • Cookie wall: bloccare l'accesso al sito se non si accetta è ammesso solo in casi molto limitati e con un'alternativa equivalente a pagamento.
  • Riapertura periodica: la dicitura "richiediamo di nuovo il consenso ogni X mesi" è ammessa solo se l'utente ha rifiutato. Non si può tempestare di banner chi ha già accettato.

I tre punti tecnici che vediamo più sbagliati

1. Caricamento degli script prima del consenso

Google Analytics, Meta Pixel, Hotjar non devono partire prima del click. Sembra ovvio, ma con tag manager configurati di fretta succede continuamente. La soluzione è caricare gli script in modalità "consent mode" e attivarli con un evento consent_granted dopo l'accettazione.

2. Google Analytics e trasferimenti USA

Dopo le sentenze del 2022 e 2023 il Garante è chiaro: GA4 va configurato con anonymizzazione IP e con un Data Processing Addendum aggiornato. Per realtà esposte (settore sanitario, finanziario, pubbliche amministrazioni) consigliamo soluzioni server-side o alternative come Plausible, Matomo, Umami. Self-hosted, niente trasferimento extra-UE, niente cookie nei casi base.

3. Politiche di conservazione

Il banner dichiara "12 mesi" ma il cookie ha durata "10 anni". Il Garante controlla la coincidenza tra ciò che è scritto nell'informativa e ciò che il browser riceve davvero.

Il check di SEM Devs prima di mandare un sito online

  1. DevTools aperto, network registrato dal primo caricamento. Nessun script di tracking deve apparire prima del click sul banner.
  2. Pulsanti "Accetta" e "Rifiuta" con stessa dimensione, stesso colore, stessa posizione.
  3. Pulsante "Personalizza" che apre un secondo livello con switch per categoria (analitici, marketing, profilazione).
  4. Cookie policy in pagina dedicata, linkata dal footer e dal banner, con elenco aggiornato dei cookie e durate corrette.
  5. Test su mobile: il banner non deve coprire più del 30% dello schermo né impedire la lettura della home.

Il banner perfetto non esiste, ma quello conforme sì. Se sei in dubbio sul tuo sito, una mezz'ora di review con un occhio esperto risolve il 90% dei problemi prima che lo faccia un'ispezione.