Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
23/01/2026
L’uso quotidiano di più dispositivi per accedere agli stessi servizi digitali è ormai la normalità. Computer, smartphone, tablet e smart TV sono tutti collegati allo stesso account utente, spesso in modo continuo e automatico.
In questo scenario, molte aziende digitali si pongono una domanda apparentemente semplice, ma giuridicamente delicata: è possibile raccogliere un unico consenso ai cookie e ai tracker valido per tutti i dispositivi dell’utente?
A questa domanda ha risposto in modo chiaro la CNIL, Autorità francese per la protezione dei dati personali, con una recente raccomandazione operativa che aggiorna e integra le linee guida del 2020 in materia di cookie.
Il documento rappresenta un vero e proprio cambio di passo: non introduce nuovi divieti, ma definisce condizioni molto stringenti per l’uso del cosiddetto consenso multi-dispositivo (o cross-device).
Se vuoi rimanere sempre aggiornato sulle ultime novità legali del mondo ecommerce puoi seguire i nostri canali Youtube, Facebook e LinkedIn!
SOMMARIO
Cos'è il consenso multi-dispositivo
Perchè è un trattamento di dati personali
Non è un obbligo legale
L'utente deve sapere cosa sta accettando
Niente effetti a sopresa
Stessa portata per consenso, rifiuto e revoca
Nessun effetto automatico su dispositivi condivisi
Rapporti con la CMP
Quando serve un nuovo consenso
Cosa può fare l'utente
Perchè queste indicaizoni sono rilevanti anche per l'Italia
Il punto di vista di LegalBlink
Il consenso multi-dispositivo è un meccanismo che consente a un utente, una volta autenticato con il proprio account, di esprimere una sola volta le proprie preferenze in materia di cookie e altri tracker.
Queste preferenze vengono poi:
memorizzate a livello di account;
applicate automaticamente a tutti i dispositivi associati allo stesso account (computer, smartphone, tablet, smart TV, ecc.).
Dal punto di vista aziendale, il vantaggio è evidente:
meno banner ripetuti, esperienza utente più fluida, maggiore coerenza nella gestione del consenso.
Dal punto di vista giuridico, però, il tema è molto più complesso.
La CNIL parte da un presupposto fondamentale:
il consenso multi-dispositivo implica sempre un trattamento di dati personali.
Per funzionare, infatti, questo meccanismo richiede:
l’associazione delle scelte di consenso a un account identificabile;
la sincronizzazione delle preferenze tra più dispositivi;
spesso, l’uso di identificatori persistenti o tecnologie di riconoscimento cross-device.
Di conseguenza, trovano piena applicazione:
il GDPR;
le regole sul consenso (artt. 4 e 7 GDPR);
i principi di trasparenza, minimizzazione e privacy by design.
Un punto chiarito in modo netto dalla CNIL è che il consenso multi-dispositivo non è obbligatorio.
Le aziende possono continuare a raccogliere il consenso dispositivo per dispositivo, senza alcun problema.
Tuttavia, se si sceglie di adottare un modello cross-device, allora devono essere rispettate condizioni rigorose, perché il rischio di comprimere i diritti dell’utente è elevato.
Il messaggio della CNIL è chiaro:
👉 più potere tecnologico al titolare = più garanzie per l’utente.
Il primo pilastro del consenso multi-dispositivo è la trasparenza preventiva.
Prima di esprimere qualsiasi scelta, l’utente deve essere chiaramente informato che:
il consenso (o il rifiuto) non riguarda solo il dispositivo in uso;
le preferenze verranno applicate a tutti i dispositivi collegati al suo account.
Questa informazione:
deve essere fornita prima dell’accesso all’account;
deve comparire direttamente nella CMP (Consent Management Platform);
non può essere nascosta in una cookie policy o in un’informativa secondaria.
In altre parole, l’utente deve capire subito la portata della sua scelta.
In tema di CMP, ti ricordiamo che il banner cookie di LegalBlink è CMP certificato Google e IAB.
Un altro aspetto cruciale riguarda cosa accade quando l’utente accede al proprio account da un nuovo dispositivo.
La CNIL raccomanda di:
mostrare un banner informativo temporaneo che indichi se le preferenze salvate sull’account sono state applicate;
informare l’utente se le sue scelte risultano modificate o sovrascritte rispetto a quelle impostate localmente sul dispositivo.
Questo è particolarmente importante nei casi in cui:
l’utente abbia espresso preferenze prima del login;
tali preferenze siano diverse da quelle associate all’account.
In queste situazioni, l’utente deve:
essere informato della contraddizione;
comprendere chiaramente quale scelta prevale e perché;
poter intervenire facilmente per modificarla.
Uno dei passaggi più rilevanti delle raccomandazioni CNIL riguarda la simmetria dei diritti.
Se un’azienda consente:
di accettare i cookie una sola volta per tutti i dispositivi,
deve consentire con la stessa facilità di:
rifiutare i cookie per tutti i dispositivi;
revocare il consenso in un secondo momento, con effetti identici.
Il consenso multi-dispositivo non può mai diventare uno strumento per rendere più difficile il rifiuto o la revoca.
Dal punto di vista pratico, questo significa che:
i pulsanti di accettazione e rifiuto devono avere pari evidenza;
la revoca deve essere sempre accessibile;
gli effetti devono essere coerenti su tutti i device.
La CNIL chiarisce inoltre che non è ammesso estendere automaticamente il consenso a dispositivi condivisi, come ad esempio:
smart TV usate da più membri della famiglia;
computer aziendali o pubblici.
In questi casi, il rischio di incidere sui diritti di soggetti diversi dall’account holder è troppo elevato.
Serve quindi una valutazione specifica e, spesso, una gestione separata del consenso.
Un ulteriore profilo di particolare rilievo riguarda il principio di minimizzazione dei dati, che nel contesto del consenso multi-dispositivo assume un peso ancora maggiore. La condivisione delle informazioni necessarie a far funzionare il meccanismo cross-device può avvenire solo entro limiti ben precisi e deve coinvolgere esclusivamente i soggetti strettamente necessari, come il titolare del trattamento, la piattaforma di gestione del consenso (CMP) ed eventuali partner tecnologici direttamente coinvolti nella gestione tecnica delle preferenze.
La logica sottesa è chiara: i dati utilizzati per sincronizzare le scelte dell’utente tra più dispositivi devono essere limitati a quanto indispensabile per questa sola finalità. Il consenso multi-dispositivo non può diventare un pretesto per estendere il perimetro del trattamento, né per raccogliere informazioni aggiuntive o arricchire i profili degli utenti oltre ciò che è necessario per garantire una corretta gestione delle preferenze espresse.
In altri termini, il passaggio a un modello cross-device non legittima trattamenti ulteriori rispetto a quelli già dichiarati e non consente di sfruttare l’infrastruttura tecnica del consenso per finalità diverse. Anche in questo ambito, il principio di minimizzazione deve essere applicato by design, fin dalla progettazione delle soluzioni tecniche e contrattuali adottate.
Se una piattaforma:
inizia con un modello di consenso per singolo dispositivo;
decide successivamente di passare a un modello multi-dispositivo;
la CNIL è molto chiara:
👉 è necessario raccogliere un nuovo consenso.
Il cambiamento del modello incide infatti sulla portata del trattamento e sulle aspettative dell’utente.
Se il titolare del trattamento:
non informa adeguatamente sull’estensione multi-dispositivo;
non consente un rifiuto o una revoca equivalenti;
applica le scelte in modo poco chiaro o automatico;
l’utente può:
contattare direttamente il titolare o il DPO;
esercitare i diritti previsti dal GDPR;
in assenza di risposta entro un mese, presentare reclamo all’Autorità di controllo competente.
Anche se le raccomandazioni provengono dall’autorità francese, il loro rilievo non può essere considerato esclusivamente nazionale. Il tema del consenso multi-dispositivo si inserisce infatti in un quadro regolatorio europeo comune, fondato sui principi del GDPR, che restano invariati in tutti gli Stati membri.
In Italia, il Garante per la protezione dei dati personali non ha ad oggi adottato linee guida specifiche dedicate al consenso cross-device. Tuttavia, i principi richiamati dalla CNIL – in particolare quelli di trasparenza, libertà del consenso e tutela effettiva dell’utente – sono pienamente coerenti con l’impostazione del GDPR e con l’orientamento già espresso dall’Autorità italiana in materia di cookie e strumenti di tracciamento.
Per questo motivo, più che parlare di un obbligo immediato, è corretto affermare che il tema deve essere attentamente monitorato. Le aziende italiane che operano online, soprattutto se attive su più mercati europei o con utenti internazionali, dovrebbero considerare queste indicazioni come un importante segnale evolutivo, utile per valutare in anticipo l’adeguatezza delle proprie soluzioni tecniche e organizzative e prevenire future criticità regolatorie.
Il consenso multi-dispositivo non è solo una questione giuridica. È un tema che coinvolge direttamente l’architettura tecnica delle piattaforme, le scelte di UX design e, non da ultimo, i modelli di monetizzazione basati su cookie e altri strumenti di tracciamento. Proprio per questo motivo, affrontarlo in modo frammentario o meramente formale può rivelarsi rischioso.
Un’implementazione non adeguatamente progettata sul piano legale espone infatti le aziende a possibili contestazioni, a reclami da parte degli utenti e, nei casi più critici, anche a interventi delle Autorità di controllo, oltre a incidere negativamente sulla fiducia degli utenti nei confronti del servizio.
In LegalBlink il tema del consenso, anche in scenari complessi come quello multi-dispositivo, non viene affrontato attraverso soluzioni standardizzate o automatismi. L’approccio è quello di analizzare il funzionamento concreto del sito o della piattaforma, verificare come vengono raccolte e propagate le scelte dell’utente e configurare la CMP in modo coerente, affinché accettazione, rifiuto e revoca abbiano effettivamente la stessa portata e producano effetti chiari e comprensibili.
Si tratta, peraltro, di un ambito in continua evoluzione. Per questo LegalBlink segue con attenzione gli sviluppi regolatori e gli orientamenti delle Autorità europee, monitorando l’evoluzione del quadro normativo e delle best practice, così da poter valutare tempestivamente l’impatto di eventuali cambiamenti sulle soluzioni adottate dalle aziende digitali.
Team LegalBlink