Dal 2011, l’eccellenza legale per il mondo digitale: scelti da migliaia di siti, web agency e imprese digitali

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Cookie e sito web: per quali non serve il consenso?

25/08/2025

Cookie e sito web: per quali non serve il consenso per rispettare privacy e GDPR?



Se gestisci un sito web o un ecommerce ti sarai forse chiesto per quali cookie serve il consenso.

Sapere per quali categorie di cookie non serve il consenso dell’utente è molto utile ai fini della corretta redazione della informativa cookie, per rispettare il GDPR e per aumentare le user experience dell’utente che visita il tuo sito web o e-commerce.

Infatti, molti siti web chiedono il consenso al rilascio dei cookie anche quando non serve. Ciò accade perchè qualificano come cookie di profilazione quelli che invece sono cookie tecnici (per i quali, come vedremo tra poco, non serve il consenso).


Qualificare correttamente i cookie richiede conoscenze sia informatiche che legali (ovviamente stiamo parlando di avvocati esperti in privacy).

Se da un lato spetta alla web agency individuare quali cookie vengono rilasciati dal sito, è invece compito dell’avvocato stabilire se quei cookie richiedano o meno il consenso dell’utente e predisporre la relativa cookie policy.

In questo articolo ti daremo indicazioni pratiche per capire quando un cookie può essere esentato dal consenso, sempre con un taglio pensato per i merchant, come da tradizione del nostro blog.

NOTA: leggi il nostro approfondimento su quando è obbligatorio avere il banner cookie.


SOMMARIO


Cosa sono i cookie e come si differenziano
Il parere sulla esenzione del consenso ai cookie
Cookie con i dati compilati dagli utenti
Cookie per l'autenticazione
Cookie per la pubblicità di terze parti
Sintesi su cookie e consenso
Con LegalBlink rispetti il GDPR

Cosa sono i cookie e come si differenziano



Dal punto di vista di chi gestisce un sito, i cookie si distinguono in due grandi categorie: cookie di prima parte e cookie di terza parte.

  • Cookie di prima parte: sono generati direttamente dal sito che l’utente sta visitando. Per esempio, se un cliente entra in un e-commerce di abbigliamento, i cookie di prima parte possono servire a ricordare i prodotti inseriti nel carrello o la lingua scelta per la navigazione.

  • Cookie di terza parte: provengono invece da domini diversi rispetto a quello visitato dall’utente. Questo accade perché il sito del merchant può integrare contenuti esterni, come video di YouTube, mappe di Google Maps, pulsanti social di Facebook o sistemi pubblicitari come quelli di Google Ads o Criteo. In questi casi, i cookie non sono controllati direttamente dal merchant, ma dalle terze parti che li rilasciano.

In pratica, se stai visitando un e-commerce e vedi un video YouTube nella scheda prodotto o il pulsante “Mi piace” di Facebook, sappi che dietro quelle funzioni si nascondono cookie di terza parte.


Dal punto di vista della funzionalità, invece, i cookie si differenziano in cookie tecnici e cookie di profilazione.

I cookie tecnici sono quelli indispensabili per permettere la navigazione o per erogare un servizio richiesto dall’utente. Non hanno finalità ulteriori e vengono di solito installati direttamente dal titolare del sito.

Senza questi cookie, molte funzioni non potrebbero funzionare correttamente. Un esempio tipico è il carrello di un e-commerce: senza cookie tecnici, i prodotti selezionati dal cliente andrebbero persi passando da una pagina all’altra. Allo stesso modo, questi cookie permettono di ricordare la lingua scelta per la navigazione o di mantenere attiva una sessione di login.

Diverso è il discorso per i cookie di profilazione. Questi tracciano la navigazione dell’utente al fine di creare un profilo basato su gusti, interessi e abitudini. Sulla base di queste informazioni, vengono poi mostrati annunci pubblicitari personalizzati, coerenti con le preferenze espresse dall’utente nelle sue ricerche o nelle visite a siti web. Per esempio, se visiti un sito di scarpe e poi trovi pubblicità di quelle stesse scarpe su Facebook o su un altro portale, è merito (o colpa) dei cookie di profilazione.

In conclusione, un sito web può rilasciare :

  • cookie di prima parte, tecnici e/o di profilazione
  • cookie di terza parte, tecnici e/o di profilazione.


Nella prassi, però i cookie di terza parte sono quasi sempre di profilazione, mentre i cookie rilasciati dal sito di ecommerce (e quindi di prima parte) sono tecnici e, solo raramente, di profilazione.

NOTA: leggi il nostro approfondimento sui tool di scansione automatica dei cookie (cookie scanner).


Il parere sulla esenzione del consenso al rilascio dei cookie



In questo ambito non possiamo fare a meno di citare il parere relativo all’esenzione del consenso per l’uso dei cookie redatto dal Gruppo Articolo 29 in data 7 giugno 2012. (il Gruppo Articolo 29 era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione. Con l’entrata in vigore del GDPR è stato sostituito dal Comitato europeo per la protezione dei dati).

Il parere ha un contento molto tecnico, pertanto abbiamo estrapolato alcune delle casistiche più importanti, in modo che sia più facile capire per quali categorie di cookie non serve il consenso dell’utente.

cookie e consenso privacy GDPR


Cookie con i dati compilati dall'utente. Serve il consenso?


Con l’espressione “cookie con dati compilati dall’utente” (o user input cookie) si indicano, in modo generico, i cookie di sessione che servono a memorizzare le informazioni inserite dall’utente durante la navigazione.

Si tratta in genere di cookie di prima parte, utilizzati dal merchant per:

  • tenere traccia dei dati inseriti in un modulo online (ad esempio, un form di contatto o di registrazione);

  • ricordare gli articoli che l’utente ha aggiunto al carrello in un e-commerce.

Questi cookie sono essenziali per il corretto funzionamento del sito, perché permettono di completare operazioni specificamente richieste dall’utente. Proprio per questo motivo, il loro utilizzo non richiede il consenso preventivo dell’utente.


Cookie per l'autenticazione



I cookie di autenticazione servono a riconoscere l’utente dopo il login. Sono indispensabili, ad esempio, per permettere agli utenti registrati di accedere alla propria area riservata o a servizi personalizzati senza dover reinserire continuamente le credenziali.

Di norma si tratta di cookie di sessione, che vengono cancellati alla chiusura del browser. In alcuni casi possono essere utilizzati anche cookie persistenti, che mantengono l’accesso attivo per un periodo più lungo (ad esempio per ricordare il login al successivo accesso al sito).

Questa tipologia di cookie rappresenta un servizio essenziale: senza di essi l’utente dovrebbe digitare nome utente e password per ogni singola pagina visitata, rendendo la navigazione impossibile o estremamente scomoda. Per questo motivo, i cookie di autenticazione non richiedono il consenso preventivo.

Attenzione però: l’autenticazione deve limitarsi a consentire l’accesso alle funzionalità richieste dall’utente. Non può diventare un pretesto per utilizzare i cookie a scopi diversi, come il monitoraggio delle abitudini di navigazione o l’invio di pubblicità personalizzata senza il consenso dell’interessato.

NOTA BENE: I cookie persistenti relativi al login che archiviano la chiave di autenticazione da una sessione del browser all’altra non sono esenti dall’obbligo di ottenere il previo consenso dell’utente.


È questa una distinzione importante perché l’utente potrebbe non essere immediatamente consapevole del fatto che la chiusura del browser non cancellerà le impostazioni di autenticazione. Potrebbe ritornare al sito web nella convinzione di essere anonimo mentre di fatto il login al servizio è ancora attivo.


Il metodo diffuso che consiste nel riportare una casella da barrare e una semplice nota informativa come “ricordati di me (utilizza cookie)” in prossimità del modulo di presentazione sarebbe uno strumento adeguato per ottenere il consenso, ovviando così alla necessità di applicare un’esenzione in questo caso.

Cookie per la pubblicità di terze parti. Serve il consenso?


I cookie di terza parte utilizzati per la pubblicità comportamentale non sono mai esenti dal consenso dell’utente.

Questo vale anche per tutti i cookie operativi connessi alle attività pubblicitarie, ad esempio:

  • i cookie di Facebook Ads o Instagram Ads, che tracciano le preferenze degli utenti per mostrare annunci mirati;

  • i cookie di Google Ads e Google Marketing Platform, che servono a limitare il numero di volte in cui viene mostrato lo stesso annuncio o a misurare le conversioni;

  • i cookie di Criteo, utilizzati per il retargeting, cioè per mostrare su altri siti gli stessi prodotti visti in un e-commerce;

  • i cookie di piattaforme di affiliazione pubblicitaria come Tradedoubler o Awin, che riconoscono le commissioni ai partner;

  • i cookie di strumenti di analisi marketing come Hotjar o Mixpanel, che raccolgono dati sul comportamento degli utenti a fini di ottimizzazione commerciale.

Tutte queste finalità non possono essere considerate “essenziali” per la fruizione del sito da parte dell’utente, e quindi il loro utilizzo è subordinato al consenso preventivo.


Sintesi su cookie e consenso



Dal parere del Gruppo Articolo 29, si evince che per i seguenti cookie possono essere esenti dal consenso informato a determinate condizioni, purché non siano utilizzati per finalità aggiuntive:

  • cookie con dati compilati dall’utente (identificativo di sessione), della durata di una sessione o cookie persistenti limitatamente ad alcune ore in taluni casi;
  • cookie per l’autenticazione, utilizzati ai fini dei servizi autenticati, della durata di una sessione;
  • cookie di sicurezza incentrati sugli utenti, utilizzati per individuare abusi di autenticazione, per una durata persistente limitata;
  • cookie di sessione per lettori multimediali, come i cookie per lettori “flash”, della durata di una sessione;
  • cookie persistenti per la personalizzazione dell’interfaccia utente, della durata di una sessione (o poco più);
  • cookie per la condivisione dei contenuti mediante plug-in sociali di terzi, per membri di social network.



Come LegalBlink ti aiuta a rispettare il GDPR



Con il supporto del nostro Studio legale, LegalBlink ha tutti gli strumenti per pubblicare una cookie policy a norma, rispettando la cookie law e il GDPR.

Infatti, con LegalBlink ottieni:

  • cookie policy (in 5 lingue diverse)
  • banner cookie a norma
  • registro dei consensi cookie
  • registro delle cookie policy in precedenza pubblicate
Inoltre, puoi scegliere come ottenere questi documenti:
Inoltre, il nostro tool è CMP certificata da Google e integrato con Tag Manager.

Per qualsiasi dubbio il nostro customer care è sempre disponibile!

Team LegalBlink


Ultime notizie dal blog

04/11/2025

Informazioni legali da inserire nel footer Informazioni legali e requisiti che deve avere il footer del tuo sito web per essere a norma di legge. Leggi la guida preparata dai nostri avvocati.

Leggi tutto

27/10/2025

Google Ads e Digital Markets Act: cosa rivela il nuovo studio sulla manipolazione delle aste pubblicitarie Google ADS manipolazione presunta della pubblicità online

Leggi tutto

21/10/2025

Come risolvere i problemi di tracciamento conversioni Guida pratica per diagnosticare problemi di tracciamento conversioni GA4/Ads, comprendendo ruolo consenso, ritardi e test tecnici con GTM.

Leggi tutto