Meta: Cookie policy GDPR: quando il banner è progettato per ingannare il consenso è nullo. Provvedimenti Garante, dark pattern e rischi concreti per imprese e professionisti.
Slug: cookie-policy-gdpr-consenso-nullo
Un banner cookie non è un adempimento burocratico: è l'interfaccia tra il diritto alla privacy dell'utente e le scelte tecniche del titolare del trattamento. Negli ultimi mesi il Garante Privacy ha adottato una serie di provvedimenti che spostano il fuoco dalla mera presenza del banner alla sua qualità giuridica. Il consenso ottenuto attraverso meccanismi opachi, colori ingannevoli o strutture asimmetriche non è un consenso valido: è un dato trattato illecitamente. Questo articolo analizza gli errori più frequenti, i provvedimenti più recenti e la frontiera più controversa del momento: il modello "Pay or Ok".
Immaginate di entrare in un negozio dove l'unica porta d'uscita è quella che passa attraverso un contratto. Chi non firma non esce, o comunque non accede a ciò che cercava. Questa metafora, per quanto brutale, descrive con precisione alcune delle pratiche che il Garante per la protezione dei dati personali ha dichiarato illecite negli ultimi mesi nell'ambito della cookie policy GDPR. Il problema non è la presenza del banner — ormai quasi universale — ma la struttura con cui quel banner raccoglie il consenso dell'utente. E quando la struttura è progettata per condizionare, manipolare o forzare la scelta, il consenso raccolto non ha valore giuridico.
Come ricordava Stefano Rodotà, il dato personale è «una proiezione della persona nello spazio digitale»: trattarlo senza consenso genuino non è una violazione tecnica, è una violazione della dignità. Vale la pena tenere presente questo fondamento quando si analizzano i provvedimenti più recenti dell'Autorità.
Il quadro normativo: dall'art. 122 del Codice Privacy alle Linee guida del Garante
Il sistema normativo di riferimento è stratificato. La Direttiva e-Privacy (2002/58/CE), recepita nel Codice della Privacy all'art. 122, impone che l'accesso alle informazioni archiviate sul dispositivo dell'utente — e quindi l'installazione di cookie non tecnici — avvenga solo previo consenso libero, specifico, informato e inequivocabile. Il Regolamento (UE) 2016/679 (GDPR), agli artt. 4 n. 11, 5, 7 e 13, definisce le condizioni di validità di tale consenso ed estende l'obbligo di trasparenza informativa.
Le Linee guida del Garante del 10 giugno 2021 hanno poi tradotto questi principi in indicazioni operative precise: nessun cookie non tecnico può essere installato per impostazione predefinita al primo accesso; il banner deve consentire di proseguire la navigazione senza alcun tracciamento; i comandi di accettazione e rifiuto devono avere pari visibilità e rilevanza grafica; la scelta dell'utente deve essere memorizzata per almeno sei mesi senza essere reiterata.
Lex specialis derogat generali: la disciplina specifica dei cookie prevale sulle norme generali del trattamento, ma non le esaurisce. Il consenso deve soddisfare simultaneamente i requisiti della direttiva e-Privacy e quelli, più stringenti, del GDPR.
I provvedimenti del Garante: tre casi emblematici
Il primo provvedimento emblematico dell'ultimo periodo è il Garante per la protezione dei dati personali, provvedimento n. 98 del 27 febbraio 2025. Nel caso esaminato, la società titolare del trattamento aveva predisposto un banner con selettori on/off per le diverse categorie di cookie, ma aveva configurato quello relativo ai cookie "di esperienza" come preselezionato in senso negativo e non modificabile dalla prima schermata. L'utente doveva aprire un secondo pop-up per esprimere una scelta granulare. Il Garante ha ritenuto la condotta una violazione degli artt. 4 n. 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell'art. 122 del Codice Privacy. Nonostante il correttivo tempestivo adottato dalla società, l'Autorità ha irrogato un formale ammonimento, chiarendo nel contempo il modello corretto: il banner deve contenere i pulsanti "accetta tutti", "rifiuta tutto" e "gestisci le preferenze", tutti ugualmente accessibili dalla prima schermata senza passaggi intermedi.
Il secondo caso di rilievo è il Garante per la protezione dei dati personali, provvedimento n. 327 del 4 giugno 2025, adottato a seguito di un'ispezione condotta dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza nei confronti di un operatore del settore automotive. Il sito presentava due criticità distinte: l'assenza di un'informativa cookie completa — l'informativa breve disponibile nel banner richiamava norme del Codice Privacy già abrogate — e la ricomparsa sistematica del banner a ogni accesso successivo per gli utenti che avevano in precedenza cliccato sul pulsante "X". Questo meccanismo, secondo il Garante, non è neutro: riproporre il banner a chi ha già scelto di non prestare il consenso è suscettibile di «forzare la prestazione del consenso pur di proseguire la navigazione». La ricomparsa iterativa del banner non è un obbligo di legge, ma una pressione indebita.
Il terzo e più discusso provvedimento è il Garante per la protezione dei dati personali, provvedimento n. 272 del 29 aprile 2025, pubblicato sulla Gazzetta Ufficiale n. 108 del 12 maggio 2025, con cui l'Autorità ha deliberato l'avvio di una consultazione pubblica sul modello cosiddetto "Pay or Ok". Si tratta di un meccanismo crescente, adottato principalmente — ma non esclusivamente — da editori di testate giornalistiche online: l'utente che vuole accedere ai contenuti del sito deve scegliere tra la sottoscrizione di un abbonamento a pagamento e il consenso al trattamento dei propri dati personali a fini di profilazione commerciale. In mancanza di una delle due opzioni, l'accesso al sito è bloccato.
La questione giuridica è quanto mai aperta. Il Garante ha rilevato che questo modello «ha ormai assunto proporzioni di sistema», imponendo una valutazione complessiva che considera la libertà effettiva del consenso, la trasparenza informativa, la libertà d'impresa, l'accesso equo ai contenuti e le condizioni di vulnerabilità economica degli utenti. Il nodo centrale è identico a quello del cookie wall classico: un consenso prestato sotto pressione economica — scegliere tra pagare o essere profilati — può dirsi davvero libero ai sensi dell'art. 4 n. 11 del GDPR? Tra le ipotesi di equilibrio prospettate dall'Autorità vi è l'introduzione obbligatoria di una terza opzione gratuita, basata su pubblicità contestuale non invasiva e a trattamento ridotto dei dati personali.
Il modello "Pay or Ok" si distingue dal cookie wall tradizionale — già dichiarato illecito salvo casi eccezionali — perché formalmente offre un'alternativa. Ma questa alternativa è onerosa, e l'onerosità della scelta può essere un fattore distorsivo che svuota il consenso di sostanza giuridica. L'EDPB, nel proprio Parere 8/2024, aveva già evidenziato che nella valutazione della libertà del consenso occorre considerare lo squilibrio di potere tra titolare e interessato, la dipendenza dell'utente dal servizio e il pubblico a cui il servizio è rivolto.
Cosa emerge da questa sequenza di provvedimenti? Una tendenza chiara dell'Autorità: spostare l'attenzione dalla forma dei banner alla loro sostanza. Non è sufficiente che il banner esista. È necessario che il consenso raccolto sia genuinamente libero, informato e granulare. I dark pattern — definibili come interfacce progettate deliberatamente per condizionare la scelta dell'utente — non sono una questione estetica ma un profilo di illiceità del trattamento. Colori asimmetrici che rendono visivamente prominente il pulsante "Accetta tutto" rispetto a "Rifiuta tutto", testi ambigui che non specificano le finalità del tracciamento, opzioni di personalizzazione nascoste in menu secondari: tutti questi elementi possono rendere invalido il consenso raccolto.
Sul piano sanzionatorio, il GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda dell'importo maggiore. Le ispezioni sono condotte a campione e su segnalazione dal Nucleo Speciale della Guardia di Finanza, su delega del Garante, e possono riguardare qualsiasi sito web, dalle grandi piattaforme alle PMI. Il piano ispettivo del Garante ha confermato che i controlli sull'uso dei cookie costituiscono una delle priorità dell'attività di vigilanza in corso.
Sul piano pratico, un titolare del trattamento che gestisce un sito web deve oggi porsi alcune domande precise. Il banner viene mostrato solo al primo accesso? I cookie non tecnici — analytics, profilazione, marketing — sono effettivamente bloccati prima che l'utente esprima il proprio consenso? Il pulsante "rifiuta tutto" è visivamente equivalente al pulsante "accetta tutto"? La scelta dell'utente viene memorizzata per almeno sei mesi senza essere reiterata? La cookie policy completa è raggiungibile con un clic dal banner? L'informativa cookie riporta le finalità effettive del trattamento, i destinatari dei dati e i periodi di conservazione, senza rinvii a norme abrogate?
La risposta negativa anche a una sola di queste domande può configurare una violazione del GDPR. E il fatto di aver affidato la gestione tecnica del banner a un fornitore esterno non esonera il titolare: nel sistema del GDPR, come ha ricordato il Garante, le responsabilità si sommano e non si sottraggono.
La vicenda del consenso ai cookie rivela qualcosa di più profondo sull'architettura del diritto digitale contemporaneo. La libertà di scelta online è spesso costruita — o demolita — prima che l'utente se ne accorga, nel codice e nel design dell'interfaccia. Riconoscere questo come un problema giuridico, e non solo tecnico, è il contributo più importante che l'attività del Garante sta offrendo in questa fase.
Keywords: cookie policy GDPR, consenso cookie GDPR, banner cookie conforme, cookie wall illegittimo, dark pattern cookie, Garante Privacy cookie, provvedimento Garante cookie, cookie policy sito web, consenso valido GDPR, pay or ok privacy, pay or consent GDPR, cookie di profilazione consenso, linee guida cookie Garante, cookie analytics GDPR, cookie tecnici senza consenso, GDPR trattamento dati personali, art 122 codice privacy cookie, cookie banner rifiuta tutto, GDPR sanzioni cookie, Nucleo Speciale Guardia di Finanza privacy, cookie policy PMI, violazione GDPR cookie, cookie policy ecommerce, cookie policy blog, scrolling consenso cookie, opt-in cookie GDPR, granularità consenso cookie, revoca consenso cookie, consenso libero GDPR, cookie di terze parti consenso, profilazione commerciale dati, tracciamento online GDPR, dark pattern interfaccia digitale, EDPB consenso linee guida, modello pay or ok, consent paywall legittimità, consenso condizionato GDPR, diritto alla privacy digitale, cookie banner dark pattern, banner cookie conforme 2025, cookie policy studio legale, privacy by design cookie, responsabile trattamento dati, titolare trattamento dati, cookie analytics anonimizzazione, cookie di sessione tecnici, banner cookie struttura legale, adeguamento GDPR sito web, informativa cookie completa, cookie policy aggiornata, direttiva ePrivacy cookie, cookie wall pay or ok, privacy GDPR Italia, Garante Privacy provvedimento 2025, controlli cookie Guardia di Finanza, cookie banner errori comuni, consenso esplicito cookie, trattamento illecito dati personali
Prompt immagine: Editorial photography: a close-up of a human hand hovering over a glowing laptop touchpad, about to click. On the screen, an oversized cookie consent banner dominates the interface, with one bright green "Accept All" button and a barely visible grey "Reject" option tucked in the corner. The scene conveys a feeling of subtle coercion and digital asymmetry. Muted blue and dark grey tones, with the green button casting a faint glow on the user's fingers. No text visible, focus on the visual imbalance of the two choices.
Fonti: 1. garanteprivacy.it — Provvedimento n. 98 del 27 febbraio 2025 [doc web 10118222]: trovato testo integrale, confermata violazione artt. 4, 5, 7, 12, 13, 24, 25 GDPR e art. 122 Codice Privacy, ammonimento. Pertinenza: alta.
2. garanteprivacy.it — Provvedimento n. 327 del 4 giugno 2025 [doc web 10152729]: trovato testo integrale, ispezione Guardia di Finanza su sito automotive, violazione informativa cookie e ricomparsa banner iterativa. Pertinenza: alta.
3. garanteprivacy.it — Provvedimento n. 272 del 29 aprile 2025 / Avviso GU n. 108 del 12 maggio 2025 [doc web 10126652]: trovato testo integrale, consultazione pubblica "Pay or Ok". Pertinenza: alta.
4. studiolegalestefanelli.it — Articolo su cookie e privacy, settembre 2025: conferma provvedimenti n. 98/2025 e n. 327/2025 e n. 391/2025, struttura pulsanti banner.
5. federprivacy.org — Articolo su provvedimento n. 391 del 10 luglio 2025: chiarezza come priorità, confermato provvedimento reale. Non citato direttamente nell'articolo per non appesantire, ma usato per contesto.
6. federprivacy.org — Articolo su "Pay or Ok" e consultazione pubblica: confermata apertura consultazione, termine 6 luglio 2025.
7. riskcompliance.it — Approfondimento "Pay or Consent", agosto 2025: conferma GU n. 108 del 12 maggio 2025, termine contributi 60 giorni.
8. myagileprivacy.com — Articolo "Cookie banner conforme GDPR 2026", marzo 2026: dati su dark pattern e percentuale piattaforme non conformi, utile per contesto.
9. garanteprivacy.it — Comunicato stampa Linee guida cookie 2021: base normativa, cookie wall, scrolling. Fonte primaria.
Verifica: SENTENZA/PROVVEDIMENTO 1: Garante per la protezione dei dati personali, provvedimento n. 98 del 27 febbraio 2025
1. ESISTE? Sì — trovato testo integrale su garanteprivacy.it, doc web n. 10118222.
2. CONTENUTO CORRETTO? Sì — violazione artt. 4 n. 11, 5, 7, 12, 13, 24 e 25 GDPR e art. 122 Codice Privacy; ammonimento senza sanzione pecuniaria; banner con pulsanti preselezionati non conformi. Conforme a quanto scritto nell'articolo.
3. FONTE DI CONFERMA: garanteprivacy.it (testo integrale), studiolegalestefanelli.it (conferma numero e data).
SENTENZA/PROVVEDIMENTO 2: Garante per la protezione dei dati personali, provvedimento n. 327 del 4 giugno 2025
1. ESISTE? Sì — trovato testo integrale su garanteprivacy.it, doc web n. 10152729, riguardante sito www.confalonieriauto.it.
2. CONTENUTO CORRETTO? Sì — ispezione Nucleo Speciale Guardia di Finanza; violazione artt. 12 e 13 GDPR; ricomparsa banner iterativa; informativa incompleta con rinvio a norme abrogate; ammonimento senza sanzione pecuniaria. Conforme.
3. FONTE DI CONFERMA: garanteprivacy.it (testo integrale), federprivacy.org (citazione del provvedimento 327), studiolegalestefanelli.it.
SENTENZA/PROVVEDIMENTO 3: Garante per la protezione dei dati personali, provvedimento n. 272 del 29 aprile 2025 (consultazione pubblica "Pay or Ok")
1. ESISTE? Sì — trovato testo integrale su garanteprivacy.it, doc web n. 10126652; avviso pubblicato su GU Serie Generale n. 108 del 12 maggio 2025.
2. CONTENUTO CORRETTO? Sì — avvio consultazione pubblica su modello "Pay or Ok"; istruttorie già aperte verso editori online; termine contributi 6 luglio 2025; quesiti su libertà consenso, trasparenza, accesso equo. Conforme a quanto scritto nell'articolo.
3. FONTE DI CONFERMA: garanteprivacy.it, riskcompliance.it, agendadigitale.eu, privacy.it.
GIUDIZIO COMPLESSIVO: VERDE. Tutti e tre i provvedimenti sono stati verificati con testo integrale su fonte primaria (garanteprivacy.it) e confermati da fonti secondarie autorevoli. I contenuti citati nell'articolo corrispondono a quanto rilevato nei testi ufficiali.
Redazione - Staff Studio Legale MP
