Cos'è il Consenso Cookie

Il consenso cookie è l'obbligo legale di ottenere il permesso esplicito dell'utente prima di installare cookie non essenziali (profilazione, marketing, analytics) sul suo dispositivo. È regolato dalla Direttiva ePrivacy (2002/58/CE) e dal GDPR (Regolamento UE 2016/679).

Cosa dice la legge

Cookie che richiedono consenso

  • Cookie di profilazione: Meta Pixel, Google Ads, LinkedIn Insight Tag
  • Cookie analytics di terze parti: Google Analytics (con IP non anonimizzato)
  • Cookie di remarketing: pixel per campagne retargeting
  • Cookie social: widget di condivisione che tracciano l'utente

Cookie che NON richiedono consenso

  • Cookie tecnici: sessione, autenticazione, preferenze lingua/tema
  • Cookie di sicurezza: CSRF token, antifrode
  • Cookie analytics first-party anonimizzati: GA4 con IP anonimizzato e senza condivisione dati con Google (secondo alcune interpretazioni — verificare con il DPO)

Requisiti per un consenso valido (GDPR)

Il consenso deve essere:

  • Libero: l'utente non deve essere costretto. No cookie wall (accetta o non accedi al sito)
  • Specifico: deve poter scegliere quali categorie accettare
  • Informato: deve sapere quali cookie vengono usati e perché
  • Inequivocabile: serve un'azione positiva (click su "Accetta"). Lo scroll o la navigazione NON sono consenso
  • Revocabile: l'utente deve poter ritirare il consenso facilmente

Come implementare correttamente

Banner cookie

  • Primo livello: breve informativa con pulsanti "Accetta tutti", "Rifiuta tutti", "Personalizza"
  • Secondo livello: dettaglio per categoria (tecnici, analytics, marketing) con toggle on/off
  • Il pulsante "Rifiuta" deve essere ugualmente visibile al pulsante "Accetta" (Linee Guida Garante Privacy italiano, 2021)

Blocco preventivo

I cookie non essenziali non devono essere caricati prima del consenso. Questo significa:

  • Non caricare il Meta Pixel prima che l'utente accetti
  • Non caricare Google Analytics prima del consenso (o usare la versione cookieless)
  • Implementare il blocco preventivo tramite la CMP (Consent Management Platform)

Consent Management Platform (CMP)

Piattaforme come iubenda, Cookiebot, OneTrust gestiscono:

  • Il banner e le preferenze utente
  • Il blocco preventivo degli script
  • La registrazione della prova del consenso (obbligatoria per accountability GDPR)
  • La scansione periodica dei cookie presenti sul sito

Impatto su analytics e marketing

Il consenso cookie ha un impatto diretto sulle metriche:

  • 20-40% degli utenti rifiuta i cookie di analytics (percentuale che varia per Paese e settore)
  • I dati di Google Analytics rappresentano solo gli utenti che hanno accettato
  • Le audience di remarketing si riducono proporzionalmente ai rifiuti
  • L'attribution diventa meno precisa

Strategie di adattamento

  • Server-side tracking: raccolta dati lato server (es. Google Tag Manager server-side) con anonimizzazione
  • Modellazione conversioni: Google Ads e Meta usano il machine learning per stimare le conversioni non tracciate
  • First-party data strategy: raccogliere dati direttamente (email, CRM) anziché dipendere dai cookie di terze parti
  • Consent mode: modalità di Google che raccoglie dati aggregati e anonimizzati anche senza consenso, usandoli per la modellazione

Cookie e SEO

I cookie non influenzano direttamente il ranking, ma il banner cookie influenza l'esperienza utente. Un banner invasivo che copre il contenuto, difficile da chiudere o che ricarica la pagina dopo la scelta peggiora i Core Web Vitals (CLS in particolare) e il bounce rate.