Sicurezza & Normativa
Compliance GDPR e cookie 2026: il Garante controlla, e le multe non sono più teoria

Un banner cookie fatto male non è un dettaglio estetico. Nel 2026 è la prima cosa che un ispettore guarda, ed è la più facile da sanzionare. Se il tuo sito installa un tracciante prima del consenso, o se il pulsante "rifiuta" è meno visibile di "accetta", sei già fuori norma. Non serve un reclamo: il controllo può arrivare a campione.
Negli ultimi anni il Garante per la protezione dei dati personali (GPDP), l'autorità amministrativa indipendente italiana istituita per tutelare i diritti, ha intensificato i controlli sui siti web italiani e sulla loro gestione della privacy e dei dati degli utenti, affidando le ispezioni al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Il risultato è un panorama in cui la "distrazione" sul fronte privacy, soprattutto per quanto riguarda i cookie, si paga sempre più spesso in termini di sanzioni, danni reputazionali e contenziosi.
Perché la compliance GDPR non è più trascurabile
Il GDPR è in vigore dal 2018, ma molte aziende continuano a trascurare gli adempimenti privacy, trattandoli come un esercizio burocratico e di poco rilievo. Negli ultimi tempi questo atteggiamento si è rivelato sempre più rischioso, per diversi motivi.
Le ispezioni non sono più episodiche e rare: già da qualche anno il GPDP ed enti analoghi a livello europeo effettuano controlli specifici sull'uso dei cookie nei propri piani ispettivi periodici sui siti pubblicamente accessibili. Qualunque azienda con una presenza online può essere oggetto di controllo, a campione o su segnalazione di un utente.
Le sanzioni sono molto varie e cambiano molto in base alla gravità della violazione. Solo nell'ultimo periodo si sono registrati provvedimenti significativi: ad esempio, Enel Energia è stata sanzionata per 563.000 euro per l'utilizzo improprio di contatti gestionali a fini di telemarketing; MLU, la società con sede nei Paesi Bassi che gestisce in Europa l'app di ridehailing Yango, è stata multata dall'Autorità olandese per la protezione dei dati per ben 100 milioni di euro per aver trasferito senza adeguate garanzie i dati di utenti e autisti verso società collegate con sede in Russia; Autostrade per l'Italia S.p.A. è stata multata per 420.000 euro per trattamento illecito di dati personali legato al monitoraggio dei dipendenti.
Oggigiorno gestire i dati non è affatto semplice, anche perché il quadro normativo si è arricchito di nuovi tasselli che si affiancano al GDPR: dal 12 settembre 2025 è diventato pienamente applicabile il Data Act, che disciplina l'accessibilità e la condivisione dei dati con un approccio incentrato sulla governance più che sulla privacy in senso stretto, mentre restano aperti i fronti dell'AI Act e del cosiddetto "Chat Control".
Le conseguenze e i rischi di una compliance carente
Oltre alle sanzioni, che possono arrivare fino al 4% del fatturato annuo, un'azienda non a norma si esporrebbe a diversi altri rischi:
Provvedimenti correttivi vincolanti, come l'obbligo di modificare entro tempi stretti banner, informative o modalità di raccolta del consenso, con conseguenti costi di intervento urgente sui sistemi.
Richieste di risarcimento da parte degli utenti: i giudici hanno chiarito di recente che, se qualcuno viola la tua privacy, il risarcimento in denaro non scatta in automatico. Per ottenerlo, l'utente deve dimostrare di aver subìto un danno vero, concreto e documentabile. Con ciò si va incontro a molteplici contenziosi e ulteriori costi economici, anche solo per la gestione legale delle controversie.
Danno reputazionale, spesso più costoso della sanzione stessa, dato che i provvedimenti del Garante vengono pubblicati e ripresi dalla stampa specializzata e generalista.
Le novità sui cookie nel 2026
La base normativa di riferimento per la gestione della privacy online resta saldamente ancorata alle Linee guida cookie e altri strumenti di tracciamento pubblicate dal Garante nel 2021. Negli ultimi anni, tuttavia, l'applicazione pratica di queste regole è diventata decisamente più severa, arricchendosi di chiarimenti puntuali che definiscono uno standard di conformità molto elevato.
Nessun tracciamento prima del consenso
Il pilastro fondamentale della disciplina stabilisce che non può esserci alcun tracciamento prima del consenso. Al primo accesso a un sito, nessun cookie diverso da quello strettamente tecnico può essere installato. Questo blocco preventivo si applica sia alle tecniche di tracciamento attive (come i cookie di terze parti) sia a quelle passive (come il fingerprinting).
Banner senza trucchi
Per raccogliere tale consenso, i siti devono utilizzare banner privi di trucchi. Il Garante ha più volte ribadito l'illegittimità dei cosiddetti dark pattern, ovvero i trucchi di design usati su siti e app per ingannare e manipolare l'utente, spingendolo a fare acquisti o a cedere dati personali che non vorrebbe condividere. Sono inoltre vietati pulsanti di rifiuto meno visibili di quelli di accettazione, così come l'uso di colori o dimensioni studiati per orientare la scelta dell'utente. Tutti i comandi del banner devono avere pari rilevanza visiva.
Linguaggio chiaro, non solo formalmente corretto
La trasparenza non è un dettaglio estetico, ma un vero e proprio criterio di conformità giuridica. I provvedimenti più recenti sottolineano che il banner deve adottare un linguaggio chiaro e non solo formalmente corretto. Descrizioni vaghe o ambigue, come la generica etichetta "cookie di esperienza", sono considerate insufficienti e sanzionabili, anche se l'azienda ha agito in totale buona fede.
Niente cookie wall
Un altro punto fermo riguarda i cookie wall, cioè il blocco totale di un sito web che costringe l'utente ad accettare i cookie di tracciamento per poter leggere i contenuti, vietandogli l'accesso se decide di rifiutarli: questa pratica resta vietata. Bloccare l'accesso al sito a chi non accetta il tracciamento è illegittimo, a meno che non venga offerta all'utente un'alternativa equivalente e strutturata senza finalità di profilazione.
Le preferenze vanno ricordate
Una volta che l'utente ha espresso la propria scelta, le preferenze vanno rispettate e non richieste di continuo. Il banner non deve ricomparire a ogni visita: la decisione dell'utente va memorizzata per almeno sei mesi, a meno che non intervengano modifiche sostanziali del trattamento o che risulti tecnicamente impossibile ricordare la scelta, come nel caso in cui l'utente cancelli manualmente i cookie dal proprio browser.
Anche i pixel nelle email
Infine, l'azione di vigilanza del Garante ha superato i confini del classico sito web, introducendo nuove linee guida anche su strumenti collegati. L'attenzione si è infatti estesa a tecnologie di tracciamento meno visibili ma altrettanto rilevanti, come i tracking pixel inseriti nelle email, ovvero minuscole immagini invisibili nascoste nei messaggi che registrano di nascosto cosa l'utente clicca, da dove si collega e se apre i contenuti, inviando questi dati ai pubblicitari.
"Ma non dovevano abolire i banner cookie?"
Qui va fatta chiarezza, perché è il punto su cui circola più confusione. A novembre 2025 la Commissione europea ha proposto, all'interno del pacchetto Digital Omnibus, di semplificare la gestione del consenso e ridurre la proliferazione dei banner. Molti titoli hanno tradotto la notizia in "addio ai cookie banner". La realtà è più prudente.
Al momento si tratta solo di una proposta, non di una legge in vigore: fino all'adozione formale del regolamento continua a valere il quadro attuale, GDPR compreso. Non solo. Il meccanismo che avrebbe davvero eliminato i banner, cioè un segnale automatico di consenso gestito a livello di browser, è stato accantonato nel testo discusso in Consiglio a giugno 2026, dopo l'opposizione di diversi Stati membri tra cui Germania e Francia.
E anche nella versione più ottimistica della riforma, il consenso resterebbe comunque obbligatorio per pubblicità, profilazione e tracciamento di terze parti. A cambiare sarebbe solo l'esenzione per i cookie a basso rischio, come il semplice conteggio delle visite, che non farebbero più scattare il pop-up.
Tradotto per chi ha un'azienda: oggi, e per il prevedibile futuro, un sito che usa tracciamento pubblicitario o analitico di terze parti ha ancora bisogno di un banner a norma e di un sistema di gestione del consenso funzionante. Chi ha smesso di preoccuparsene fidandosi dello slogan "tanto li aboliscono" si sta esponendo a un rischio concreto oggi, su una regola che oggi è pienamente in vigore.
L'impatto delle nuove tecnologie di tracciamento
Il progressivo abbandono dei cookie di terze parti da parte dei principali browser ha spinto molte aziende ad adottare soluzioni alternative per non perdere visibilità sulle proprie campagne pubblicitarie, e queste soluzioni portano con sé nuovi obblighi di compliance.
Google Consent Mode v2 è il sistema che comunica a Google se l'utente ha accettato o rifiutato i cookie. Se l'utente li rifiuta, il sistema usa l'intelligenza artificiale per stimare i dati e i risultati delle campagne pubblicitarie in modo anonimo, ed è diventato un requisito fondamentale per chi fa pubblicità digitale.
Il server-side tracking, che sposta la raccolta dei dati dal dispositivo dell'utente a un server di proprietà dell'azienda, offre un controllo maggiore sui dati prima del loro invio a piattaforme terze, ma richiede comunque una gestione del consenso coerente con le linee guida del Garante.
Come mettersi (e restare) in regola
Riportare la gestione di cookie e privacy in linea con la normativa non è impossibile né particolarmente difficile: basta adottare soluzioni periodiche e un minimo di attenzione costante.
Effettuare un audit periodico del proprio sito, verificando quali cookie e tracciatori vengono effettivamente installati prima e dopo il consenso, è il primo passo per individuare scostamenti rispetto a quanto dichiarato nella cookie policy.
Rivedere testi e design del banner, con un'attenzione specifica alla chiarezza delle etichette delle categorie di cookie e alla parità visiva dei pulsanti di accettazione e rifiuto, riduce il rischio di contestazioni legate ai dark pattern.
Verificare i tempi di conservazione delle preferenze dell'utente e assicurarsi che il banner non si ripresenti in modo ridondante è un controllo tecnico spesso sottovalutato, ma facilmente verificabile durante un'ispezione.
Mantenere aggiornata la documentazione di accountability, comprese le valutazioni d'impatto dove richieste, e coinvolgere il Data Protection Officer nelle decisioni che riguardano nuove tecnologie di tracciamento, aiuta a dimostrare un atteggiamento proattivo che, come confermato in alcuni provvedimenti recenti, può portare il Garante a optare per un ammonimento invece che per una sanzione pecuniaria.
Non è un obbligo di legge, è tutela del business
I controlli sui cookie e sulla compliance GDPR non sono più un'eventualità remota, ma un'attività ispettiva strutturata e ricorrente che coinvolge tutti i siti web attivi online. Le aziende che non investono in una gestione corretta del consenso e della protezione dei dati si espongono a sanzioni economiche significative, provvedimenti correttivi, contenziosi con gli utenti e un danno reputazionale spesso più difficile da riparare della multa stessa.
Aggiornare periodicamente banner, informative e processi interni non è più solo un obbligo di legge, ma una forma di tutela del business. E il punto vero è questo: la compliance non si applica a fine progetto, si costruisce dentro l'architettura del sito. Un sito nato con la privacy per design, con il blocco preventivo dei tracciatori e una gestione del consenso pulita, arriva a un'ispezione senza sorprese. Un sito montato su un template pieno di plugin, con un banner scaricato a caso, è un'esposizione che aspetta solo di essere trovata.
Il tuo sito reggerebbe un'ispezione del Garante?
Banner non a norma, tracciatori che partono prima del consenso, dark pattern involontari: sono i tre motivi per cui la maggior parte dei siti italiani non passerebbe un controllo. In M's Works costruiamo siti conformi per design, con blocco preventivo dei tracciatori, gestione del consenso pulita e sicurezza dei dati dentro l'architettura, non appiccicata dopo.