← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 122 disciplina l'uso di cookie e altri identificatori che memorizzano informazioni nel dispositivo dell'utente.
  • Recepisce la Direttiva ePrivacy 2002/58/CE (modificata dalla 2009/136/CE).
  • Sono consentiti i cookie tecnici (necessari alla fruizione del servizio) senza consenso.
  • I cookie di profilazione e marketing richiedono consenso esplicito preventivo (opt-in).
  • Il provv. Garante 10 giugno 2021 ha fissato le linee guida pratiche: banner conforme, opzione "rifiuta tutto" allo stesso livello di "accetta tutto", no scroll-as-consent.
  • Le sanzioni sono cumulabili: privacy (art. 166) + ePrivacy (art. 162-bis).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente è consentita unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato.
Stesso numero, altri codici

Commento

Il quadro normativo: ePrivacy e Codice

L'art. 122 del Codice Privacy recepisce la Direttiva ePrivacy 2002/58/CE, come modificata dalla 2009/136/CE (cd. direttiva cookie law), e disciplina l'uso di cookie e altri identificatori che memorizzano informazioni nei dispositivi degli utenti. La norma è il riferimento centrale per la protezione dei dati nel mondo del web e degli identificatori online. Si applica in modo trasversale a siti web, app, email marketing, social plugin, tag di tracking, pixel pubblicitari, fingerprinting del browser.

Tipologie di cookie

L'art. 122 e il provv. Garante 10 giugno 2021 distinguono: a) cookie tecnici (necessari al funzionamento del sito o richiesti dall'utente per fruire del servizio: session ID, preferenze di lingua, carrello e-commerce): ammessi senza consenso ma con informativa; b) cookie analytics di prima parte con IP anonimizzato: equiparati ai tecnici (linee guida 2021); c) cookie analytics di terze parti, cookie di profilazione, cookie pubblicitari: richiedono consenso esplicito preventivo; d) cookie social plugin (Facebook Like, Twitter Share): richiedono consenso (sono di terze parti).

Requisiti del consenso valido

Il consenso ai cookie deve essere: a) libero (l'accesso al sito non può essere subordinato al consenso); b) specifico (per ciascuna categoria di cookie); c) informato (banner chiaro con sintesi delle finalità); d) inequivocabile (azione positiva, no scroll, no proseguimento della navigazione, no caselle preselezionate); e) revocabile in qualsiasi momento con la stessa facilità con cui è stato dato. Il provv. 10 giugno 2021 impone: banner con bottoni "accetta tutto" e "rifiuta tutto" allo stesso livello visivo; possibilità di selezione granulare per categoria; link a informativa completa.

Il provv. Garante 10 giugno 2021: il nuovo standard

Il provvedimento del Garante del 10 giugno 2021 ha riscritto la prassi italiana dei cookie. I punti chiave: a) abolizione dello scroll-as-consent; b) durata massima del cookie tecnico-banner pari a 6 mesi (poi va richiesto nuovamente il consenso); c) obbligo di pulsante "rifiuta tutto" equivalente a "accetta tutto"; d) divieto di cookie wall (no consenso → no contenuto) salvo casi limitati di pay-or-consent. Le linee guida hanno ispirato la successiva direttiva CGUE (sent. Planet49, C-673/17) e il Comitato EDPB.

Cookie wall e pay-or-consent

Una questione controversa è il "cookie wall": negare l'accesso al sito a chi rifiuta i cookie. Il provv. 2021 del Garante lo ha vietato come regola generale. Tuttavia, l'EDPB (linee guida 2/2023) e successivi provvedimenti del Garante hanno aperto a modelli "pay-or-consent" purché: a) il pagamento sia ragionevole; b) le funzionalità tecniche non siano negate; c) l'utente abbia un'alternativa reale. Il caso Meta del 2024 è emblematico: il Garante ha aperto istruttoria sulla legittimità del modello.

Sanzioni e responsabilità

La violazione dell'art. 122 è sanzionata: a) amministrativamente con le sanzioni privacy dell'art. 166 del Codice (fino al 4% del fatturato annuo globale); b) con le sanzioni ePrivacy dell'art. 162-bis del Codice (sanzione amministrativa specifica per cookie illeciti); c) eventualmente con responsabilità civile risarcitoria ex art. 82 GDPR. Il Garante ha applicato numerose sanzioni nel 2022-2024 a editori, e-commerce e portali. La compliance è verificabile con strumenti automatizzati (cookie audit, CMP - Consent Management Platform).

Casistica: sanzioni del Garante a editori, e-commerce, broker

Il Garante ha applicato l'art. 122 in numerosi casi: a) sanzione a Vodafone (2020, 12,2 milioni di euro) per cookie illeciti e mancato consenso; b) sanzione a Iren Mercato (2022, 2,8 milioni) per analoghe violazioni; c) sanzione a Tice (2023, 50.000 euro) per banner non conforme; d) numerose sanzioni a editori online per scroll-as-consent post-provv. 2021. La tendenza è verso un'applicazione rigorosa, con audit automatizzati: il Garante usa strumenti tecnici (cookie audit, scanner web) per identificare violazioni sistemiche. Le associazioni di categoria (UPA, IAB Italia) hanno sviluppato standard tecnici (Transparency and Consent Framework, TCF) per facilitare la compliance.

Il futuro: ePrivacy Regulation e PETs

L'art. 122 sarà rivisitato con l'adozione della futura ePrivacy Regulation (in negoziazione UE, attesa 2025-2026) che sostituirà la Direttiva 2002/58/CE. Tra le novità attese: a) consolidamento delle regole su cookie e identificatori; b) consenso unico tramite browser settings (browser-based consent); c) regole più stringenti su tracking pixel ed email marketing; d) integrazione con privacy-enhancing technologies (PETs) come differential privacy, federated learning, secure multi-party computation. Il dibattito sul "pay or consent" è centrale: l'EDPB nel 2024 ha pubblicato linee guida che ammettono il modello solo in casi limitati con vere alternative.

Prassi e linee guida

· 10/06/2021

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio sito e-commerce: banner conforme

Tizio gestisce un e-commerce. Configura il banner cookie secondo il provv. Garante 10 giugno 2021: "accetta tutto" e "rifiuta tutto" allo stesso livello, sezione "personalizza" con selezione per categoria, informativa estesa linkata. I cookie tecnici e analytics anonimi sono attivi di default; i profilazione attendono opt-in esplicito.

Caso 2: Caia editore: scroll-as-consent vietato

Caia, editrice online, aveva un banner che diceva "continuando la navigazione accetti i cookie". Dopo il provv. 10 giugno 2021, lo scroll come consenso è vietato. Il Garante apre istruttoria, irroga sanzione di 50.000 euro e ordina riconfigurazione del banner. Caia adegua e ottiene archiviazione futura.

Caso 3: Sempronio app mobile: SDK pubblicitari

Sempronio gestisce un'app gratuita finanziata da pubblicità. Integra SDK di tracking (Facebook SDK, Google Ads). Verifica l'art. 122: il consenso degli utenti deve essere ottenuto al primo avvio, prima di attivare gli SDK. In assenza, il trattamento è illecito. Implementa una IDFA Consent Dialog conforme.

Caso 4: Commento applicativo

L'art. 122 è la norma chiave del web italiano. La compliance richiede: banner conforme al provv. 2021, classificazione corretta dei cookie, CMP integrata, audit periodico, cookie policy aggiornata. Le sanzioni sono cumulabili: privacy e ePrivacy. I provvedimenti del Garante sono il principale benchmark applicativo.

Domande frequenti

Tutti i cookie richiedono consenso?

No. I cookie tecnici (necessari al servizio) e gli analytics di prima parte con IP anonimizzato sono ammessi senza consenso, ma con informativa. I cookie di profilazione, marketing e di terze parti richiedono consenso esplicito preventivo.

Lo scroll del sito vale come consenso?

No. Il provv. Garante 10 giugno 2021 ha vietato lo scroll-as-consent. Serve azione positiva specifica: clic su "accetta tutto", "personalizza" o "rifiuta tutto".

Il banner deve avere il bottone "rifiuta tutto"?

Sì, allo stesso livello visivo di "accetta tutto". L'asimmetria visiva è considerata pratica scorretta dal Garante e dalle linee guida EDPB.

Posso negare l'accesso al sito a chi rifiuta i cookie?

Il cookie wall puro è vietato dal provv. 2021. È ammesso il modello pay-or-consent purché il pagamento sia ragionevole e l'utente abbia un'alternativa reale (linee guida EDPB 2023).

Quale è la sanzione per cookie illeciti?

Sanzione privacy ex art. 166 del Codice (fino al 4% del fatturato) cumulabile con sanzione ePrivacy ex art. 162-bis del Codice. I provvedimenti del Garante 2022-2024 hanno applicato sanzioni fino a centinaia di migliaia di euro.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.