Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Privacy policy e cookie: come tenerla sempre aggiornata

Immagine autore: Avacy

Avacy

Aggiornato il 10 luglio 2026

Lettura 4 min

Molti pensano che solo i moduli con nome e cognome trattino dati personali, i cookie dicono il contrario.

I cookie sono dati personali secondo il GDPR, quindi vanno trattati nella privacy policy con lo stesso rigore di qualsiasi altro dato raccolto, seguendo i requisiti di trasparenza dell’art. 12. La sfida pratica è che i cookie cambiano nel tempo, spesso senza che chi gestisce il sito se ne accorga: un plugin aggiunto mesi fa potrebbe aver introdotto un cookie mai dichiarato.

In breve

I cookie sono dati personali a tutti gli effetti secondo il GDPR, quindi la sezione cookie della privacy policy deve essere specifica e accurata quanto il resto del documento. La difficoltà pratica è che i cookie operano in background e possono cambiare con l’aggiunta di un plugin o di un nuovo strumento di marketing, senza che il proprietario del sito se ne accorga: per questo conviene affidarsi a scansioni periodiche (manuali o automatiche) invece di scrivere la sezione cookie una volta sola e dimenticarsene.

Indice

Cos’è una privacy policy e perché riguarda anche i cookie?

La privacy policy è il documento che specifica quali dati personali raccogli, per quale scopo e come li proteggi: deve essere facilmente accessibile e scritta in un linguaggio chiaro, pena multe o azioni legali. Include anche la parte relativa ai cookie, che è tutt’altro che secondaria: la Direttiva ePrivacy e il GDPR influenzano direttamente come un sito può usare i cookie per tracciare i visitatori provenienti dall’UE, ed è un obbligo che riguarda anche i piccoli blog, non solo le grandi aziende. Per la guida completa a tutti gli elementi che una privacy policy deve contenere: Come creare una privacy policy efficace: guida passo-passo per il tuo sito. Qui ci concentriamo sul punto specifico della gestione dei cookie all’interno di questo documento.

Sì. I dati personali includono qualsiasi informazione in grado di identificare un individuo, direttamente o in combinazione con altri dati: nomi, email, localizzazione, indirizzi IP, foto, dati bancari, ma anche dettagli su salute, reddito, religione o cultura. I cookie, che tracciano l’attività di navigazione, rientrano a pieno titolo in questa definizione: è un punto spesso sottovalutato da chi pensa che “solo i moduli con nome e cognome” trattino dati personali.

Quando serve una privacy policy per un sito che usa i cookie?

Se il tuo sito raccoglie dati personali, ti serve una privacy policy che informi gli utenti. La maggior parte dei siti raccoglie dati utente, spesso tramite cookie, anche senza che il proprietario se ne renda conto: se il tuo sito usa hosting, plugin, pulsanti social o strumenti di analisi, con ogni probabilità stai già impostando cookie e raccogliendo dati considerati personali dal GDPR, anche se non lo hai deciso attivamente.

Cosa richiede l’art. 12 del GDPR per l’informativa sui cookie?

L’art. 12 del GDPR richiede che le informazioni sul trattamento dei dati siano comunicate in modo conciso, trasparente, chiaro e facilmente accessibile. In pratica, l’informativa (privacy policy e, dove serve, cookie policy) deve sempre includere:

  • Nome e contatti del titolare del trattamento;
  • Tipologie di dati personali raccolti, inclusi quelli tramite cookie;
  • Metodi e finalità della raccolta dati;
  • Misure di protezione dei dati raccolti;
  • Opzioni di opt-in e opt-out per gli utenti.

A differenza di altre forme di raccolta dati, i cookie operano in background e possono cambiare senza che tu te ne accorga: un nuovo plugin, un nuovo strumento di marketing, un aggiornamento di un tema WordPress possono aggiungere cookie che la tua privacy policy non menziona ancora. Il GDPR richiede che l’informativa sui cookie sia specifica e accurata, non genericamente corretta al momento della pubblicazione e poi ferma nel tempo.

Una piattaforma come Avacy può gestire questa complessità con scansioni regolari del sito, che aggiornano automaticamente la sezione cookie della privacy policy quando cambia qualcosa. Se vuoi verificare manualmente quali cookie sono davvero installati sul tuo sito in questo momento: Come scoprire quali cookie usa il tuo sito web.

Dove ottenere una privacy policy conforme?

L’informativa può essere una pagina a sé sul sito, accessibile da un link nell’header o nel footer, oppure ospitata da un servizio esterno: l’importante è che gli utenti possano raggiungerla facilmente. Essendo un documento legale, il suo contenuto dipende dalle leggi applicabili e da come il tuo sito tratta effettivamente i dati: un modello copiato da un altro sito, per quanto ben scritto, difficilmente riflette la tua situazione reale.

Esistono diversi modelli e generatori automatici, gratuiti o a pagamento: Avacy, ad esempio, genera la privacy policy rispondendo a poche domande sul tuo sito. In ogni caso, personalizzare il documento in base alle tue esigenze specifiche resta importante: una privacy policy inadeguata, anche se generata automaticamente, può essere problematica quanto non averne una. Per il processo completo: Come creare una privacy policy efficace: guida passo-passo per il tuo sito.

In sintesi

  • I cookie sono dati personali secondo il GDPR, anche se non identificano direttamente una persona per nome.

  • L’art. 12 del GDPR richiede un’informativa concisa, trasparente, chiara e accessibile.

  • La sezione cookie della privacy policy va aggiornata ogni volta che cambiano gli strumenti installati sul sito, non scritta una volta e dimenticata.

  • Un generatore automatico semplifica la creazione del documento, ma non sostituisce la personalizzazione sul caso reale del sito.

  • Una scansione periodica (manuale o automatica) è l’unico modo per sapere se la privacy policy riflette davvero i cookie attivi.

Domande frequenti

I cookie sono considerati dati personali dal GDPR?

Sì: qualsiasi informazione che permetta di identificare, anche indirettamente, una persona rientra nella definizione di dato personale, e i cookie di tracciamento vi rientrano a pieno titolo.

Che differenza c'è tra questa guida e "Come creare una privacy policy"?

Quella guida copre tutti gli elementi che un’intera privacy policy deve contenere; questa si concentra sul problema specifico di mantenere accurata nel tempo la parte relativa ai cookie.

Ogni quanto va aggiornata la sezione cookie della privacy policy?

Ogni volta che cambia qualcosa nei cookie realmente installati: un nuovo plugin, un nuovo strumento di marketing o analytics, un cambio di fornitore.

Basta un generatore automatico per avere una privacy policy conforme?

È un buon punto di partenza, ma non basta da solo: va comunque personalizzato sulla situazione reale del sito e tenuto aggiornato nel tempo.

Cosa prevede l'art. 12 del GDPR sull'informativa?

Richiede che le informazioni sul trattamento dei dati siano comunicate in modo conciso, trasparente, chiaro e facilmente accessibile agli utenti.

Il mio sito ha bisogno di una privacy policy anche se uso solo plugin e strumenti di analytics?

Sì: hosting, plugin, pulsanti social e strumenti di analisi impostano quasi sempre cookie che raccolgono dati personali, anche senza una decisione attiva del proprietario del sito.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Avacy
L'autore di questo post

Avacy

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.