Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Come creare una cookie policy conforme al GDPR

Immagine autore: Avacy

Avacy

Aggiornato il 7 luglio 2026

Lettura 3 min

Come creare una cookie policy

Una cookie policy scritta bene il giorno del lancio del sito può diventare imprecisa pochi mesi dopo, senza che tu te ne accorga.

Una cookie policy conforme deve indicare tipi di cookie, durata, dati raccolti, scopo del tracciamento e come rifiutarli, ma il punto critico è che va aggiornata ogni volta che cambiano i cookie realmente attivi sul sito, non scritta una volta e dimenticata. Il primo passo pratico non è scrivere il testo, è sapere davvero cosa il tuo sito sta installando.

In breve

Una cookie policy conforme al GDPR e alla Direttiva ePrivacy deve indicare tipi di cookie usati, durata, dati raccolti, scopo del tracciamento, destinatari dei dati e come rifiutarli o modificare le preferenze. Va creata identificando prima i cookie realmente attivi sul sito (anche tramite scansione automatica), poi scrivendo la policy in modo chiaro, e infine aggiornandola regolarmente: i cookie cambiano nel tempo più spesso di quanto si pensi. La normativa europea si applica anche a siti extra-UE con utenti europei, mentre negli USA il quadro resta un mosaico di leggi statali in crescita.

Indice

Cos’è una cookie policy e perché ti serve?

La cookie policy è la dichiarazione che spiega quali cookie sono attivi sul tuo sito, quali dati raccolgono, per quale scopo e a chi vengono inviati, oltre a fornire istruzioni su come rifiutarli o modificare le impostazioni. È comune integrarla nella privacy policy, che copre più in generale tutti i trattamenti di dati sul sito (moduli di contatto, mailing list e altro). Poiché i cookie usati possono cambiare frequentemente, la cookie policy va aggiornata con regolarità per restare accurata: sulle tipologie di cookie e sulla differenza rispetto alla privacy policy, trovi un approfondimento completo qui: Cosa sono i cookie e quali tipologie esistono e Cookie policy e privacy policy: le differenze spiegate bene.

Cosa richiedono GDPR e Direttiva ePrivacy per la cookie policy?

Il GDPR, insieme alla Direttiva ePrivacy che regola nello specifico l’uso dei cookie, richiede che i visitatori di un sito abbiano diritto a informazioni specifiche e aggiornate sui propri dati personali, incluso l’uso dei cookie. Ogni sito deve quindi avere una cookie policy ben definita, che includa dettagli sul consenso e sulla documentazione dell’autorizzazione. Non basta che la cookie policy esista: deve contenere informazioni specifiche, accurate e aggiornate sull’utilizzo reale dei cookie e sulle opzioni per accettarli o rifiutarli.

Cosa deve contenere una cookie policy conforme?

La cookie policy dovrebbe chiarire:

  • I tipi di cookie utilizzati;
  • La durata dei cookie nel browser;
  • I dati raccolti da ciascun cookie;
  • Lo scopo del tracciamento (funzionalità, prestazioni, statistiche, marketing);
  • Dove vengono inviati i dati e con chi vengono condivisi;
  • Come rifiutare i cookie e modificare le impostazioni.

La tua cookie policy contiene tutti gli elementi richiesti? Verificalo.

Una checklist con i 6 elementi che una cookie policy conforme al GDPR deve sempre contenere, per verificare in pochi minuti se la tua è completa.

Come creare una cookie policy: i 3 passaggi pratici

  1. Identifica i cookie in uso: sapere quali cookie sono attivi sul tuo sito, direttamente o tramite terze parti, è il primo passo. Una piattaforma come Avacy può scansionare il sito e rilevarli automaticamente; se vuoi verificarlo anche manualmente, la guida completa è qui: Come scoprire quali cookie usa il tuo sito web.
  2. Scrivi la policy: con tutte le informazioni raccolte, puoi redigerla come parte della privacy policy o come pagina separata.
  3. Punta su semplicità e chiarezza: le informazioni sul tracciamento vanno scritte in un linguaggio comprensibile anche a chi non ha competenze tecniche o legali.

La normativa europea sui cookie influenza anche i siti negli USA e nel Regno Unito?

Sì. Il GDPR non riguarda solo i siti con sede nell’UE, ma anche quelli che hanno utenti europei, il che lo rende rilevante su scala globale. Il Regno Unito ha una normativa sostanzialmente equivalente (UK GDPR), mentre negli Stati Uniti il quadro è più frammentato: non esiste un’unica legge federale sulla privacy, ma un mosaico di leggi statali in continua crescita, che nel 2026 supera ormai una ventina di stati, a partire da CCPA/CPRA in California. Se il tuo sito ha utenti sia europei che statunitensi, la cookie policy deve tenere conto di entrambi i quadri normativi, non solo del GDPR.

Meglio un modello o un generatore automatico?

Trovi facilmente esempi e modelli online per una cookie policy, ma vanno sempre personalizzati e aggiornati regolarmente per riflettere davvero i cookie attivi sul tuo sito: una policy generica copiata da un altro sito rischia di dichiarare cookie che non hai, o di ometterne altri che hai davvero.

Soluzioni come Avacy, che aggiornano automaticamente la cookie policy collegandola alla scansione periodica del sito, semplificano questo processo: una cookie policy ben strutturata e conforme al GDPR è essenziale per operare legalmente e con trasparenza nell’Unione Europea e oltre.

In sintesi

  • Una cookie policy conforme indica tipi di cookie, durata, dati raccolti, scopo, destinatari e modalità di rifiuto.

  • Il primo passo pratico è identificare i cookie realmente attivi, non scrivere subito il testo.

  • Va aggiornata regolarmente: i cookie cambiano nel tempo, spesso senza che il proprietario del sito se ne accorga.

  • Si applica anche a siti extra-UE con utenti europei; negli USA il quadro resta un mosaico di leggi statali in crescita.

  • Un generatore automatico collegato a una scansione periodica riduce il rischio di una policy obsoleta.

Domande frequenti

La cookie policy deve essere una pagina separata dalla privacy policy?

Non necessariamente: può essere integrata nella privacy policy o essere una pagina a sé, purché sia facilmente raggiungibile dagli utenti.

Ogni quanto va aggiornata la cookie policy?

Ogni volta che cambiano i cookie realmente installati sul sito, ad esempio dopo aver aggiunto un nuovo plugin o strumento di marketing.

Basta un modello scaricato online per la mia cookie policy?

No: un modello generico rischia di non riflettere i cookie realmente usati dal tuo sito. Va sempre personalizzato sulla base di una verifica reale.

La normativa europea sui cookie si applica anche se la mia azienda non è in UE?

Sì, se il tuo sito ha utenti europei: il GDPR si applica in base a chi visita il sito, non solo a dove ha sede l’azienda.

Cosa deve indicare la cookie policy sui cookie di terze parti?

Deve specificare quali terze parti installano cookie sul sito, per quali finalità, e con chi vengono eventualmente condivisi i dati raccolti.

Come identifico quali cookie sono davvero attivi sul mio sito?

Con una scansione automatica (come quella di Avacy) o manualmente tramite gli strumenti per sviluppatori del browser, controllando più pagine del sito, non solo la home.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Avacy
L'autore di questo post

Avacy

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.