Conformità e-commerce
WooCommerce: i tuoi cookie sono troppo cotti
Hai installato un banner, mentalmente spuntato la casella «conforme» e sei tornato a vendere. Il problema è che nella maggior parte dei negozi che controlliamo quel banner ha la stessa utilità di un estintore dipinto su un muro: rassicura, non salva nulla.
Hai fatto come tutti gli altri. Il guaio è che «tutti gli altri» sbagliano. Buona notizia, comunque: non è quasi mai colpa di WooCommerce. E si ripara.
La verità in due frasi
WooCommerce di base non è fuorilegge per i suoi cookie: carrello e sessione sono generalmente difendibili come «strettamente necessari». I guai cominciano quando ci impili sopra analytics, pixel pubblicitari, retargeting, heatmap e recupero carrello — e tutta questa ferraglia si attiva prima che il visitatore abbia detto sì.
Traduzione: il colpevole non è la cassa, sono le spie che ci hanno incollato sopra.
Cosa crea problemi in un carrello WooCommerce «vestito»
I cookie WooCommerce «onesti»
WooCommerce imposta cookie funzionali — woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_ — per seguire il carrello e ritrovarlo lato server. Non contengono direttamente dati personali.
Ed è qui che ci si frega: «niente dato personale dentro il cookie» non significa «fuori dal GDPR». Un identificatore univoco collegato dietro le quinte a un carrello, un account o un ordine partecipa all'identificazione di una persona. Il GDPR del resto annovera gli identificatori online, cookie compresi, tra ciò che rende qualcuno identificabile. Il cookie fa l'innocente; il server, lui, sa benissimo chi sei.
In chiaro:
cart_hash,items_in_cart,wp_woocommerce_session_→ strettamente necessari, senza opt-in, finché non servono di nascosto al marketing.woocommerce_recently_viewed→ sospetto d'ufficio. Se alimenta raccomandazioni, retargeting o uno strumento di terze parti, trattalo come non essenziale.
Lato WordPress, stessa logica: cookie di autenticazione (necessari), ma cookie di commento (comment_author_*) conservati quasi un anno e del tutto inutili a un acquisto. Da dichiarare, anzi da congedare.
La regola del gioco europea: due serrature, una chiave sola non basta
In Europa non controlli una porta ma due:
- Posare o leggere il tracciatore ricade sotto l'ePrivacy (in Francia, l'articolo 82 della legge Informatica e Libertà) — anche se il cookie non contiene alcun dato personale.
- Ciò che si fa dei dati raccolti ricade sotto il GDPR.
Lo zoccolo non si è mosso, ed è spietato con i furbi: continuare a navigare non vale consenso; serve un atto positivo chiaro; e ogni piroetta diversa da un «sì» schietto — chiudere il banner, per esempio — conta come un rifiuto. Soprattutto, rifiutare deve essere semplice quanto accettare. Il trucco del pulsante «Accetta» in verde fluo e del «Rifiuta» nascosto tre sottomenu più giù ha fatto il suo tempo.
Alcuni tracciatori sono esentati (carrello, autenticazione, sicurezza, e una misurazione d'audience molto inquadrata). Ma — dettaglio che molti dimenticano — esentato non vuol dire invisibile: bisogna comunque informarne l'utente.
L'autorità francese (CNIL) ha pubblicato una FAQ il 29 aprile 2026 e sta lavorando sul consenso «multi-dispositivo» e poi «multi-proprietà» (lo stesso consenso valido su più siti di uno stesso gruppo). Sono chiarimenti e cantieri, non una nuova legge che renderebbe il tuo negozio illegale da un giorno all'altro. Quando un articolo ti vende «LA nuova normativa cookie 2026» a lettere cubitali, tieni una mano sul portafoglio: la base resta GDPR + ePrivacy + linee guida.
E l'ePrivacy nuova versione? Il famoso regolamento che doveva sostituire la direttiva è stato abbandonato — sepolto dopo anni di negoziati. Circolano proposte di semplificazione (il «Digital Omnibus»), ma una proposta non è una legge. Non legiferare sul tuo sito basandoti sul condizionale.
Le 7 piaghe del WooCommerce non conforme
- Battezzare tutto «necessario». Il carrello, d'accordo. Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Criteo, Google Ads e l'affiliazione, di certo no. «Necessario» non è sinonimo di «comodo per il mio marketing».
- Il banner imbroglione. «Accetta tutto» in grande, rifiuto in piccolo piccolo, caselle pre-spuntate e nessuna prova del consenso. Design che si chiama gentilmente dark pattern, e sgarbatamente fregatura.
- Il tiro prima del via. Il grande classico: Tag Manager, Meta Pixel e gli analytics partono prima del clic. Il banner arriva allora come i pompieri dopo l'incendio.
- Il retargeting. Carrello abbandonato, recupero comportamentale, audience pubblicitarie, pixel di conversione → consenso obbligatorio. Inseguire un cliente per il web con le scarpe viste ieri, si chiede con cortesia.
- L'analytics «grigio». La misurazione d'audience può essere esentata, ma a condizioni strette (finalità limitata, nessun tracciamento inter-siti, nessun incrocio, nessuna rivendita). Molte configurazioni GA4 ci passano accanto e lo sanno.
- Il CAPTCHA goloso. Necessario alla sicurezza, può essere esentato; ma se il fornitore se ne serve nel frattempo per i propri affari, il consenso torna sul tavolo.
- Il falso «first-party». Far transitare una spia di terze parti attraverso un sottodominio di casa non la rende onesta — traveste il tracciatore, non lo scagiona, e aggiunge un rischio di sicurezza in più.
Oltre il banner: la privacy per davvero
Tre punti ciechi che costano cari:
- Sicurezza delle sessioni: HTTPS, attributi
Secure,HttpOnly,SameSiteben regolati, estensioni aggiornate. Un cookie di sessione mal protetto è una chiave sotto lo zerbino. - La cache: Carrello, Il mio account e Checkout fuori dalla cache, punto. Altrimenti rischi di servire il carrello — o peggio, i dati — di un cliente a un altro. WooCommerce lo ripete abbastanza forte.
- Le estensioni: pagamento, spedizione, CRM, newsletter, recensioni, anti-frode… ciascuna può annaffiare di dati delle terze parti. Da controllare una a una.
Vendi all'estero? Benvenuto nella torre di Babele normativa
Appena varchi il confine, non giochi più con una regola ma con quattro — e non chiedono la stessa cosa nello stesso momento. La sfumatura che fa male: essere in regola a Parigi non ti protegge né a Sacramento, né a Montréal.
Prima del primo clic, chi ha il diritto di attivarsi?
🇪🇺 Unione europea — lo sceriffo più severo
Modello opt-in: niente di non essenziale prima di un consenso chiaro, e un rifiuto semplice quanto un «sì». È il regime di riferimento, quello che gli altri guardano — spesso copiando la copia. Se sei a posto qui, hai già fatto il più difficile.
🇩🇪 Germania — l'Europa, versione doppia serratura e perfezionista
Opt-in anche qui, ma la Germania non fa mai nulla a metà: due testi in parallelo, il TDDDG (ex-TTDSG, § 25, per la posa del cookie) e il DSGVO (il GDPR locale, per l'uso dei dati). Base giuridica in doppia copia, dunque.
Il banner deve mostrare Accetta e Rifiuta alla pari fin dalla prima schermata (indicazione della DSK). E il conto è salato: fino a 300.000 € per infrazione ai sensi del TDDDG, oltre ai massimali GDPR.
Novità locale, l'EinwV (in vigore dal 1° aprile 2025) crea dei servizi di consenso riconosciuti — l'utente regola le sue preferenze una volta, i siti partecipanti le rispettano. L'idea è di asciugare il diluvio di banner. È facoltativo: nessuno è obbligato ad agganciarvisi.
Diversi fornitori agitano una scadenza al 19 giugno 2026 che imporrebbe un «pulsante di disiscrizione» ai negozi che servono consumatori tedeschi. In mancanza di una fonte giuridica primaria che lo confermi — e poiché sa più di diritto dei consumatori (recesso/disdetta) che di cookie — te lo segnaliamo senza garantirlo. Prima di crederci, chiedi a un legale tedesco. Il condizionale non ha mai fatto giurisprudenza.
🇺🇸 California (CCPA/CPRA) — la pecora a cinque zampe: opt-out
Cambio completo di logica. La California non reclama un opt-in preventivo: funziona a «si avvisa, tu ti opponi». Concretamente:
- un link «Do Not Sell or Share My Personal Information»;
- la presa in carico del segnale del browser Global Privacy Control (GPC) come opposizione.
Novità nel 2026: nuove regole della CPPA sono entrate in vigore il 1° gennaio. Opporsi non deve richiedere più passaggi che accettare (la caccia ai dark pattern ha attraversato l'Atlantico), e l'azienda deve confermare che l'opposizione sia stata effettivamente presa in carico, GPC compreso. Il tutto riguarda le aziende sopra ~26,6 mln $ di fatturato, o che trattano 100.000+ californiani, o che ricavano il 50 %+ dei propri introiti dalla rivendita di dati.
🇨🇦 Quebec (Legge 25) — anche l'America del Nord parla francese
La Legge 25 (Quebec) reclama un consenso espresso, chiaro e informato prima di ogni cookie non essenziale — analytics, pixel, script di terze parti compresi. Il banner puramente informativo e il «se continui, vuol dire che accetti» sono bocciati. Serve in più la privacy per impostazione predefinita (tracciamento non essenziale spento all'origine) e conservare la prova del consenso. Nota salata in caso di passo falso: fino a 25 mln $ CA o il 4 % del fatturato mondiale.
Il promemoria da appiccicare sopra lo schermo
| Giurisdizione | Modello | Prima del clic | Il dettaglio che cambia tutto |
|---|---|---|---|
| Unione europea | Opt-in | Niente di non essenziale | Rifiutare = semplice quanto accettare |
| Germania | Opt-in | Niente di non essenziale | TDDDG + DSGVO ; EinwV (facoltativo) |
| California | Opt-out | Cookie tollerati per impostazione predefinita | Link «Do Not Sell» + GPC + conferma 2026 |
| Quebec | Opt-in | Niente di non essenziale | Privacy per impostazione predefinita + prova conservata |
Morale: una CMP «solo Europa» ti lascia nudo in California, e un approccio «opt-out all'americana» ti mette fuori gioco in Europa come in Quebec. Ti serve una CMP geo-adattiva: opt-in per UE, Germania e Quebec; opt-out + GPC per la California. Una normativa a geometria variabile merita un banner a geometria variabile.
La checklist che si verifica nel browser (non sulla parola)
La conformità non si legge nella cookie policy — si constata nella console (F12 → Application → Cookies, e la scheda Network). Il resto è letteratura.
Il test dei tre scenari, nel browser
Prima di qualsiasi clic:
- Sono impostati solo i cookie strettamente necessari (carrello, sessione, sicurezza).
- Nessun GA4, Meta Pixel, Tag Manager, Hotjar o pixel pubblicitario è partito.
Dopo «Rifiuta tutto»:
- Nessun tracciatore marketing/analytics non esentato parte. Il rifiuto blocca gli script; non si limita a nascondere il banner sotto il tappeto.
Dopo «Accetta tutto»:
- Si attivano solo i tracciatori annunciati. Nessun passeggero clandestino.
Impostazioni CMP:
- «Accetta tutto» e «Rifiuta tutto» alla pari, scelte granulari, blocco prima del consenso, prova conservata, revoca semplice quanto l'accettazione.
- Geo-adattamento: opt-in (UE / Germania / Quebec) vs opt-out + GPC (California).
- Google Consent Mode v2 attivo se usi GA4.
- WordPress Consent API sfruttata dai tuoi plugin (utile — ma non fa il lavoro da sola).
Scartoffie oneste:
- Cookie policy = i tuoi veri cookie (nome, dominio, finalità, durata, categoria, titolare, terze parti, base giuridica, trasferimento fuori UE, revoca) — non un copia-incolla da generatore.
- Informativa sulla privacy che copra i trattamenti WooCommerce reali (account, ordine, spedizione, pagamento, fatturazione, supporto, recensioni, marketing, anti-frode, durate).
- Carrello / Il mio account / Checkout esclusi dalla cache.
- Elenco dei responsabili del trattamento e dei trasferimenti fuori UE tenuto aggiornato.
L'errore regina del 2026 resta l'informativa sulla privacy generica sfornata da un generatore, che non conosce né i tuoi responsabili del trattamento, né i tuoi trasferimenti fuori UE, né le tue durate reali. In caso di reclamo, è la prima carta che si gira — e la più schiacciante.
All'uscita della cassa
WooCommerce tutto nudo si gestisce benissimo lato cookie. WooCommerce vestito — tema premium, Tag Manager, pixel, analytics, CAPTCHA, recensioni, chat, recupero carrello — scivola in fretta nell'illegalità se nulla viene controllato né bloccato prima del consenso. E appena varchi le frontiere, ti destreggi tra più regimi che si contraddicono educatamente.
Nessuno può certificare un sito senza ispezionare i suoi cookie reali, le sue richieste di rete, le sue estensioni e la sua CMP. È precisamente ciò che uno strumento di analytics rispettoso della privacy dovrebbe permetterti: contare i tuoi visitatori senza contarti tra i trasgressori.
WooCommerce imposta cookie senza consenso?
Sì, ma solo cookie funzionali — carrello (woocommerce_cart_hash, woocommerce_items_in_cart) e sessione (wp_woocommerce_session_) — generalmente difendibili come «strettamente necessari» e quindi esentati dal consenso. Tutto ciò che si aggiunge sopra (Google Analytics, Meta Pixel, TikTok, Hotjar, retargeting) esige invece un consenso preventivo.
Basta un banner cookie a rendere WooCommerce conforme?
No. Un banner che si limita a mostrare un messaggio senza bloccare gli script prima del clic non serve a nulla. La conformità si constata nel browser: prima di qualsiasi clic e dopo un rifiuto, devono essere presenti solo i cookie strettamente necessari.
WooCommerce è conforme al GDPR per impostazione predefinita?
Il cuore di WooCommerce (carrello, sessione) è difendibile. Il GDPR entra in gioco appena un identificatore viene collegato a una persona o si impilano analytics e pixel. La conformità dipende quindi dalla tua configurazione, dalle tue estensioni e dalla tua CMP, non da WooCommerce da solo.
Le regole sui cookie sono le stesse in UE, in Germania, in California e in Quebec?
No. UE, Germania e Quebec funzionano a opt-in (niente di non essenziale prima di un consenso chiaro). La California funziona a opt-out (cookie tollerati per impostazione predefinita, con link «Do Not Sell» e rispetto del segnale GPC). Un negozio internazionale ha bisogno di una CMP geo-adattiva.
C'è una nuova legge sui cookie nel 2026?
No. La CNIL ha pubblicato una FAQ il 29 aprile 2026 e lavora sul consenso multi-dispositivo, ma sono chiarimenti, non una nuova legge. Il regolamento ePrivacy che doveva sostituire la direttiva è stato abbandonato. La base resta GDPR + ePrivacy + linee guida.
Aggiornato a giugno 2026. Questo articolo informa; non sostituisce né un audit né un avvocato — due cose che nessun banner cookie ha mai sostituito. Fonti principali: CNIL (linee guida e raccomandazione cookie, FAQ aprile 2026), documentazione WooCommerce, TDDDG / DSGVO ed EinwV (Germania), CCPA/CPRA e regole CPPA 2026 (California), Legge 25 (Quebec). I punti segnalati con una riserva devono essere validati da un legale della giurisdizione interessata prima di qualsiasi decisione.