Registro dei consensi: per quanto tempo conservare i consensi ai cookie?
Chi basa i cookie sul consenso deve poterlo dimostrare — senza registro dei consensi resta la vostra parola contro quella del visitatore. Cosa deve contenere il registro, perché non esiste un termine legale di conservazione e quali criteri delimitano comunque la durata.

«Può dimostrare che questo visitatore ha accettato il cookie di marketing?» Quando arriva questa domanda — da un'autorità di vigilanza, da un avvocato o da una persona interessata che esercita il diritto d'accesso —, un solo documento decide la vostra posizione: il registro dei consensi (consent log). Chi documenta con ordine i consensi ai cookie risponde alla domanda in pochi minuti. Chi gestisce soltanto un banner senza registrare nulla resta a mani vuote.
La domanda successiva più frequente: per quanto tempo vanno conservati questi registri? La risposta onesta, subito: un termine legale non esiste. Cosa vale al suo posto, quali criteri guida determinano la durata di conservazione e cosa deve contenere un registro dei consensi per reggere nel momento decisivo — ecco la panoramica.
Che cos'è un registro dei consensi — e a cosa serve?
Un registro dei consensi è il protocollo continuo di tutti i consensi e le revoche che i visitatori esprimono tramite il vostro banner dei cookie — il vostro mezzo di prova per il giorno in cui dovrete dimostrare un consenso.
L'obbligo è scritto nero su bianco nel regolamento generale sulla protezione dei dati (RGPD) europeo: secondo l'art. 7 par. 1, il titolare del trattamento deve essere «in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali». Chi fonda il tracciamento su un consenso senza documentarlo viola questo obbligo di prova — a prescindere da quanto il banner sia progettato correttamente. A ciò si aggiunge il principio di responsabilizzazione dell'art. 5 par. 2 RGPD: il rispetto dei principi non va soltanto garantito, ma deve poter essere dimostrato.
La legge federale svizzera sulla protezione dei dati (LPD), invece, non conosce alcun obbligo esplicito di tenere un registro dei consensi. Concluderne che in Svizzera la documentazione sia facoltativa sarebbe comunque un errore: chi fonda un trattamento di dati su un consenso porta, in caso di controversia, l'onere della prova che sia stato dato — ciò discende dalle regole generali sulla prova. Senza registro resta solo l'affermazione. Cos'altro esige la legge è riassunto nella nostra guida alla legge sulla protezione dei dati. E non appena il vostro sito si rivolge a visitatori dell'UE, l'obbligo di prova del RGPD si applica comunque direttamente.
Cosa deve contenere un registro dei consensi?
Un registro solido risponde a quattro domande: chi ha acconsentito, quando, a cosa — e su quale base? In concreto, in ogni voce devono figurare cinque indicazioni:
- Marca temporale — data e ora della decisione, al secondo.
- Versione del consenso — quale testo del banner, quali finalità e quali servizi erano in vigore al momento del consenso? Se il banner cambia, deve restare tracciabile a cosa si riferivano i consensi più vecchi.
- Selezione delle categorie — cosa è stato esattamente accettato o rifiutato: tutto, solo le statistiche, solo il marketing? Un generico «ha accettato» non basta quando il banner offre una scelta granulare.
- Identificativo pseudonimizzato — un ID visitatore casuale o un indirizzo IP sottoposto a hash, per poter attribuire la voce a una persona. L'indirizzo IP in chiaro non ha posto nel registro dei consensi: sarebbe esso stesso un dato personale, la cui conservazione crea più rischi che benefici — la minimizzazione dei dati vale anche per i mezzi di prova.
- Revoche e modifiche — ogni successivo adeguamento della selezione come nuova voce, affinché la cronologia resti completa.
Uno screenshot del banner non sostituisce nulla di tutto ciò: mostra cosa hanno visto i visitatori, ma non cosa ha deciso il singolo visitatore. Chi vuole documentare il consenso ai cookie ha bisogno del protocollo per ogni decisione — lo screenshot è solo il suo utile allegato.
Per quanto tempo vanno conservati i consensi ai cookie?
La risposta breve e onesta: né la LPD né il RGPD fissano un termine di conservazione per i registri dei consensi. Chi vi vende «cinque anni prescritti per legge» o qualsiasi altra cifra come obbligo vi vende un'invenzione. Al posto di un termine esistono due criteri guida da cui deriva la durata.
Criterio 1: finché il trattamento si fonda sul consenso. La prova deve restare disponibile finché vi appoggiate al consenso — cioè finché i cookie vengono impostati e il relativo trattamento di dati è in corso. Cancellare un registro mentre il tracciamento prosegue sarebbe contraddittorio: è proprio allora che vi serve la prova.
Criterio 2: finché possono essere fatte valere pretese. Anche dopo la fine del trattamento, una persona interessata può agire in giudizio o un'autorità può effettuare verifiche. Le regole generali di prescrizione offrono un orientamento: in Svizzera le pretese extracontrattuali si prescrivono, a seconda della costellazione, in tre anni dalla conoscenza e in dieci anni in termini assoluti; in Germania viene spesso citata come riferimento la prescrizione ordinaria di tre anni. Sono valori di orientamento tratti dal diritto della responsabilità — non termini di protezione dei dati.
Nella prassi ciò si traduce per lo più in una conservazione di pochi anni; sono diffusi modelli che tengono i dati di dettaglio in accesso diretto per due o tre anni e poi li archiviano. Ciò che conta è l'inquadramento: sono valori di prassi, derivati da prescrizione e proporzionalità — non prescrizioni di legge.
E vale altrettanto la direzione opposta: conservare i registri dei consensi per sempre non è una riserva di sicurezza, ma un problema a sé. Anche il registro contiene dati personali, e i principi di proporzionalità e di limitazione della conservazione valgono anche per i mezzi di prova. Chi accumula log di dettaglio vecchi di dieci anni senza poterne più motivare la conservazione viola proprio i principi il cui rispetto il registro dovrebbe dimostrare. L'equilibrio: dati di dettaglio finché la conservazione è motivabile, poi cancellare o archiviare in forma condensata — e annotare internamente il termine scelto con la relativa motivazione. Una decisione documentata e motivata convince un'autorità più di qualsiasi cifra forfettaria.
Revoca e rinnovo del consenso: cosa deve riflettere anche il registro
Un registro dei consensi che conosce solo le accettazioni è metà della documentazione — altrettanto importante è la prova che le revoche funzionano e sono state rispettate.
L'art. 7 par. 3 RGPD esige che revocare il consenso sia semplice quanto darlo. Per il registro significa: se un visitatore riapre le impostazioni dei cookie e disattiva una categoria, nasce una nuova voce con marca temporale. Solo la catena «consenso il 5 marzo, revoca il 12 giugno» dimostra che il vostro sistema attua tecnicamente le revoche — e da quando non potevate più impostare quali cookie.
Il secondo caso è il rinnovo del consenso: se integrate nuovi servizi o ampliate le finalità — per esempio con un ulteriore strumento di marketing —, il vecchio consenso non copre il nuovo trattamento. Il banner deve chiedere di nuovo. Per il registro significa due cose: il nuovo consenso viene registrato con la nuova versione, e le vecchie voci restano conservate — continuano a dimostrare che il trattamento precedente era lecito. Le modifiche puramente estetiche, come i colori o una levigatura linguistica senza effetti sostanziali, non richiedono invece alcun nuovo consenso.
Il registro dei consensi nella pratica: esportazione, archiviazione, cambio di fornitore
Tre situazioni decidono se il vostro registro dei consensi regge davvero nella quotidianità: la verifica, la conservazione a lungo termine e il cambio di fornitore.
Esportazione per gli audit. Autorità di protezione dei dati, revisore o avvocato di controparte: se qualcuno esige la prova, vi servono i log in un formato leggibile — come file CSV o rapporto, filtrati per periodo e dominio. Un registro che esiste solo nella banca dati del fornitore e non può essere esportato non vale nulla nel momento decisivo. Testate l'esportazione prima di averne bisogno.
Archiviare invece di accumulare. Sui siti molto frequentati i log di dettaglio crescono rapidamente fino a centinaia di migliaia di voci. Per i periodi più vecchi basta una forma condensata: esportazioni periodiche più statistiche aggregate, mentre i dati di dettaglio vengono cancellati dalla banca dati attiva. Ciò mantiene il sistema snello e attua la limitazione della conservazione senza rinunciare alla prova.
Cambio di fornitore. Il momento più critico nel ciclo di vita di un registro: se disdite il vostro strumento di consenso, con l'account spariscono di regola anche i log — e con essi la prova per l'intero periodo trascorso. Esportate quindi tutti i registri dei consensi prima di chiudere il vecchio contratto e archiviate le esportazioni internamente. Gli altri punti da tenere d'occhio nella migrazione sono raccolti nella nostra guida al cambio.
Come Aiara tiene il registro dei consensi
Da Aiara il registro dei consensi non è un modulo aggiuntivo, ma parte di ogni installazione del banner — con i punti di questo articolo come impostazione predefinita, non come opzione.
Ogni decisione di un visitatore viene registrata lato server: marca temporale, categorie scelte, tipo di azione e pagina visitata. Aiara non salva mai l'indirizzo IP in chiaro, ma esclusivamente come hash SHA-256 con una chiave segreta — l'identificativo pseudonimizzato del capitolo sopra. Revoche e selezioni modificate creano nuove voci; la cronologia resta completa.
Alla conservazione provvede un'archiviazione automatica: dopo 24 mesi le voci di dettaglio vengono trasferite in archivi CSV mensili e salvate inoltre come statistiche aggregate; dopodiché spariscono dalla banca dati attiva. La prova resta così conservata senza che si formi un cimitero di dati. Per gli audit come per un eventuale cambio vale: i log appartengono a voi e possono essere esportati in qualsiasi momento. Quali dati risiedono dove è documentato in modo trasparente nel Trust Center.
La questione della conservazione diventa così ciò che dovrebbe essere: una ponderazione che decidete una volta sola, con motivazione — e che poi gira in automatico, invece di restare un fianco scoperto.
Domande frequenti
Esiste un termine legale di conservazione per i consensi ai cookie?
No. Né la legge federale svizzera sulla protezione dei dati né il regolamento generale europeo sulla protezione dei dati fissano un termine per i registri dei consensi. Valgono invece due criteri guida: la prova deve restare disponibile finché il trattamento si fonda sul consenso — e finché sono ipotizzabili pretese legali, per le quali i termini generali di prescrizione offrono un orientamento. I modelli diffusi nella prassi tengono i dati di dettaglio accessibili per due o tre anni e poi li archiviano; è una ponderazione motivata, non un obbligo di legge.
L'indirizzo IP deve essere salvato nel registro dei consensi?
No — e non dovrebbe nemmeno figurarvi in chiaro. Per la prova basta un identificativo pseudonimizzato: un ID visitatore casuale o un indirizzo IP sottoposto a hash. L'IP in chiaro sarebbe esso stesso un dato personale e contraddice la minimizzazione dei dati: il registro deve dimostrare il rispetto della protezione dei dati, non creare nuovi rischi.
Uno screenshot del banner dei cookie basta come prova?
No. Uno screenshot documenta l'aspetto del banner — ma non che un determinato visitatore abbia acconsentito in un determinato momento. La prova richiesta dall'art. 7 par. 1 del regolamento generale sulla protezione dei dati esige una registrazione per ogni decisione: marca temporale, selezione delle categorie, versione del consenso e identificativo pseudonimizzato. Come complemento lo screenshot resta utile per documentare il design del banner in vigore all'epoca.
Cosa succede al registro dei consensi quando si cambia fornitore?
Esportate tutti i log prima di disdire il vecchio contratto — con la cancellazione dell'account i dati presso il fornitore precedente vanno di regola persi definitivamente, e con essi la prova per l'intero periodo trascorso. Archiviate le esportazioni internamente e, prima di firmare con il nuovo fornitore, verificate che esportazione e archiviazione siano integrate.
Quando devo chiedere di nuovo il consenso ai visitatori?
Ogni volta che cambia la sostanza del consenso: nuovi servizi, nuove finalità o nuove categorie nel banner. Il vecchio consenso copre solo ciò che era riconoscibile al momento in cui è stato dato. Le modifiche puramente estetiche, invece, non richiedono un nuovo consenso. Importante per il registro: il nuovo consenso viene registrato con la nuova versione, e le vecchie voci restano conservate come prova per il passato.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli

3 luglio 2026 · 8 min di lettura
Contratto di trattamento dei dati su commissione in Svizzera: quando serve — con checklist

30 giugno 2026 · 9 min di lettura
Cookie banner per negozi online in Svizzera: configurare correttamente Shopify, WooCommerce & Co.

23 giugno 2026 · 9 min di lettura