In un negozio Shopify italiano non basta aggiungere un banner con "Accetta" e "Rifiuta". Tema, app, pubblicità, analisi, pixel e checkout eseguono codice in punti diversi. Se non condividono lo stesso stato, il banner può indicare un rifiuto quando una richiesta di marketing è già partita.
L'obiettivo è un flusso verificabile: informare, raccogliere e conservare la scelta, comunicarla agli strumenti interessati e permettere di modificarla. Questa guida offre indicazioni tecniche, non una valutazione legale del singolo shop.
L'architettura del consenso in Shopify
Shopify mette a disposizione la Customer Privacy API, che consente di leggere e aggiornare le preferenze del visitatore nel contesto dello storefront. La Web Pixels API permette invece a pixel di app e pixel personalizzati di ricevere eventi cliente in un ambiente controllato dalla piattaforma.
Sono livelli collegati, ma diversi: uno riguarda la scelta, l'altro gli eventi ricevuti dai pixel. Script nel tema, tag GTM e codice delle app possono seguire percorsi propri.
Prima di configurare il banner, occorre censire:
- script presenti in
theme.liquid, sezioni e snippet; - tag caricati tramite Google Tag Manager;
- app che inseriscono risorse nello storefront;
- pixel app e pixel personalizzati;
- misurazione nel checkout e dopo il pagamento;
- cookie,
localStoragee richieste di rete di ciascun fornitore.
Ricontrolla la documentazione Shopify al momento dell'implementazione. Piano, mercati, checkout e aggiornamenti possono cambiare il risultato. Non presumere che un'impostazione nel pannello blocchi ogni codice esterno.
Funzioni necessarie e tecnologie facoltative
Il carrello, la sessione, la sicurezza, la prevenzione delle frodi e il pagamento possono richiedere memoria tecnica per fornire il servizio richiesto dal cliente. Questo non rende "necessario" tutto ciò che aiuta il negozio a vendere. La classificazione dipende dalla finalità concreta, dai dati trattati e dalla possibilità di completare l'acquisto senza quella tecnologia.
| Area | Finalità tipica | Gestione prudente |
|---|---|---|
| Carrello e sessione | Conservare prodotti e continuità della visita | Valutare come strettamente necessaria e documentare il perimetro |
| Sicurezza e pagamento | Proteggere account, ordine e transazione | Separare questa finalità da analisi e pubblicità |
| Analisi | Misurare visite, funnel e conversioni | Attivare secondo la scelta relativa alle statistiche |
| Pubblicità | Attribuzione, segmenti e remarketing | Evitare l'avvio prima di una scelta adeguata |
| Personalizzazione | Adattare contenuti in base al comportamento | Spiegare lo scopo e gestire una categoria distinta |
Un pixel di conversione non diventa essenziale perché si attiva dopo il pagamento. Il rifiuto del marketing non dovrebbe impedire l'acquisto. Per i principi generali, consulta la guida al banner cookie e GDPR.
Google Consent Mode v2: quattro segnali distinti
Il Google Consent Mode comunica alle tecnologie Google lo stato di specifiche autorizzazioni. Nella versione v2 sono centrali quattro segnali:
analytics_storage: controlla la memorizzazione legata alle misurazioni analitiche;ad_storage: controlla la memorizzazione destinata alla pubblicità;ad_user_data: indica se i dati dell'utente possono essere inviati a Google per finalità pubblicitarie;ad_personalization: indica se i dati possono essere usati per annunci personalizzati e remarketing.
Lo stato default deve essere disponibile prima che i tag dipendenti dal consenso tentino di partire. Dopo la scelta, un comando update comunica i valori aggiornati. Le categorie del banner non vanno tradotte in un unico interruttore: se il visitatore accetta soltanto le statistiche, analytics_storage può essere granted, mentre i tre segnali pubblicitari restano denied.
Consent Mode è un livello tecnico di segnalazione. Non raccoglie da solo un consenso valido, non sostituisce l'informativa o la consulenza legale e non governa ogni fornitore. Anche le configurazioni avanzate vanno valutate sul flusso reale. Per approfondire, consulta Google Consent Mode v2 e Consent Mode v2 con Google Tag Manager.
Tre percorsi di implementazione
Impostazioni privacy e meccanismi Shopify
Il primo passo è verificare le impostazioni per la privacy dei clienti, i mercati e le regioni nell'amministrazione Shopify. Controlla il banner configurato, il collegamento con la Customer Privacy API e le condizioni applicate ai Web Pixels. È una base utile per gli elementi gestiti dalla piattaforma, ma non dimostra che ogni app o script manuale rispetti la preferenza.
CMP collegata tramite script
Una CMP può mostrare l'interfaccia, conservare le categorie e trasmettere gli aggiornamenti ai sistemi interessati. CookiePilot può essere valutata come soluzione CMP basata su script, da adattare alla struttura del negozio. Non viene presentata come un'app Shopify nativa già disponibile né come un'integrazione universale con un clic.
Prima del rilascio verifica tema, app, API Shopify, pixel e checkout. Puoi esaminare le funzionalità di CookiePilot, i piani disponibili o contattare il team.
GTM e script personalizzati
GTM offre controllo, ma anche più occasioni di errore. Il valore predefinito deve precedere i tag interessati e i trigger devono reagire alla modifica della scelta. Un trigger "Page View" non è un controllo del consenso. Evita inoltre duplicati, come lo stesso acquisto inviato da Web Pixel e GTM. Un ritardo arbitrario non sostituisce la sequenza tra stato iniziale, preferenza, aggiornamento e tag consentiti.
Il contesto italiano
In Italia il quadro comprende il GDPR e le norme applicabili all'archiviazione o all'accesso a informazioni sul dispositivo dell'utente. Il Garante per la protezione dei dati personali pubblica provvedimenti e linee guida rilevanti anche per cookie e altri strumenti di tracciamento. L'AGCOM è l'autorità di riferimento per le garanzie nelle comunicazioni.
Il banner dovrebbe usare un linguaggio chiaro, evitare opzioni facoltative preselezionate e offrire un rifiuto utilizzabile. La scelta deve restare modificabile. Documenta finalità, fornitori e durata in base alle tecnologie osservate. Per vendite in altri Paesi, valuta anche le rispettive regole.
Matrice di test prima del rilascio
Ogni scenario deve iniziare con un profilo pulito: eliminare un solo cookie può lasciare dati in altri archivi.
| Scenario | Cosa verificare |
|---|---|
| Prima visita pulita | Banner visibile e stato predefinito applicato prima dei tag facoltativi |
| Rifiuta tutto | Nessun archivio o traffico opzionale incompatibile; carrello funzionante |
| Solo analisi, se disponibile | Statistiche coerenti; pubblicità, dati pubblicitari e personalizzazione negate |
| Accetta tutto | Aggiornamento corretto e assenza di eventi duplicati |
| Modifica o revoca | Nuova scelta applicata agli eventi successivi e preferenza salvata |
| Checkout | Carrello, account, spedizione e pagamento continuano a funzionare |
| Ritorno dal pagamento | Stato coerente e conversione non inviata due volte |
| Web Pixels | Pixel app e personalizzati rispettano le condizioni previste |
| Dispositivo mobile | Testo e pulsanti accessibili senza coprire i controlli di acquisto |
Negli strumenti sviluppatore controlla cookie, Local Storage e Session Storage. In Network filtra Google e gli altri fornitori. Con GTM Preview e Tag Assistant verifica ordine degli eventi e valori del consenso. Ripeti il percorso fino alla conferma ordine, includendo Web Pixels, ritorno dal pagamento e mobile.
Checklist di implementazione
- Elencare app, script nel tema, GTM, Google tag e Web Pixels.
- Assegnare a ogni elemento finalità, categoria, fornitore e durata.
- Scegliere un'unica fonte principale per lo stato del consenso.
- Impostare il
defaultprima dei tag opzionali e l'updatedopo la scelta. - Mappare separatamente i quattro segnali di Consent Mode v2.
- Collegare la Customer Privacy API dove richiesto dall'architettura.
- Controllare richieste di rete, storage ed eventi duplicati.
- Testare rifiuto, scelta parziale, accettazione e revoca.
- Percorrere prodotto, carrello, checkout, pagamento e ritorno allo shop.
- Ripetere i test dopo modifiche a tema, app, pixel o container GTM.
Per confrontare approcci diversi puoi leggere anche CookiePilot e Cookiebot. Se gestisci un'installazione WordPress separata, trovi indicazioni specifiche nel contenuto sul banner cookie per WooCommerce.
Domande frequenti
Shopify blocca automaticamente tutti i cookie facoltativi?
Non va dato per scontato. Gli strumenti Shopify aiutano a gestire preferenze e pixel, ma script nel tema, GTM e alcune app possono avere logiche proprie. Bisogna osservare storage e traffico di rete.
Consent Mode v2 rende lo shop conforme al GDPR?
No. Trasmette segnali tecnici ai tag Google. Informativa, interfaccia, validità della scelta, classificazione e basi giuridiche richiedono un'analisi distinta.
Il rifiuto del marketing deve bloccare il checkout?
In generale, le funzioni necessarie per ordine, sicurezza e pagamento devono essere separate dalla pubblicità. Se il checkout si interrompe, occorre rivedere classificazione e regole di blocco.
Come controllo se un Web Pixel rispetta la scelta?
Ripeti gli stessi eventi con rifiuto e accettazione, poi confronta richieste, storage ed eventi ricevuti. Controlla anche documentazione e configurazione del pixel.
Quando devo ripetere i test?
Dopo modifiche a tema, app, GTM, pixel, checkout o mercati. È utile anche una verifica periodica.
CookiePilot dispone di un'app Shopify nativa?
Questo articolo non afferma che esista un'app Shopify nativa. CookiePilot può essere valutata come CMP basata su script, con implementazione e test adeguati al singolo negozio.
Passo successivo
Prima di scegliere uno strumento, crea l'inventario tecnico e prova il rifiuto in un browser pulito. Se cerchi una CMP per centralizzare categorie e segnali, valuta CookiePilot su una copia del tema. Decidi in base a richieste di rete, storage, pixel e completamento reale del checkout.
Scritto da
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.
