Per chi opera su Internet è indispensabile conoscere la normativa sulla privacy per non incorrere in sanzioni. Il nostro ordinamento con l'introduzione della legge n.675/1996, successivamente incorporata dal D.lgs. del 30 giugno 2003 n. 196 "Codice della Privacy", ha regolamentato la diffusione dei dati personali in maniera uniforme a prescindere dal mezzo utilizzato.
Cosicché, qualsiasi informazione di raccolta dati personali dovrà avvenire richiedendo il consenso espresso del soggetto cui le informazioni si riferiscono, salvo alcuni casi di esclusione espressamente previsti dall'art. 24 D.lgs 196/2003. Infatti, a titolo esemplificativo il consenso non è richiesto quando sia necessario per l'esecuzione di obblighi derivanti da un contratto di cui è parte l'interessato (es. la fatturazione); oppure quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro ed ha per oggetto dati degli aderenti o di soggetti che hanno con l'ente contatti regolari, per perseguire gli scopi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo.
Inoltre, i soggetti titolari del trattamento di dati personali devono informare preventivamente (in forma scritta o orale) l'interessato sul percorso che i dati seguiranno (art.13 D.lgs 196/2003). Tale informativa ha il fine di consentire all'interessato di verificare in qualunque momento se il trattamento avviene nel rispetto delle regole previste.
La raccolta di dati personali da parte del titolare di un sito Internet in genere avviene in modo esplicito e quindi attraverso la predisposizione di un form (modulo elettronico) nel quale viene richiesto all'utente di indicare i propri dati personali (nome; cognome; tel.; indirizzo e-mail), oppure mediante l'applicazione di tecniche informatiche come ad esempio l'utilizzo dei c.d. "log" i quali registrano automaticamente i collegamenti Internet effettuati dagli utenti al proprio sito web consentendo così di ricostruire profili precisi dell'utente stesso, è infatti possibile conoscere il tipo di sistema operativo (Windows; MacOS; Linux; Unix) o browser (Internet Explorer; Netscape) utilizzato; il colore e la definizione dello schermo, ecc.. Altro sistema è quello dei c.d. "cookie" piccoli file invisibili inviati da un sito web al browser dell'utente, tale browser a sua volta memorizza specifiche informazioni all'interno dell'hard disk del computer dell'utente (l'ultima visita al sito; le pagine più visitate; i programmi registrati nell'hard disk dell'utente; ecc.) e le conserverà per un periodo più o meno lungo. In questo modo l'utente viene riconosciuto ogni qualvolta ritorna sul sito precedentemente visitato. I cookie rappresentano pertanto un trattamento di dati finalizzato a definire il profilo utente in modo tale che il titolare del sito web possa offrire al navigatore servizi in base alle preferenze e agli interessi manifestati durante la navigazione.
Tali sistemi informatici vengono sovente utilizzati per predisporre campagne pubblicitarie mirate, sia attraverso l'invio di informazioni commerciali non richieste agli indirizzi di posta elettronica degli utenti (c.d. spamming), sia con modalità tradizionali. Il nuovo Codice della Privacy ha però chiarito ( art. 130 D.lgs. 196/2003) che l'invio di messaggi attraverso sistemi automatizzati (e-mail, Sms, Mms, fax) è consentito previo consenso dell'interessato. Il destinatario deve altresì essere informato della possibilità di opporsi a comunicazioni indesiderate.
Tuttavia, sono state previste alcune eccezioni disponendo la possibilità di non richiedere il consenso dell'interessato purché le comunicazioni siano effettuate esclusivamente per promuovere un proprio prodotto o servizio, ed esso sia analogo a quello già fornito in precedenza.