Facciamo chiarezza: cosa sono i cookie?

Ogni volta che navighiamo in un sito web questo lascia delle tracce sul nostro browser: da tutto quello che abbiamo visto navigando a una serie di altri file che vanno a “parcheggiarsi” sul nostro hard disk e tra questi, i cookie, Il cui nome deriva dalla tecnica “magic cookie” usata in ambienti UNIX sin dagli anni Ottanta per far dialogare un client con un server, ovvero generando un token o gettone  in grado di farsi riconoscere. Per fare un esempio con la vita reale, un magic cookie è molto simile al gettone che ci viene dato nei guardaroba dei teatri quando si lascia in custodia il cappotto. Sebbene il gettone non abbia un significato proprio  permette al possessore di riavere il proprio cappotto pur non avendo idea  di come il personale conservi e ritrovi l’indumento.

A questo punto dovresti aver compreso perché se vai su un sito di e-commerce e aggiungi un articolo al carrello dei prodotti, anche se interrompi la sessione e torni sul sito dopo un po’ di tempo, troverai sempre l’articolo nel carrello. Questa è una bella comodità che è possibile grazie ai famosi cookie. I cookie consentono ai siti di offrire agli utenti facilità di navigazione memorizzando piccole quantità di informazioni su di loro. Così come quando fai una ricerca sul tuo sito preferito di attrezzature per lo sport e poi navighi su un sito di informazione le cui pubblicità sono tutte mirate alla categoria di articoli ricercata precedentemente. 

Questa tecnica si chiama “migliorare l’esperienza di navigazione” ed anche questa è possibile grazie all’impiego dei cookie. Possiamo quindi affermare che se i cookie non esistessero, ogni volta che ci trovassimo sul nostro sito di articoli sportivi dovremmo ogni volta selezionare daccapo le nostre preferenze, come la lingua o la valuta.

Perché i cookie sono stati regolamentati?

E allora, perché i cookie sono dannosi? O comunque perché devono essere regolamentati? Iniziamo col dire che i dati salvati nei cookie non sono pericolosi di per sé, il problema sta tutto nel modo in cui si utilizzano quei dati, violando la privacy dell’utente. Non dimentichiamoci che l’ex Presidente americano Donald Trump con l’utilizzo dei cookie di grandi portali, i cosiddetti “big data” riuscì a veicolare informazioni sociopolitiche settoriali a seconda dei dati ricevuti dai cookie dopo averli targettizzati e in questo modo riuscì a vincere le elezioni. Per farla più semplice immaginatevi di poter dividere, con l’aiuto di enormi quantità di dati raccolti come i cookie,  gli elettori americani per cacciatori, tassisti, Lgbt, nazionalisti eccetera e veicolare delle pubblicità mirate a seconda del target.

È proprio per questo motivo  che la e-cookie Law è intervenuta  a tutela della privacy del navigatore, stabilendo strette direttive a cui tutti i siti internet devono adeguarsi, dando la possibilità all’utente di conoscere cosa sta avvenendo nel codice sorgente di un sito web e di decidere se accettare, eliminare o bloccare determinati cookie. Se hai un sito web, è importante che tu dia modo agli utenti di distinguere tra i cookie da consentire e quelli che è preferibile bloccare, in base alle loro necessità e nel rispetto della legge. 

Ma i cookie non sono tutti uguali e non tutti debbono essere regolamentati. La prima grande distinzione da fare riguardo ai cookie è se sono di prima o terza parte. I cookie di prima parte sono quelli che vengono salvati direttamente dal sito web che visiti. Questi registrano informazioni come il numero di sessioni o di visualizzazioni di pagina. Al contrario, i cookie di terza parte possono essere trasmessi a un sito diverso da quello visitato, ed è qui che possono  iniziare i problemi a livello di privacy.

Quali tipologie di cookie esistono?

I cookie possono essere temporanei (“cookie di sessione”) e cancellarsi al termine della singola sessione oppure permanenti e rimanere nascosti in cartelle apposite del  pc, risvegliandosi ogni volta che ci riconnettiamo al medesimo sito. Il cookie più diffuso è quello “di sessione” che contiene i dati relativi al login o al carrello e-commerce o alla scelta del servizio o del prodotto  che stiamo acquistando. E’ un cookie necessario per passare alle pagine le informazioni relative alle nostre scelte e portarci poi all’acquista di un determinato prodotto o servizio. Senza questi cookie gli e-commerce per esempio non potrebbero esistere.

TUTTO CHIARO FINO A QUI? HAI BISOGNO DI AIUTO?

Esistono poi i cookie non essenziali  tramite i quali vengono  registrate le azioni, le preferenze e i nostri dati di navigazione a fini di analisi, per conoscere  le provenienze dei visitatori, gli strumenti di navigazione, la frequenza delle visite, e poter migliorare sempre più il servizio offerto. Su questa tipologia di cookie il Garante non è stato chiarissimo, affermando che non sono di tipo obbligatorio ma che potrebbero esserlo se servono a migliorare la navigazione degli utenti. Poi ci sono cookie che servono per il  marketing, per  selezionare il target esatto a cui mostrare un determinato banner o annuncio, con ottimizzazione delle campagne dell’investitore. Questi necessitano di un consenso esplicito.

Cookie law. La prima normativa italiana sulle modalità di utilizzo dei cookie si basa sui contenuti di un testo emanato nel maggio 2014, dal Garante. La normativa italiana è stata recentemente aggiornata nel giugno 2021, attraverso l’emanazione di nuove linee guida sui cookie da parte dell’EDPB, European Data Protection Board . In particolare si stabilisce che il consenso ai cookie deve essere libero e non implicito e che tutti i cookie non necessari devono essere disabilitati all’ingresso.

E il titolare di un sito web come deve comportarsi? Innanzitutto è bene analizzare i propri cookie per comprenderne usi e funzionalità. Possiamo in questo modo schematizzarli in questo modo:

Cookie tecnici di navigazione, lingua, carrello e-commerce, autenticazione, di sessione e di funzionamento: sono cookie obbligatori e per essere in regola  dobbiamo creare solo informativa estesa, elencando i tipi di cookie tecnici e le finalità.

Cookies analitici di prima parte: sono obbligatori e il Garante li ha assimilati in tutto e per tutto ai cookie tecnici e per essere in regola  dobbiamo creare solo l’informativa estesa, elencando i tipi di cookie tecnici e le finalità.

Cookies analitici di terza parte come ad esempio Google Analytics: Il Garante per la protezione dei dati nelle faq dei cookies pur dicendo che non sono obbligatori ha suggerito che possono diventarlo  se  vengono utilizzati unicamente per produrre statistiche e migliorare l’esperienza di navigazione dell’utente,  mascherando però l’indirizzo IP (c’è un’apposita funzione da spuntare su Google Analytics). Per essere in regola  dobbiamo creare solo l’informativa estesa, elencando i tipi di cookie tecnici e le finalità.

 

Cookie di profilazione pubblicitari: I cookie di questa categoria raccolgono informazioni tracciando i dati di navigazione al fine di realizzare una profilazione degli utenti in modo da potergli inviare pubblicità personalizzata. Hanno, quindi, un grado di invasività molto elevato. Necessitano del consenso preventivo, oltre che dell’informativa (banner), e devono scadere al massimo entro 12 mesi.

TUTTO CHIARO FINO A QUI? HAI BISOGNO DI AIUTO?

Social cookie. Sono cookie di terze parti veicolati dai plugin sociali e nascosti all’interno di una pagina web per condividere contenuti provenienti da altri portali ma non dimenticando di trasmettere informazioni dettagliate circa la visita dell’utente ad ogni pagina contenente un social plugin. Anche per questa tipologia è necessario richedere il consenso.

I cookie sono ovunque

Alla base di queste definizioni è facile comprendere come anche un semplice sito web di un passatempo amatoriale, grazie ai social o alle terze parti possa avere nascosto nel codice più di un cookie che raccoglie e trasmette dati. Per questo motivo quasi sempre  il titolare di un sito dovrà inserire una serie di informazioni non sempre facili da strutturare per essere certi di non incorrere in sanzioni. L’obiettivo primario della normativa sui cookie è evitare che le persone siano tracciate e/o profilate senza che ne siano pienamente consapevoli. Affinché un sito web possa iniziare a tracciarle   la normativa richiede che prima si ottenga il consenso dell’interessato in maniera consapevole: non basta  spuntare una casella, ma si deve garantire che chi esegue quella spunta sappia effettivamente cosa sta facendo e cosa quella spunta significhi in concreto.

La manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che […] libera, specifica ed informata, anche inequivocabile”:

  • Libero perché non si può impedire la navigazione del sito in assenza di consenso all’uso dei cookie;
  • Specifico perché il consenso non sia prestato per tutti i cookie in generale  ma che il navigatore sia  messo in condizione di scegliere quali abilitare o meno e di poter cambiare la propria decisione successivamente;
  • Informato perché è necessario che al navigatore siano dati tutti i dettagli sui cookie: a cosa servono e per quali scopi verranno usati.
    Inequivocabile perché possa essere garantito che il navigatore ha scelto senza possibilità di errore.

Informative e consenso

Sempre in merito al consenso, TUTTI i cookie non necessari dovranno essere disabilitati e dovrà essere il navigatore a modificarli in modo specifico. Registrazione e prova del consenso: la Cookie Law non richiede che si tenga alcun tipo di registro che attesti che il navigatore abbia effettivamente prestato il consenso o lo abbia negato all’uso dei cookie anche se, non vietando il contrario ha dato ampio spazio a tutte le soluzioni che riescono a conservare e quindi a dimostrare agevolmente giorno e ora in cui si sono raccolti tutti i consensi.

TUTTO CHIARO FINO A QUI? HAI BISOGNO DI AIUTO?

L’informativa semplice e estesa.
La normativa sui cookie prevede che nel momento in cui l’utente accede a un sito web, deve trovarsi davanti  una prima informativa semplice in un banner a comparsa immediata sulla homepage integrato da un’informativa estesa richiamabile agevolmente  attraverso un link cliccabile dall’utente. L’Informativa breve va mostrata quando il  sito usa cookie di profilazione o cookie di terze parti e deve rispettare dei requisiti molto stringenti in merito ai contenuti  ovvero deve spiegare se sul sito vi sono cookie e avere la possibilità di uscire e iniziare la navigazione senza alcuna attivazione. Il Garante ha stabilito che tale informativa contenuta nel banner deve essere un elemento della pagina ben distinguibile e non può in alcun modo confondersi con i contenuti della pagina visualizzata dall’utente.

Per approfondire > Conformità cookie: lista passo passo per un sito a prova di privacy

 

Se sul sito ci sono altri cookie oltre a quelli tecnici la normativa prescrive che vi sia un’Informativa estesa che elenchi le caratteristiche e le finalità dei cookie usati dal sito, che consenta di selezionare/deselezionare i singoli cookie , che contenga  anche tutti gli elementi previsti dall’art. 12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato) e 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato) del GDPR.

Le sanzioni previste

“La sanzione, in ogni caso, deve essere “effettiva, proporzionata e dissuasiva” (art. 84 del RGPD).

La disciplina sui cookie è prevista dall’articolo 122 del codice italiano e la sua violazione, ai sensi dell’articolo 166 c2 codice italiano, comporta l’applicazione dell’articolo 83 par. 5 GDPR e dunque fino a

20.000.000 di Euro.

vale la pena rischiare pesanti sanzioni?

ArabicChinese (Simplified)DutchEnglishFrenchGermanItalianPortugueseRussianSpanish