Secondo le indicazioni del Garante Italiano, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente, quando equiparabili a cookie tecnici. Anche i cookie statistici di terza parte (come per esempio Google Analytics) possono essere assimilati a cookie tecnici, quando anonimizzati e utilizzati a soli fini statistici.

Per farlo, il Garante Italiano mette in rilievo la differenza tra cookie profilanti e non: in particolare quando di terze parti, il potere profilante del cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP, non inviando così alla piattaforma terza il dato personale del visitatore del sito, e sempre a condizione che la piattaforma terza non effettui alcun incrocio con altri dati.

Vediamo allora come gestire correttamente i cookie analitici ai fini del GDPR.

(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)

Cookie Analitici di prima parte e terza parte

I cookie statistici possono essere utilizzati per valutare l’efficacia di un servizio web, per la sua progettazione o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

L’Autorità Garante Italiana aveva già affermato (nel provvedimento del maggio 2014) che tali cookie analytics potessero essere ricompresi nella categoria di quelli tecnici e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni.  Con il GDPR tali condizioni vengono ampliate.

 

SCHEMA SUL CORRETTO USO DEI COOKIE  
Scorri la tabella a destra da mobile

TIPO DI COOKIEORIGINECONDIZIONECOOKIE BANNERCOOKIE POLICYCOOKIE CONSENT
Nessun Cookie-Se il sito web non installa cookieNoNoNo
Cookie Tecnicidi prima parteSe il sito web installa solo cookie tecniciSiSiNo
Cookie Funzionalidi prima parteSe sono cookie di sessioneSiSiNo
Cookie Funzionalidi prima parteSe sono cookie persistentiSiSiSi
Cookie Analiticidi prima parteSe il sito web non effettua profilazioneSiSiNo
Cookie Analiticidi prima parteSe il sito web effettua profilazioneSiSiSi
Cookie Analiticidi terza parteSe anonimizzati e non incrociati con altri datiSiSiNo
Cookie Analiticidi terza parteSe la terza parte incrocia i dati con altri sistemi o effettua profilazioneSiSiSi
Cookie Social Mediadi terza parteSe non incrociati con altri dati e non per profilazione (es: social sharing)SiSiNo
Cookie Social Mediadi terza parteSe incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie')SiSiSi
Cookie Profilantidi prima parteSe il sito web profila a fini commerciali SiSiSi
Cookie Profilantidi terza parteSe la terza parte profila a fini pubblicitariSiSiSi

Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale,  è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021  in tema di consenso valido.

 

Affinché i cookie analitici possano essere equiparati ai cookie tecnici e come tali esenti dall’acquisizione del consenso, devono avere un grado di invasività minimo. Per i cookie di terza parte, la minimizzazione si ottiene innanzitutto effettuando l’anonimizzazione degli IP degli utenti (su piattaforme come Google Analytics) di modo che il codice di tracciamento possa essere utilizzato con il solo obbligo di specificarlo nella cookie policy. Quindi, sia per i cookie analitici di prima parte che di terza parte, adottando delle misure e delle precauzioni per evitare che il dato statistico possa essere incrociato con altre informazioni e diventare così profilazione.

 

Quando i cookie di analytics sono considerati “cookie tecnici”

I cookie statistici, sia di prima che di terza parte, possono essere installati senza il consenso dell’utente (equiparandoli a cookie tecnici) solo a determinate condizioni.

Tali condizioni sono le seguenti.

Se il cookie analitico è di prima parte e:

  1. Viene utilizzato unicamente per produrre statistiche interne (aggregate o con dati in chiaro, nel rispetto del vincolo di finalità) relative ad un singolo sito o una sola applicazione mobile, oppure relative a più domini, siti web o app riconducibili però sempre allo stesso titolare (prima parte).

Se il cookie analitico è di terza parte e:

  • Viene utilizzato unicamente per produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile
  • Viene minimizzato (mascherandone almeno la quarta componente dell’indirizzo IP)
  • I dati raccolti non sono condivisi o comunicati a terzi
  • I dati raccolti non sono combinati con altri dati

In queste linee guida il Garante sottolinea la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

È tuttavia chiaro che si possa reputare lecito, quando l’analisi statistica viene effettuata in proprio dalla prima parte (ovvero direttamente dal titolare del sito) il ricorso a statistiche relative a più domini, siti web o app riconducibili al medesimo titolare, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale.

Questo significa che le terze parti (che possono ad esempio fornire il servizio di web analysis) non dovranno comunque combinare i dati (anche così minimizzati) con altre elaborazioni (come file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, in quanto questo comporterebbe un inaccettabile incremento dei rischi di identificazione dell’utente. Ciò tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale.

Le nuove misure si allineano alle disposizioni dell’Art. 25, paragrafo 1, del Regolamento in materia di privacy by design, tali da “attuare in modo efficace i principi di protezione dei dati”:  obiettivo conseguibile attraverso il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti“.

 

Minimizzazione dei cookie di analytics di terza parte

Affinché i cookie analytics siano equiparati ai tecnici è quindi indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato, ovvero impedendo ai cookie analytics di risultare identificatori diretti ed univoci. A tal fine, la struttura del cookie analytics dovrà prevedere la possibilità che lo stesso cookie non sia riferibile soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie.

Tenuto conto della rappresentazione degli indirizzi IP versione 4 (IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come sequenza di quattro numeri decimali compresi tra 0 e 255 separati da un punto, una delle misure implementabili al fine di beneficiare dell’esenzione consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit).

 

Google Analytics e GDPR

Come detto, i cookie statistici di terza parte, come per esempio Google Analytics, quando vengono utilizzati per meri fini statistici possono essere assimilati a cookie tecnici. Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.

Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.

Vediamo meglio un esempio con Google Analytics, che oggi è tra i sistemi di analytics più diffusi: di seguito vediamo come anonimizzarne i cookie e quali parametri il sistema prende in considerazione per fare profilazione o meno.

 

Anonimizzare gli IP di Analytics

Cosa fa Google Analytics quando anonimizza gli IP?

Come descritto sulla Guida di Google Analytics:

“Dal 25 maggio 2010, Analytics ha fornito la funzione _anonymizelp … per consentire ai proprietari di siti web di richiedere l’anonimizzazione di tutti gli indirizzi IP dei loro utenti nel prodotto. Questa funzione è stata progettata per aiutare i proprietari di siti a rispettare le norme sulla privacy o, in alcuni Paesi, le raccomandazioni delle autorità locali per la tutela dei dati, che possono impedire la memorizzazione delle informazioni relative agli indirizzi IP completi. Il mascheramento o l’anonimizzazione IP avviene non appena i dati vengono ricevuti dalla rete di raccolta di Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione.”

Il processo di anonimizzazione IP in Analytics si svolge nell’arco di due passaggi nella procedura di raccolta, ed è schematizzato in questa immagine:

 

Così, quando arriva una richiesta a Google Analytics, sono incluse le informazioni aggiuntive nell’intestazione della richiesta HTTP (ad es. il tipo di browser utilizzato) e l’intestazione TCP/IP (ad es. l’indirizzo IP del richiedente), ma non l’ultima parte dell’indirizzo IP.

Per implementare correttamente il parametro (che deve essere eseguito prima della funzione di raccolta) seguire queste indicazioni della devguide di Google.

 

Anonimizzazione e portata statistica del cookie

Anonimizzando l’IP non si perde alcun dato relativo alle statistiche base di Analiticsutenti attivi, pagine visitate, lingua, località, flussi di utente… etc… in quanto nascondendo l’IP si mantengono le informazioni circa la località del visitatore o il tempo di permanenza sulle pagine visitate, rendendo più complesso (ma non impossibile) risalire al singolo utente.

Per impedire completamente a Google Analytics di “incrociare” le informazioni raccolte con altri prodotti, sarebbe infatti necessario non attivare (nelle impostazioni della Proprietà) la condivisione con altri Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici.

 

Anonimizzazione e incrocio con altri dati

Come abbiamo nell’articolo GDPR e Cookie: come mettere a norma il sito web, ai sensi del GDPR il controllo del comportamento è citato nell’ambito della profilazione (Considerando 24). Questo significa che anche se utilizzi Google Analytics con IP Anonimizzato potresti incrociare l’area geografica dei tuoi visitatori con altri dettagli (come l’indirizzo email aziendale o l’età) usando questi dati per dedurre informazioni aggiuntive (come gli interessi o il reddito) contribuendo così alla profilazione dell’utente.

Questo avviene anche se decidi di attivare, tra i parametri di Analytics, la condivisione dei dati con i Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici: per raccogliere questi dati aggiuntivi, Google Analytics utilizza infatti dei cookies diversi da quelli statistici anonimizzati tramite _anonymizeIP, considerati cookie profilanti.

In tutti questi casi, dovrai quindi compilare adeguatamente sia la Privacy Policy che la Cookie Policy (spiegando in modo accurato quali informazioni raccogli, lo scopo, l’utilizzo e l’elaborazione di terze parti) e anche acquisire il consenso esplicito (adeguando quindi il cookie consent) laddove richiesto.

 

Specificare il periodo di conservazione dei dati usati in profilazione

Come riportato sulla Guida ufficiale, Google Analytics ha introdotto i controlli per la conservazione dei dati, con effetto a partire dal 25 maggio 2018 (data di entrata in vigore del GDPR). Questi controlli richiedono al titolare del sito di impostare un periodo di conservazione che riguarda i dati a livello di utente ed evento, associati a cookie, identificatori utente (ad es. User ID) e identificatori pubblicitari (ad es. cookie DoubleClick, ID pubblicità di Android e Identifier for Advertisers di Apple).

Non sono interessati quindi i rapporti aggregati standard di Google Analytics ma la modifica riguarda solo i dati raccolti e utilizzati da funzioni avanzate, quali i segmenti personalizzati o altri sistemi di analisi più approfondita, che si basano sulla creazione di rapporti personalizzati.

Trattandosi di dati raccolti e utilizzabili in modo personalizzato, sarà quindi il Titolare del sito a dover indicare ad Analytics per quanto tempo dovrà conservare i dati prima di eliminarli, scegliendo tra: 14 mesi, 26 mesi, 38 mesi, 50 mesi, Non scadono automaticamente. Questa scelta deve essere ponderata in conformità al GDPR, pertanto valutando la tipologia di dato raccolto in analytics e la sua invasività a livello di privacy dell’utente.

Quando i dati raggiungono la fine del periodo di conservazione, vengono eliminati automaticamente.

 

Consulenza GDPR per l'adeguamento ai cookie

In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti l’adeguamento del sito web al GDPR. Sotto trovate tutte le fonti da cui abbiamo raccolto le informazioni.

L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove in molti casi l'agenzia deve collaborare con avvocati e consulenti privacy per adeguarlo correttamente alla normativa.

Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari Contattaci per saperne di più.

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

ePrivacy
Direttiva 2002/58/CE (ePrivacy)

Modifica alla ePrivacy
Direttiva 2009/136/CE

Provvedimento Garante Italiano (Cookie Law)
Provvedimento 229/2014

Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016

Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso

Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante

Sito del Garante: Decadimento dell’obbligo di Notifica
Doveri

Sito del Garante: pareri del ex Gruppo Articolo 29
I pareri del Gruppo Articolo 29

Sito del Garante: linee guida elaborate dal Gruppo Art. 29
Linee guida elaborate dal Gruppo Art. 29

Ex Gruppo Articolo 29
Il Gruppo Articolo 29

Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)

Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679

Guida di Analytics | Anonymize IP: cosa fa
Guida di Google Analytics: cosa fa l’Anonymize IP

Guida di Analytics | Anonymize IP: come fare
Guida di Google Analytics: devguide

Guida di Analytics | Periodo di Conservazione
Conservazione dei dati

Google Analytics | Periodo di Conservazione
Anonimizzare Google Analytics ed evitare l’incrocio dati

Featured Image
termly.io

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.