I cookie sono piccoli tracker che collegano utenti e siti web.

Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche. Ciò ha creato la necessità di leggi apposite, e l’entrata in vigore del Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, in particolare, ha cambiato le regole di base per poter acquisire il consenso dell’utente all’uso dei cookie.

Vediamo come gestire i cookie sul sito web in modo conforme alle normative in tema di privacy.

(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)

Cosa sono i Cookie

cookies (letteralmente ‘biscottini‘) sono dei file di testo inviati sul computer dell’utente che in quel momento sta visitando il sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione.

Esiste una grande varietà di cookie che ne rende difficile una classificazione: ad oggi, non esiste ancora un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento online che consenta di distinguere oggettivamente, ad esempio, un cookie tecnico da un cookie statistico o di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy.

In relazione al GDPR, possiamo stilarne la seguente classificazione, categorizzandoli in base alla durata, finalità e origine.

Per saperne di più, leggi l'articolo Cosa sono i Cookie: tecnici, statistici e profilanti.

 

Come gestire correttamente i Cookie sul sito

Il Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR nasce con l’obiettivo di tutelare le persone fisiche da un utilizzo illecito dei loro dati personali: proprio l’aumento esponenziale dei servizi online ha determinato un aumento dei rischi per i diritti e per la privacy dei cittadini, e ha reso necessario un intervento legislativo europeo.

Benchè nel Regolamento si dichiari di non imporre obblighi supplementari a quelli già previsti nella ePrivacy, in realtà dal 25 maggio 2018, con l’entrata in vigore del GDPR, vengono modificate le condizioni di validità per l’acquisizione del consenso, ora richiesto per singola tipologia di trattamento, e questo influisce quindi anche sul tema dei cookies. In particolare, strettamente correlato al concetto di cookie, la normativa ci dice che:

  • L’indirizzo IP completo è un dato personale
  • Il Consenso all’uso del cookie deve poter essere fornito per ogni Finalità di trattamento
  • Il Consenso all’uso del cookie deve poter essere revocato per ogni Finalità di trattamento
  • Ogni dato raccolto deve essere conservato per il tempo strettamente necessario

Rispetto alle normative precedenti, è proprio il metodo di acquisizione e gestione del consenso ai cookie (Cookie Consent) che con il GDPR cambia, in quanto deve poter essere fornito per ogni finalità, quale risultato di una atto inequivocabile, e deve poter essere revocato in qualsiasi momento.

Per saperne di più, leggi l'articolo Cookie Consent e prova del consenso.

Questo cambio di visione ha un impatto importante sulla gestione dei cookie da parte del sito web.

 

GDPR e uso corretto dei Cookie sui siti web

Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).

Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:  

 

STRUMENTOA COSA SERVE
Cookie BannerInformativa breve
Cookie PolicyInformativa estesa
Cookie ConsentAcquisizione del consenso ai cookie
Prova del consenso Prova documentale del consenso

Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.

 

 

Linee Guida per la corretta gestione dei cookie

Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR.

Troviamo dei riferimenti pratici alla corretta gestione dei cookie in diversi documenti e linee guida (alcune antecedenti il GDPR) come ad esempio:

 

L’infografica del Garante Italiano sull’uso dei Cookie

L’attuale normativa è il risultato di un percorso normativo partito, a livello europeo, nel 2002. Prima dell’entrata in vigore del GDPR, in Italia entrava in vigore il provvedimento n. 229/2014 dell’8 maggio 2014 (ai più noto come ‘Cookie Law‘) in recepimento della Direttiva 2009/136/CE.  La cookie law italiana entrò in vigore il 3 giugno 2015 e fu al centro di dibattiti e polemiche: in data 05 giugno 2015 il Garante pubblicò dei chiarimenti sulla normativi in materia di cookie, e tra questi anche un’infografica su come gestire i diversi tipi di cookie.

L’infografica del Garante fu un documento essenziale, in quanto permise di avere un quadro più chiaro e semplificato di come catalogare ogni cookie e operare di conseguenza. Riportiamo di seguito uno schema aggiornato della sopracitata infografica.

 

SCHEMA SUL CORRETTO USO DEI COOKIE  
Scorri la tabella a destra da mobile

TIPO DI COOKIEORIGINECONDIZIONECOOKIE policyCOOKIE bannerCOOKIE CONSENT
Nessun Cookie-Se il sito web non installa cookieNoNoNo
Cookie Tecnicidi prima parteSe il sito web installa solo cookie tecniciSiNoNo
Cookie Funzionalidi prima parteSe sono cookie di sessioneSiNoNo
Cookie Funzionalidi prima parteSe sono cookie persistentiSiSiSi
Cookie Analiticidi prima parteSe il sito web non effettua profilazioneSiSiNo
Cookie Analiticidi prima parteSe il sito web effettua profilazioneSiSiSi
Cookie Analiticidi terza parteSe anonimizzati e non incrociati con altri datiSiSiNo
Cookie Analiticidi terza parteSe la terza parte incrocia i dati con altri sistemi o effettua profilazioneSiSiSi
Cookie Social Mediadi terza parteSe non incrociati con altri dati e non per profilazione (es: social sharing)SiSiNo
Cookie Social Mediadi terza parteSe incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie')SiSiSi
Cookie Profilantidi prima parteSe il sito web profila a fini commerciali SiSiSi
Cookie Profilantidi terza parteSe la terza parte profila a fini pubblicitariSiSiSi

Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale,  è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021  in tema di consenso valido.

 

Sito con solo cookie tecnici

Come riportato nelle Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021: Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

 

 

GDPR e Tipologie di Cookie

Possiamo individuare nelle “tipologie di cookie” definite nell’infografica del Garante la “finalità di trattamento” ai fini del GDPR. Il Garante ha effettuato una catalogazione valutando il grado di invasività del cookie nella sfera privata dell’utente, e ha individuato 6 categorie:

  • Cookie di prima parte | Tecnici (cd cookie tecnici): se il sito web installa solo cookie tecnici, ha solamente l’obbligo di informarne il visitatore.
  • Cookie di prima parte | Analitici (assimilabili a cookie tecnici): i cookie analitici di prima parte sono assimilabili a cookie tecnici: pertanto, laddove il dato venga raccolto direttamente dal sito e usato ai soli fini statistici, si ha solamente l’obbligo di informare il visitatore.
  • Cookie di prima parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
  • Cookie di terza parte | Analitici Anonimizzati (assimilabili a cookie tecnici): i cookie analitici di terza parte, se mascherano l’indirizzo IP e non vengono incrociati con altri dati, possono essere assimilati a cookie tecnici e trattati come tali.
  • Cookie di terza parte | Analitici Non Anonimizzati: se non anonimizzati, questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
  • Cookie di terza parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.

Ragionando in termini di GDPR, possiamo dire che per il trattamento dei cookie tecnici (e dei cookie assimilabili a cookie tecnici) abbiamo come base giuridica di trattamento l’interesse legittimo del titolare del sito, in quanto si tratta di strumenti che possono essere necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi (si pensi, ad esempio, ad un sito che mette a disposizione un servizio online gratuito ma solo per un limite massimo di 3 volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio).

Per tutti gli altri casi di cookie “non-tecnici” è invece necessario acquisire il consenso preventivo dell’utente, quale base giuridica che ne rende lecito il trattamento (la raccolta, la conservazione, l’elaborazione..etc..).

 

 

Cookie tecnici e cookie non-tecnici

I cookie tecnici sono esenti dall’acquisizione del consenso, in quanto hanno un grado di invasività minimo: è importante indicarli nelle informative (Cookie Banner e Cookie Policy) ma non acquisirne il consenso. L’esenzione dal consenso è stata originariamente elaborata dall’ex Gruppo di Lavoro Articolo 29 in questo documento tecnico denominato “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” [Link nuovo] dove formalizza 2 casistiche:

  • CRITERIO A: il cookie è utilizzato “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica”.
  • CRITERIO B: il cookie è “strettamente necessari[o] al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Il documento evidenzia come l’elemento discriminante per catalogare correttamente un cookie sia la valutazione del rischio per la protezione dei dati, che discende dalla o dalle finalità del trattamento anziché dalle informazioni contenute nel cookie. Quindi, per poter stabilire se un cookie può essere esente dal consenso in virtù del CRITERIO A o B occorre valutare la finalità e l’attuazione o il trattamento specifici.

Dato che è possibile impiegare un cookie per varie finalità (“Cookie multi scopo“) tale cookie può essere esente dal consenso solo qualora tutte le distinte finalità dell’impiego, prese singolarmente, siano esenti dal consenso.

Ad esempio “è possibile creare un cookie con un nome o valore unico che possa essere impiegato sia per memorizzare le preferenze dell’utente sia a fini di monitoraggio. Benché si possa ritenere che la memorizzazione delle preferenze dell’utente ricada in alcune circostanze nell’ambito di un’esenzione (come illustrato nella sezione 3.6), è molto improbabile che la seconda funzionalità soddisfi il CRITERIO A o B. Pertanto, il sito web dovrà sempre chiedere il consenso dell’utente a tal fine. Nella pratica, ciò dovrebbe incentivare i proprietari di siti web a utilizzare un cookie diverso per ciascuna finalità distinta.”

Lo stesso documento riporta, poco dopo, un’osservazione che successivamente sarà battezzata consenso granulare.

 

Consenso per gruppo di cookie (consenso granulare)

Come già evidenziato dal Gruppo di lavoro nel parere 16/2011, se un sito web utilizza più cookie oppure cookie con più finalità, ciò non significa che debba presentare un “banner” distinto o una richiesta di consenso per ciascun cookie o scopo. Nella maggior parte dei casi è sufficiente un unico riquadro informativo e consenso, presentato in modo chiaro ed esaustivo.

Nel parere si definiscono cookie tecnici esenti:

  • Cookie con dati compilati dall’utente (user input)
  • Cookie per l’autenticazione
  • Cookie di sicurezza incentrati sugli utenti
  • Cookie di sessione per lettori multimediali
  • Cookie di sessione per il bilanciamento del carico
  • Cookie per la personalizzazione dell’interfaccia utente
  • Cookie per la condivisione dei contenuti mediante plug-in sociali

Mentre non rientrano nelle categorie sopra e quindi sono cookie non esenti:

  • Cookie di monitoraggio mediante plug-in sociali
  • Pubblicità di terzi
  • Analitica di prima parte (*)

Questi ultimi (*), tuttavia, non sono considerati cookie che generino un rischio per la privacy, pertanto il Garante italiano ha deciso di farli assimilare ai cookie tecnici (come indicato nell’infografica).

 

Cookie di terze parti

Il titolare del sito è quindi il responsabile per i cookie impostati da una terza parte tramite il sito stesso: come specificato dalle FAQ del Garante“l’obbligo di informare l’utente sull’uso dei cookie di terze parti e di acquisirne il preventivo consenso incombe sul titolare del sito”.

 

Scarico dei cookie di terze parti Nessun cookie di terze parti dovrà quindi essere scaricato dal sito né potrà accedere a informazioni presenti sul terminale dell’utente, in assenza di una corretta informazione e (laddove richiesto) di un consenso esplicito. Solo nel caso in cui il cookie di terza parte sia anonimizzato, può essere assimilato ad un cookie tecnico e non è necessario acquisirne il consenso (ma è necessario mostrare l’informativa).

 

Cookie di profilazione (Marketing)

I cookie di profilazione raccolgono informazioni e tracciano i dati di navigazione con il fine di realizzare una profilo del visitatore e inviargli pubblicità personalizzata. Per questo motivo, hanno un grado di invasività molto elevato e necessitano del consenso preventivo. Devono scadere al massimo entro 12 mesi.

 

 

 

GDPR e cookie di Google Analytics

Il Garante Italiano mette in rilievo la differenza tra cookie profilanti di terze parti anonimizzati e non. Come specificato nell’infografica e nei chiarimenti del 05/06/2015, il potere profilante dei cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP e non inviando così alla piattaforma terza il dato personale del visitatore del sito.

Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.

Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.

Per saperne di più, leggi l'articolo Cosa sono i Cookie di Analytics .

 

Consulenza GDPR per l'adeguamento ai cookie

In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.

Contattaci per saperne di più.

 

Guide alla gestione dei Cookie sul nostro sito 

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

 

Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016

Sito del Garante Italiano: area dedicata ai cookie
Cookie e privacy: istruzioni per l´uso

Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante

Sito del Garante: Decadimento dell’obbligo di Notifica
Principi fondamentali del trattamento (liceità, minimizzazione…)

Sito del Garante: Trasparenza e linee guida elaborate dal Gruppo Art. 29
Trasparenza e Linee guida elaborate dal Gruppo Art. 29

I Pareri del ex Gruppo Articolo 29 (criteri dei cookie tecnici)
I pareri del Gruppo Articolo 29

Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)

Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679

Linee guida Garante Italiano del 6/2020 (consenso valido)
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021

Linee guida Garante Italiano del 6/2020 (sintesi)
Linee guida cookie e altri strumenti di tracciamento (sintesi)

Featured Image
termly.io

 

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento