Cookie: tutte le domande e le risposte più frequenti

Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.

I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.

I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….

I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.

I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.

I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.

I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.

L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.

L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito. 

La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.

La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.

Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:

• Cookie Banner
• Cookie Policy
• Cookie Consent
• Prova del consenso

Come riportato nelle Linee guida del Garante Privacy  ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:

• cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
• cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
• cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
• cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent

Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.

È necessario il consenso dell'utente all'installazione dei Cookie? Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.

La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.

Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.

CMP significa Consent Management Platform letteralmente piattaforma di gestione del consenso . Sono sistemi che si occupano di acquisire e gestire il consenso dell'utente sul sito web, in relazione alla raccolta e al trattamento delle informazioni personal tramite cookie o altri tracker di terze parti. Insieme al cookie banner, il CMP è usato per rendere il sito conforme alle leggi sulla privacy dei dati.

TCF sta per Transparency and Consent Framework: è uno standard per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari profilati online. Creato da IAB Europe (Interactive Advertising Bureau) per assistere gli editori, le industrie tecnologiche e gli inserzionisti nell’essere conformi al GDPR e alla Direttiva ePrivacy dell’UE. Molti sistemi CMP si adeguano a questo standard per garantire la conformità delle procedure offerte.

SCC sta per Standard Contract Clauses: sono clausole pre-approvate dalla Commissione europea, che consentono il trasferimento di dati personali di cittadini UE all'esterno dello Spazio Economico Europeo (SEE). Secondo il GDPR, per trasferire dati personali al di fuori dell’Unione Europea è necessario assicurarsi che siano in vigore - nel paese terzo, di trasferimento - adeguate garanzie di protezione dei dati personali, in mancanza delle quali il trasferimento non è consentito. Le SCC rappresentano una base giuridica che rende possibile il trasferimento.

Per saperne di più, consulta la pagina Standard Contractual Clauses (SCC) sul sito della Commissione Europea

Raccogliendo dati con Google Analytics, Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo, si è assistito a diverse sentenze con le quali i Garanti della Privacy hanno dichiarato l'uso di GA illegittimo, basandosi sul fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati. Ad oggi, con il nuovo Data Privacy Framework UE-USA, si è raggiunto un nuovo accordo sul trasferimento dei dati UE-USA e Google Analytics 4 può essere utilizzato in modo conforme.

Google Analytics non è necessariamente conforme al GDPR per impostazione predefinita: dovrai eseguire alcuni passaggi aggiuntivi, come fornire una politica sulla privacy e una politica sui cookie conformi e ottenere il consenso esplicito dell'utente prima che si attivino i cookie GA. È anche importante sottolineare che la conformità al GDPR è un continuo lavoro in corso.

Google afferma che Google Analytics non raccoglie "informazioni di identificazione personale" o PII. Tuttavia, lascia i cookie sui browser, che il GDPR considera informazioni personali. Pertanto, dovrai adottare misure per ottenere il consenso dell'utente e comunicare adeguatamente il tuo utilizzo dei cookie per ottenere la piena conformità al GDPR.

Google Analytics 4 utilizza i seguenti cookie proprietari:

• _ga: cookie utilizzato per distinguere gli utenti  (scadenza predefinita di 2 anni)
• _ga_: cookie utilizzato per mantenere lo stato della sessione dell'utente (scadenza predefinita di 2 anni)

Sì, se abiliti la modalità di consenso di Google, puoi utilizzare Google Analytics senza fare affidamento sui cookie, in quanto consentirà al tuo sito web di funzionare in base allo stato di consenso dei tuoi utenti. Questo perché i g-tag, non i cookie, comunicano a GCM le scelte di consenso dei tuoi utenti.

Sì, puoi utilizzare Google Analytics e rispettare altre leggi sulla privacy dei dati. Tuttavia, è necessario comunicare l'utilizzo di GA nella propria informativa sulla privacy. In base a leggi come il California Consumer Privacy Act ( CCPA ), devi anche rispondere alle richieste di rinuncia dei consumatori e di limitazione dei dati.

Alcune alternative a Google Analytics includono quanto segue:

• Adobe Analytics
• Matomo Analytics
• Plausible Analytics
• Fathom Analytics
• Hotjar
• Clicky

Se configurato correttamente, puoi utilizzare altre piattaforme di analisi in modo conforme al GDPR, tra cui:

• Simple Analytics
• PostHog
• Fathom Analytics
• Matomo Analytics