Cookie: cosa sono, a cosa servono e quali regole privacy seguire - Cyber Security 360

GUIDA NORMATIVA

Cookie: cosa sono, a cosa servono e quali regole privacy seguire

Oltre alle funzionalità tecniche che consentono una corretta navigazione sui siti Web, i cookie permettono di analizzare il comportamento dell’utente ai fini marketing, creare profili sui suoi gusti, abitudini, scelte e mostrargli annunci personalizzati in base ai suoi interessi e alle sue preferenze. Ecco le regole per gestirli in conformità con la normativa in materia di protezione dei dati personali

05 Nov 2020
L
Francesca Lonardo

Associate Partner presso P4I - Partners4Innovation

M
Nicole Mazzocchi

Business Analyst presso P4I - Partners4Innovation

Cookie e strumenti analoghi (come, ad esempio, web beacon, tracking pixel, clear GIF ecc.) che consentono l’identificazione dell’utente o del suo terminale sono una tecnologia indispensabile sia per consentire la normale navigazione ed efficace fruizione dei siti web che per fare digital marketing.

Ma cosa sono esattamente i cookie?

Cookie: cosa sono e a cosa servono

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Si tratta, quindi, di sistemi di memorizzazione che “seguono” l’utente durante la sua navigazione on line, archiviandone le informazioni. Proprio per queste loro caratteristiche, sono usati per differenti finalità.

Innanzitutto, i cookie sono utilizzati per permettere agli utenti di navigare on line ed usufruire di determinate funzionalità, ad esempio, di realizzare un acquisto su un sito di e-commerce o facilitare l’autenticazione dell’utente ad aree riservate. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking, per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili[1] [2].

I cookie sono utilizzati anche per effettuare statistiche, ottimizzare il sito e raccogliere informazioni in forma aggregata sul numero degli utenti e le pagine visitate (si tratta dei cd. cookie analitici).

Ma, soprattutto, consentendo di tracciare la navigazione dell’utente on line, i cookie permettono di analizzare il suo comportamento ai fini marketing, creare profili sui suoi gusti, abitudini, scelte ecc. e mostrargli annunci personalizzati in base ai suoi interessi ed alle sue preferenze. In pratica, sono fondamentali per effettuare quella pubblicità mirata su cui si fonda la “fortuna” sia dei giganti del web (come Google, Facebook, Amazon, Microsoft ecc.) sia delle aziende di marketing digitale che beneficiano del cd.“on line behavioural advertising”, come gli editori web.

Grazie ai cookie è possibile pianificare, in particolare, una strategia di remarketing. Si tratta di una forma di marketing comportamentale che, tramite un codice Javascript che rilascia al browser un cookie di tracciamento, “insegue” in tutto il web l’utente che ha visitato un determinato sito e gli mostra un’inserzione relativa a tale sito che ha visitato.

Il processo funziona come mostrato nell’immagine: un utente accede al sito e visita le pagine che gli interessano; il suo comportamento viene memorizzato; l’utente lascia il sito senza nessuna “conversione” (senza aver cioè compiuto alcuna azione, ad esempio acquistare on line, iscriversi ad una newsletter, scaricare un contenuto e via dicendo); l’utente visita altri siti e gli apparirà l’inserzione del sito che ha visitato[3].

Sui cookie di profilazione (come sui pixel e altri sistemi di monitoraggio) si basano anche nuove pratiche di marketing online i cui rischi stanno ultimamente evidenziando esperti[4] e autorità[5].

Si tratta, in particolare, del “Programmatic Advertising”, che consente di automatizzare la compravendita degli spazi pubblicitari on line grazie all’uso di apposite piattaforme tecnologiche che mettono in comunicazione in tempo reale la domanda degli inserzionisti e l’offerta degli editori (o delle loro concessionarie pubblicitarie)[6].

Tali tecnologie facilitano la vendita di spazi pubblicitari e rendono possibile erogare la pubblicità “giusta” al target “giusto” in pochissimi istanti e a un costo ridotto.

Ma qual è la normativa applicabile ai cookie?

Cookie: la neverend story della proposta del “Regolamento ePrivacy”

Insieme al Regolamento UE 679/2016 (“GDPR”) sarebbe dovuto entrare in vigore un altro regolamento, volto a stabilire norme specifiche nel settore delle comunicazioni elettroniche, sostituendo la Direttiva 2002/58/EC, modificata nel 2009 dalla Direttiva 136/CE, chiamata anche, evocativamente, “cookie law” (“Direttiva ePrivacy”), aggiornandone i contenuti e allineandone la disciplina al GDPR[7].

Il testo, originariamente presentato dalla Commissione europea a gennaio 2017, è però ancora allo stato di bozza[8]. La proposta iniziale, infatti, prevedeva che gli utenti avrebbero dovuto esprimere il loro consenso (o rifiuto) ai cookie direttamente tramite i browser o comunque i software che permettono l’accesso a internet (e non tramite banner). In pratica un “dramma” per le aziende che sulla profilazione online hanno costruito il successo del loro sistema di pubblicità (e più in generale dei fornitori di servizi online), che si sono opposti strenuamente all’approvazione del Regolamento ePrivacy, per il timore di vedere notevolmente ridurre il loro fatturato annuo a causa dell’introduzione di regole più rigide di quelle attuali.

La disciplina attuale sui cookie

Nell’attesa, rimane quindi applicabile la Direttiva ePrivacy che era stata ritenuta dalla Commissione obsoleta rispetto agli sviluppi tecnologici occorsi nell’ultimo decennio, oltre che non chiara ed ambigua proprio sui “cookie di tracciatura”.

Si pone pertanto agli esperti il problema di interpretare una normativa speciale, da ultimo modificata nel 2009, alla luce di una generale più recente, flessibile, ispirata ad una differente filosofia e caratterizzata da un diverso approccio.

Ma cosa richiede tale direttiva in relazione ai cookie (e tecnologie analoghe)? L’art. 5(3) della stessa, prevede, per l’istallazione dei cookie, il principio dell’opt-in. “Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

La Direttiva ePrivacy è stata recepita in Italia dal d.lgs. 69/2012, che ha modificato l’art. 122 del D.lgs. 196/2003 (“Codice Privacy”).

Bisogna considerare che le disposizioni del Codice Privacy sui «cookie» (come in generale quelle in materia di comunicazioni elettroniche), “in attesa dell’emanando regolamento europeo in materia di e-privacy[9], non sono state modificate dal decreto d.lgs. 101/2018, volto ad armonizzare il Codice Privacy al GDPR, in quanto attuazione non della direttiva 95/46/CE – sostituita appunto dal GDPR – ma di una normativa speciale, appunto la Direttiva ePrivacy.

L’art. 122 del Codice, ha “replicato” il testo dell’art. 5(3) della Direttiva ePrivacy, attribuendo però al Garante per la protezione dei dati personali il compito di individuare modalità semplificate con cui rendere l’informativa, tenendo anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte[10].

Il Provvedimento del Garante

In attuazione di quanto previsto nell’art 122 del Codice, il Garante, con il noto Provvedimento 229 dell’8 maggio 2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, ha individuato modalità semplificate con cui rendere non solo l’informativa, ma anche il consenso.

La nostra Autorità ha ritenuto che, ai fini della semplificazione dell’informativa, una soluzione efficace fosse quella di impostare la stessa su due livelli di approfondimento successivi.

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”.

Gli utenti che desiderano avere maggiori e più dettagliate informazioni e “differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato”, possono accedere al testo dell’informativa estesa (che deve essere comunque raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima)[11].

Secondo il Garante, al fine di giungere a una corretta regolamentazione, è necessario distinguere i cookie non solo sulla base del soggetto che li istalla (cookie di prima parte istallati sul suo terminale dal sito su cui l’utente sta navigando e cookie di terze parti istallati da siti o da web server diversi), ma anche sulla base delle finalità perseguite da chi li utilizza.

I cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica» o a fornire un servizio “esplicitamente richiesto” dall’utente (cfr. art 122 comma 1 del Codice), non richiedono il consenso, ma solo l’informativa.

I cookie analitici, secondo il Garante, sono assimilati ai cookie tecnici e, pertanto, non richiedono il consenso degli utenti se:

  • realizzati e utilizzati direttamente dal gestore del sito prima parte, senza dunque l’intervento di soggetti terzi ai fini di ottimizzazione dello stesso, per raccogliere informazioni aggregate sul numero degli utenti e su come questi visitano il sito stesso;
  • realizzati e messi a disposizione da terze parti ed utilizzati dal sito prima parte per meri fini statistici, qualora vengano adottati strumenti idonei a ridurne il potere identificativo (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP) e qualora il loro impiego sia subordinato a vincoli contrattuali tra gestore del sito prima parte e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio a conservarli separatamente e a non incrociarli con altre informazioni di cui esse dispongano.

I cookie «analitici di terza parte» (se gli IP non sono stati pseudo anonimizzati e se la terza parte incrocia le informazioni con altre di cui già dispone) ed i cookie di profilazione possono essere installati sul terminale dell’utente solo se questo abbia espresso il proprio consenso.

La richiesta di consenso all’uso dei cookie di profilazione ed analitici non anonimizzati secondo il Garante può essere inserita nel banner contenente l’informativa breve.

Il punto è che il Garante ha previsto espressamente che la mera “prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link)” comporti “la prestazione del consenso all’uso dei cookie[12], in partica un consenso “implicito”.

Ma può tale consenso considerarsi ancora valido con il GDPR? Per dare risposta a questa domanda, rimandiamo all’articolo Digital advertising e consenso ai cookie: regole operative pubblicato su questa stessa testata.

NOTE

  1. Authentication cookies are used to identify the user once he has logged in (example: on an online banking website). These cookies are needed to allow users to authenticate themselves on successive visits to the website and gain access to authorized content, such as viewing their account balance, transactions, etc” (v. “Opinion 04/2012 on Cookie Consent Exemption” del 7 giugno 2012 del Working Party 29 (WP29), organismo consultivo ed indipendente che si occupava di promuovere l’applicazione coerente delle norme sulla protezione dei dati personali nell’Unione Europea e la cooperazione tra le autorità competenti, previsto dall’art. 29 della Direttiva 95/46/CE, ad oggi sostituito dall’European Data Protection Board (“EDPB”).
  2. Così il WP29 nell’“Opinion 04/2012 on Cookie Consent Exemption”, cit. Di regola, si tratta di cookie impostati per scadere quando termina la sessione o addirittura anche prima, ma possono anche durare di più. Un gestore di un sito di e-commerce potrebbe ad esempio impostare il cookie in modo che duri oltre la fine della sessione o per un paio d’ore in più per consentire all’utente che abbia chiuso accidentalmente il suo browser di recuperare il contenuto del suo carrello della spesa quando accede di nuovo al sito web nei minuti successivi.
  3. Il remarketing ottimizza il tasso di “conversione”, in quanto permette di intercettare gli utenti che hanno già visitato un sito web (o i profili social) e che sono in qualche modo interessati ai beni e servizi offerti, ma non hanno compiuto nessuna azione. Questa attività è possibile, per esempio, attraverso Google AdWords e le inserzioni su Facebook e Instagram.
  4. V., ad esempio, il Report from Dr Johnny Ryan – Behavioural advertising and personal data che spiega il funzionamento del”Real Time Bidding” (RTB) – particolarmente diffuso in Italia – evidenziandone le criticità dal punto di vista privacy.
  5. Il 20 giugno 2019, infatti, l’ICO (Autorità garante inglese) ha pubblicato un “Update report into adtech and real time bidding” per fornire indicazioni sull’utilizzo di tali strategie, segnalando la mancanza di trasparenza causata dal coinvolgimento di diversi attori e i rischi dovuti al fatto che le stesse consentono a centinaia di organizzazioni di trattare dati personali degli utenti on line.L’Autorità garante francese (“CNIL”) ha invece aperto un’indagine nei confronti di quattro aziende “AdTech” (Vectaury, Fidzup, TeemoSinglespot).
  6. Le piattaforme utilizzate per il Programmatic Advertising sono di regola:“DSP” (Demand Side Platform), utilizzata dagli inserzionisti per acquistare campagne pubblicitarie in Programmatic Advertising, impostandone i parametri, individuando cioè i cluster (segmenti demografici e di comportamento degli utenti) ai quali erogare la propria pubblicità;“SSP (Supply Side Platform), attraverso cui gli editori offrono gli spazi pubblicitari, mettendo a disposizione la propria inventory acquistabile in Programmatic Advertising. Tramite tali piattaforme vengono formulate automaticamente proposte d’asta (o di acquisto);

    “DMP” (Data Management Platform), che funge da punto di contatto tra gli inserzionisti che intendono acquistare campagne pubblicitarie tramite le DSP e gli editori (o le loro concessionarie), che offrono gli spazi pubblicitari ancora disponibili attraverso le SSP.

  7. L’esigenza di aggiornare il regime di protezione delle comunicazioni elettroniche era inoltre dovuta alla necessità di allineamento con il GDPR e di armonizzazione della normativa a livello europeo, in modo da assoggettare gli operatori economici che forniscono servizi nel settore ad un unico regime europeo ed eliminando l’incertezza giuridica dovuta alle differenti modalità di recepimento dell’attuale direttiva negli ordinamenti nazionali.
  8. L’ultima proposta, presentata dalla presidenza finlandese, è stata respinta il 22 novembre 2019 dal COREPER (Comitato dei rappresentanti permanenti del Consiglio dell’Unione Europea). Nella seduta del Consiglio UE “Trasporti, telecomunicazioni e energia” del 3 dicembre 2019 è stato confermato il nulla di fatto. Il commissario UE per il Mercato Interno, Thierry Breton, al termine della seduta, ha segnalato che tra i Paesi UE ci sono più divergenze del previsto, che non sa ancora se insormontabili o meno, tanto che, al momento, tutte le opzioni erano sul tavolo, inclusa la possibilità di una nuova proposta.
  9. Così si legge nella relazione illustrativa del decreto legislativo 10 agosto 2018, n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR
  10. Così testualmente il primo comma dell’art. 122 del Codice Privacy: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente”.
  11. La scelta di un informativa a strati è poi sostenuta, con il GDPR, dall’WP29, nelle “Linee guida sulla trasparenza ai sensi del Regolamento”, WP260 rev 01, fatte proprie dal Comitato europeo per la protezione dei dati, che ha raccomandato, in particolare nel contesto digitale, l’utilizzo di un’informativa a strati layered»), attraverso cui gli interessati sono informati sul trattamento step by step, senza essere costretti a visualizzare le molteplici categorie di informazioni in una sola volta. Informazioni minime potrebbero essere contenute nell’’avviso iniziale, mentre ulteriori informazioni (come sono usati i dati, chi sono gli altri titolari e come l’utente può esercitare i propri diritti) potrebbero essere accessibili tramite link all’informativa estesa. L’utilizzo di un’informativa a strati consentirebbe, a parere del WP29, di soddisfare sia il requisito della completezza che quello della comprensibilità, permettendo agli utenti di accedere direttamente a quelle sezioni dell’informativa che vogliono approfondire.
  12. A seguito del provvedimento in materia di cookie dell’8 maggio 2014 il Garante ha pubblicato dei Chiarimenti in merito all’attuazione della normativa in materia di cookie, precisando, riguardo al cookie banner, che “se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4