Consenso ai cookie: cosa si nasconde dietro ai biscottini del web

COOKIE

Cosa sono i cookie, cosa significano e quali sono le direttive del Garante della privacy su questo strumento di tracciamento molto utile per i gestori dei siti internet: la disciplina del consenso e quando possiamo dire di no

Chi naviga online si imbatte costantemente nei cookie (letteralmente potremmo tradurre il termine inglese con biscottini) con il sito internet  che, appena aperto, indica la necessità di dare il proprio consenso per proseguire nella consultazione. Si tratta di una pratica obbligatoria, con i proprietari dei portali digitali che devono ottenere l’autorizzazione al trattamento dei dati del visitatore. I cookie, infatti, permettono l’identificazione dell’utente o del suo terminale e sono indispensabili per consentire una normale navigazione e fruizione del sito web. Per il loro grande potenziale informativo, rappresentano però anche un utilissimo strumento per chi fa digital marketing, con le aziende che avranno contezza degli interessi dell’utente e cercheranno dunque di proporgli quello che più gli interessa (e che più probabilmente potranno vendere).

Cookie, cosa sono e come funzionano

Prima di entrare nel macro argomento della privacy legata ai cookie, è bene avere ben chiaro cosa sia questo strumento. Tecnicamente si tratta di stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale, al browser solitamente. Qui vengono memorizzati e, in seguito, vengono rinviati agli stessi siti nel momento in cui l’utente torna su quel portale. È, dunque, un sistema di memorizzazione e tracciamento che segue l’utente e ne archivia i comportamenti digitali, con le informazioni ottenute che vengono utilizzate per varie finalità. Tra queste abbiamo:

  • la corretta navigazione online, con l’utente che accettando le condizioni potrà usufruire di determinate funzionalità come accedere ad aree riservate o portare a termine un acquisto su un e-commerce;
  • la raccolta di informazioni sull’utente, tali da consentire la realizzazione di statistiche e ottimizzazioni della navigazione. Si tratta dei cosiddetti cookie analitici che contengono indicazioni sugli utenti e sulle pagine visitate;
  • il tracciamento dei comportamenti online ai fini marketing. I movimenti digitali dell’utente vengono dunque registrati e, in base a questi, vengono settate le pubblicità in maniera più verticale, offrendo al consumatore ciò che più gli interessa in base alle pagine visitate in passato. È un forma di marketing definita comportamentale che a livello tecnico prevede un codice Javascript che rilascia al browser un cookie di tracciamento che seguirà l’utente in tutto il web.

Volendo provare a sintetizzare, possiamo dire che i cookie semplificano e velocizzano gli accessi ai siti web da parte degli utenti, in quanto, come riportato dalle ultime linee guida del Garante della privacy, “memorizzano alcune informazioni relative agli stessi che non debbono più essere reperite ed elaborate dai dispositivi dopo il primo accesso”. Inoltre, grazie a questo strumento viene facilitata la fruizione della maggior parte dei servizi web. A beneficiare della presenza dei cookie sono anche e soprattutto coloro che gestiscono i siti, in quanto consentono la raccolta e il trattamento di molti dati personali e non degli utenti. Nel primo caso si tratta dell’indirizzo IP, del nome utente, dell’identificativo univoco o dell’indirizzo e-mail, nel secondo, invece, rientrano dati come l’impostazione della lingua o le informazioni sul tipo di dispositivo che una persona utilizza per navigare.

Cookie e privacy

Appare evidente che l’utilizzo dei “biscottini” si leghi moltissimo alle normative sulla privacy. Entrando più nel dettaglio, l’accumulo di dati ed informazioni sugli utenti prevede che chi li detiene ottenga un consenso dall’utente. A disciplinare i cookie è il Regolamento generale sulla protezione dei dati, Gdpr, ovvero una legge europea che disciplina la raccolta e il trattamento dei dati personali delle persone all’interno dell’Ue. In base a quanto stabilito, i proprietari e gli operatori dei siti web hanno la responsabilità legale di assicurare che i dati personali ottenuti vengono raccolti e trattati in modo legale. Tale principio, benché derivante da una normativa europea, si applica anche ai siti che esterni all’Ue che trattano i dati di utenti che, invece, navigano da paesi dell’Unione europea.

Benché nel testo del Gdpr i cookie vengano menzionati soltanto una volta, il Regolamento rappresenta il testo di riferimento della materia. In questo viene espressamente indicato che un fondamento su cui si basa il meccanismo dei cookie é che gli utenti palesino il proprio consenso al trattamento dei dati. Inoltre, i siti web hanno l’obbligo di soddisfare una serie di requisiti in merito al consenso per i cookie. Più nel dettaglio, ai gestori e agli operatori dei portali web è chiesto:

sponsor
  • di informare preventivamente gli utenti della presenza dei cookie, esplicitandoli chiaramente;
  • che il consenso richiesto debba essere specifico, con l’utente che deve poter scegliere quali cookie attivare, lasciandone magari disattivati altri. Non é consentito, dunque, che l’utente venga messo nella condizione di dover acconsentire necessariamente a tutti i cookie;
  • che il consenso venga prestato liberamente e, dunque, non in maniera forzata da parte del sito web;
  • che i consensi possano essere revocati dagli utenti in maniera facile, simile a quella con cui sono stati autorizzati;
  • che il consenso venga custodito in maniera sicura, sotto forma di documentazione legale;
  • che il consenso dato dagli utenti possa essere rinnovato annualmente. Sul tema si sottolinea tuttavia che possono esserci delle variazioni previste da direttive nazionali dei singoli paesi in merito alla protezione dei dati. Solitamente, in questi casi, viene richiesto un aggiornamento più frequente, come ad esempio ogni sei 6 mesi.

Ma come si dà il proprio consenso ai cookie? In genere tale pratica è molto semplice, con i portali web che prevedono l’inserimento di banner a comparsa direttamente nelle pagine del sito che si sta visitando. L’utente dovrà dunque premere il pulsante che permette l’attivazione dei cookie.

Cookie, le nuove linee guida del Garante

Il Garante per la protezione dei dati personali a giugno 2021 ha previsto delle nuove linee guida in materia di cookie e di altri strumenti di tracciamento digitale. Tale operazione, come detto dal Garante stesso, si è resa necessaria per diverse motivazioni, tra cui:

  • l’introduzione del Regolamento 2016/679 (Gdpr);
  • la rapida e continua innovazione tecnica e tecnologica delle reti e degli strumenti;
  • l’evoluzione del comportamento degli utenti, che utilizzano sempre più spesso servizi (web, social media, app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smart TV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti.

Queste nuove linee guida sono diventate operative dal 9 gennaio 2022 e ruotano intorno a dei punti fondamentali, quali:

  • la promozione dell’accountability (sostanzialmente una maggiore responsabilità sui dati personali e il loro trattamento);
  • l’offerta agli utenti di informative trasparenti e chiare;
  • il rafforzamento del meccanismo del consenso;
  • il rispetto dei principi di privacy by design e by default. Con questi termini si intende l’imposizione alle aziende dell’obbligo di avviare un progetto prevedendo, fin da subito i rischi che possono incontrare per la tutela dei dati personali, di conseguenza potranno scegliere di quali strumenti dotarsi.

Con specifico riferimento ai titolari di siti web, viene chiesto loro di offrire agli utenti delle informazioni sui cookie che siano chiare e conformi ai requisiti di trasparenza previsti dal Regolamento agli articoli 12 e 13. Ecco dunque che ai visitatori dei portali dovrà essere garantito un messaggio creato con un linguaggio semplice, accessibile e comprensibile e la presenza di messaggi per l’ottenimento del consenso multiplayer. Questo vuol dire che la presenza dei cookie dovrà essere avvisata attraverso più canali e modalità, con ad esempio dei pop-up informativi, delle interazioni vocali, degli assistenti virtuali e così via. Inoltre, nelle linee guida si fanno delle specifiche differenze tra i cookie tecnici e quelle che non lo sono:

  • in presenza di cookie solo tecnici, le informazioni su di essi potranno essere  collocate in home page oppure nell’informativa generale del sito web;
  • quando, invece, ci sono anche altri cookie non tecnici, è richiesta la presenza di un banner a comparsa immediata e di adeguate dimensioni che permettano di contenere diversi elementi.

Più nel dettaglio, le linee guida prevedono che all’interno del banner venga indicato:

  • un comando che consenta all’utente di chiudere il messaggio senza prestare il consenso (la classica X);
  • l’indicazione che il sito utilizza cookie;
  • un comando per consentire all’utente di fornire il proprio consenso dopo che allo stesso sono state fornite le finalità di utilizzo dei cookie, la cosiddetta informativa breve;
  • un link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento;
  • un comando che consenta all’utente di accettare tutti i cookie o anche altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte.

Si sottolinea infine che l’area dedicata alle scelte di dettaglio dovrà poter essere facilmente raggiungibile per l’utente. A tal proposito è previsto che venga inserito un link ulteriore che è posizionato nel footer (area in basso della pagina web) di qualsiasi pagina del dominio.