Il Garante per la Protezione dei Dati Personali ha emanato il regolamento per l"Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", la cosiddetta Legge Cookie o Cookie Law.

Nella Cookie Law, il Garante ha individuato 3 tipi di cookie: i "cookie tecnici", i "cookie di profilazione" e i "cookie di terze parti" e per ognuno di essi ha prescritto regole di informativa e di uso differenti che gli editori di siti web (quindi anche i commercianti che conducano un e-commerce) devono rispettare.

Distinguere un tipo di cookie dall'altro potrebbe essere meno semplice di quanto si potrebbe credere a prima vista.

In questo post cercheremo di chiarire le differenze che passano tra un tipo di cookie e l'altro e i possibili errori in cui potremmo incorrere se non le capissimo a fondo.

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Come si distinguono i "cookie tecnici" dai "cookie di profilazione"

La prima distinzione che dobbiamo comprendere è quella che passa tra un "cookie tecnico" e un "cookie di profilazione": su questa distinzione, infatti, si fonda tutta la normativa prevista dalla Cookie Law.

La distinzione tra "cookie tecnici" e "cookie di profilazione" ce la fornisce lo stesso Garante in modo esplicito, quando specifica nella premessa 1, "Considerazioni preliminari", che:

I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

[...]

I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Mi pare abbastanza chiaro, no? No, scherzo, rendiamolo più chiaro:

Per capirci, se un utente prova ad autenticarsi tramite login il cookie per tenere attiva la sessione nella zona riservata è ovviamente utilizzabile senza alcun consenso. Se invece l’utente effettua una ricerca interna al sito e la piattaforma registra un cookie con la keyword e lo usa per ricordargli tutti i prodotti che ha visitato durante la navigazione… questo non è consentito senza esplicito consenso.

Daniele Vietri, http://www.dblog.it/ecommerce/e-commerce-eu-cookie-law-2012-cosa-fare-per-i-cookie-in-italia/, articolo del 2012, ma ancora attuale.

E si, ora dovrebbe essere decisamente più chiaro... O no?

Facciamo un test. Qui sotto c'è lo screenshot dell'home page di Etsy, un marketplace stile eBay per la vendita di oggetti realizzati a mano. Un bel sito, non c'è che dire: ottima idea, buona esecuzione, ben assortito... un sito fatto bene, insomma!

Ma più che soffermarci sulla bontà dell'idea, o sulla correttezza dell'esecuzione, o sul successo imprenditoriale, voglio farti notare un'altra cosa: in basso c'è una barra persistente che, anziché informare dell'uso dei cookie (perché Etsy usa i cookie, ovviamente!), semplicemente chiede al navigatore il permesso di usare la lingua italiana come idioma e l'Euro come valuta.

Domanda: dato per scontato che la scelta fatta dal navigatore viene memorizzata in un cookie sul suo computer, il cookie che memorizza queste informazioni è tecnico oppure è di profilazione? ... 🙂

Ma che bella domanda! E la risposta qual è? Boh! 😀

No, non è vero, io la conosco, ma... non te la scrivo! Più in giù c'è il box dei commenti: scrivi lì la tua soluzione e parliamone 🙂


Fin qui dovrebbe essere tutto abbastanza facile: possiamo permetterci di complicare le cose, vediamo come distinguere i "cookie di terze parti" dai "cookie tecnici" e dai "cookie di profilazione".

Come distinguere i cookie di terze parti

Quando parla dei "cookie di terze parti", nella premessa 2, "Soggetti coinvolti: editori e terze parti", il Garante Privacy scrive:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

Anche in questo caso, le difficoltà dovrebbero essere minime: la distinzione tra "cookie di terze parti" e gli altri due tipi di cookie si fonda sul "chi" installa tali cookie: se il cookie lo installa il tuo sito direttamente, allora è un "cookie tecnico" o un "cookie di profilazione"; se, invece, il cookie lo installa un servizio terzo usando il tuo sito, allora è un "cookie di terza parte".

In modo più chiaro: tutti i cookie installati da Facebook, Twitter, Pinterest, ecc. sono SEMPRE "cookie di terze parti".

Anche in questo caso è tutto facile: non credo ci siano particolari difficoltà.

E allora dov'è il problema?

Distinguere i "cookie tecnici" dai "cookie di terze parti"

Facciamo un esempio, senza troppi giri di parole.

Immaginiamo per un attimo che come contatore delle visite stiamo usando Piwick, un software open source scritto in PHP (quindi installato sul nostro server) che permette di tracciare le visite su un sito web. I cookie che usa Piwick per "tenere il conto" sono "cookie analytics".

Di primo acchito potremmo considerarli cookie di profilazione. Tuttavia la Legge Cookie considera i cookie analytics strumentali al funzionamento di un sito web e pertanto li ricomprende nella categoria dei cookie tecnici.

Così è tutto più facile: per i cookie tecnici, infatti, non è richiesta nessuna formalità particolare, se non una generica informativa fornita ai sensi dell'art. 13 del Codice in Materia di Protezione dei Dati Personali, ma senza alcun vincolo particolare per ciò che riguarda la forma.

Dunque, in questo caso pare non ci sia alcun problema: il cookie di Piwick è di analisi, quindi è un cookie tecnico, quindi non abbiamo alcun obbligo di informativa. Ok? Ok.

Immaginiamo di nuovo: sul nostro sito web, adesso abbiamo installato Google Analytics al posto di Piwick.

Anche Google Analytics usa dei cookie e anche i suoi sono cookie di analisi al pari di quelli di Piwick: i due software sono perfetti sostituti, svolgono le stesse operazioni. Dunque anche in questo caso dobbiamo rispettare le norme sui cookie tecnici e non quelle sui cookie di profilazione. Giusto? Giusto! Sbagliato!

I cookie di Google Analytics sono dei cookie di analisi, è vero: andrebbero, quindi, considerati cookie tecnici.
Tuttavia, i cookie di Google Analytics sono memorizzati, appunto, da Google. Google in tutta la faccenda è terza parte. Quindi abbiamo un cookie tecnico di analisi installato, però, da una terza parte: che facciamo? Seguiamo le regole previste per i cookie di profilazione o le regole previste per i cookie tecnici?

Se rileggiamo attentamente la Legge Cookie, nella premessa 1, al punto a) dedicato proprio ai cookie tecnici, leggiamo:

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

Quindi, se il cookie non è installato direttamente dall'editore, allora è un cookie di terza parte. L'essere il cookie di "terza parte" prevale sul suo essere anche "cookie tecnico", quindi si rispettano le norme previste per i cookie di terze parti.

I "cookie delle terze parti" sono assoggettati al medesimo regime dei "cookie di profilazione": richiedono il rispetto del principio dell'opt-in con tutti i conseguenti obblighi informativi che ne derivano!

Questo è un punto su cui stare molto attenti: una svista del genere su un punto così delicato potrebbe costare cara!

Inoltre, in via presuntiva (salvo prova contraria) sono da considerarsi "cookie di profilazione" tutti i cookie che non rientrino in una delle sotto-categorie di "cookie tecnici".

Conclusioni

Siamo arrivati alla fine: ora la differenza tra un cookie tecnico e un cookie di profilazione dovrebbe esserti più chiara.

Soprattutto tengo a ribadire la distinzione tra un cookie tecnico e un cookie di terza parte: nel caso un qualunque cookie tecnico sia installato da un soggetto terzo rispetto all'editore vanno rispettate le regole previste per i cookie di profilazione: obblighi di informativa e rispetto del principio dell'opt-in. Non credo ci siano molte scappatoie.

Per ulteriori informazioni sulle differenti regole e i differenti obblighi dei cookie tecnici e dei cookie di profilazione (e "di terze parti") puoi leggere il post Ecco tutto quello che devi sapere sui tipi di cookie previsti dalla "Cookie Law".

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Crediti immagine: Pumpkin Dream