Tutto quello che devi sapere sui vari tipi di cookie

I cookie sono tra gli strumenti più usati sul web dei nostri tempi. Senza i cookie tutti i vari Facebook, Twitter, Google, AdWords, ecc. semplicemente non potrebbero funzionare. Ho citato i big, ma lo stesso discorso vale anche per i "più piccoli", vale per OGNI sito web!

I cookie permettono a un sito web di memorizzare sul computer dei navigatori delle informazioni personali. Quando lo stesso navigatore torna sullo stesso sito web, questo può leggere il cookie e recuperare quelle informazioni.

La nuova Cookie Law emanata dal Garante per la Protezione dei Dati Personali, che entrerà in pieno vigore a Giugno 2015, li divide in tre macro-categorie, ognuna con le proprie regole e con specifici obblighi a carico degli editori dei siti web (quindi anche dei commercianti che governino un sito e-commerce).

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Il cookie, in se e per se, è un semplice file di testo, quindi è uno strumento, un medium. Però, sebbene tutti i cookie siano "solo" file di testo, ne esistono di vari tipi.

I tipi di cookie sono individuati sulla base di criteri differenti. Uno di questi criteri riguarda lo scopo per il quale il cookie è creato. Gli scopi per cui si creano cookie, memorizzandovi all'interno varie e diverse informazioni personali, sono i più disparati: si va dal sapere se un utente è loggato o meno su un sito fino alla memorizzazione dei prodotti visti dal navigatore.

I tipi di cookie previsti dalla normativa introdotta dalla Cookie Law sono individuati proprio in relazione allo scopo. Ma non solo.

I tipi di cookie secondo gli sviluppatori, secondo i giuristi e secondo il Garante privacy

Stupito per questo titolo? Gli sviluppatori, i giuristi, il Garante... ma quanta gente decide?

Tuttavia, è così: i cookie sono stati inventati dagli sviluppatori e loro hanno creato delle categorie concettuali per distinguerne i vari tipi.

Con l'ascesa di Internet, anche i giuristi (giudici, avvocati, commentatori, Istituzioni) ci si sono trovati a fare i conti e hanno creato a propria volta altre categorie concettuali (si parla sempre di codici, ma i giuristi ne hanno usati di diversi!).

Ora il Garante, seguendo le "linee guida" dell'Unione Europea, ha messo ordine (l'ultima parola è la sua visto che le sue parole, in questo caso, sono diventate Legge).

Dunque, mettiamo un po' d'ordine anche noi.

I cookie secondo gli sviluppatori

Secondo gli sviluppatori di siti e applicazioni web esistono solo due tipi di cookie: quelli di sessione, o magic cookies, e quelli persistenti.
I primi esistono fintanto che la finestra del browser è aperta (indipendentemente dal sito visitato), cancellandosi automaticamente all'uscita dal browser; i secondi, invece, i cookie persistenti, rimangono sul computer del navigatore per un tempo più lungo e non si cancellano automaticamente quando si esce dal browser (e in questo senso "persistono", poiché rimangono sul computer per ore, giorni, mesi, anni, all'infinito!).

I cookie secondo i giuristi

Quando Internet è arrivato "nel nostro mondo", inevitabilmente i giuristi hanno iniziato a cercare di capire come le regole esistenti potessero essere applicate al nuovo strumento.

La prima cosa che hanno fatto è stata il cercare di capire come le regole giuridiche esistenti influissero sullo strumento Internet e come lo strumento Internet influenzasse il Diritto esistente.

Così hanno iniziato a distinguere i cookie non solo per la loro durata, ma anche sulla base dello scopo: per esempio, si sono chiesti se essi memorizzassero solo la sessione di login o memorizzassero anche le abitudini di acquisto e navigazione. Ovviamente al cambiare della risposta cambiano anche le regole giuridiche applicabili. Solo per fare un esempio semplice semplice.

Così, riflessione dopo riflessione, hanno creato una varietà di cookie tale da far invidia alla classe degli insetti (ok, ora sto esagerando un po' 🙂 ): cookie di profilazione, cookie di analisi statistiche, cookie di sessione, cookie che memorizzano dati sensibili o che memorizzano solo dati personali, cookie strumentali al funzionamento di Internet e cookie strumentali al behavioral advertising, ecc.

Ne hanno creati davvero tanti di tipi di cookie!

E qui casca l'asino: la confusione sui cookie

Probabilmente è anche da qui che deriva tutta la confusione sulla Legge Cookie che si è creata in Rete, sia in Italia che all'estero: dall'uso di parole differenti per descrivere la stessa cosa e dall'uso di parole identiche per descrivere cose diverse.

Una gran confusione! Aggiungiamoci una buona dose di sensazionalismo giornalistico associato a semplificazioni eccessive e logiche di lobby ed ecco che nessuno ci capisce più niente.

Ma in realtà il cookie è solo uno strumento e intrinsecamente non possiede qualità "buone" o "cattive": è uno strumento e la sua bontà dipende solo da come lo si usa. Niente di più e niente di meno.

Tuttavia, a questo punto, è necessario riorganizzare le idee per far si che le regole giuridiche possano essere correttamente applicate.

È proprio a questo punto che viene in rilievo la nuova Cookie Law emanata dal Garante Privacy.

I tipi di cookie previsti dalla Cookie Law: "cookie tecnici", "cookie di profilazione" e "cookie di terza parte"

Per riportare un po' d'ordine sui tipi di cookie previsti e regolati dalla Legge Cookie, non ci resta che leggere il Regolamento del Garante per la Protezione dei Dati Personali, quello che è stato, appunto, ribattezzato "Legge Cookie".

Nella premessa 1, "Considerazioni preliminari", del Regolamento per l'Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, il Garante Privacy scrive:

Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macro-categorie: cookie "tecnici" e cookie "di profilazione".

È su questa distinzione tra "cookie tecnico" e "cookie di profilazione" che si fonda l'individuazione delle modalità concrete con cui si deve mettere in regola il proprio sito di commercio elettronico (o un qualsiasi altro sito web).

A seconda dei tipi di cookie che il nostro sito crea e legge ("tecnici" oppure "di profilazione"), infatti, dobbiamo fornire solo una generica informativa oppure offrire anche la possibilità di cancellare i cookie.

Da questa distinzione tra "cookie tecnici" e "cookie di profilazione" dipende anche la modalità con cui informiamo i navigatori circa l'uso che facciamo dei cookie: una semplice privacy policy ovvero una modal box (quella che ora si può tranquillamente chiamare cookie box) o altro tipo di banner che causi una discontinuità nella fruizione del servizio.

Fatta questa prima distinzione (che puoi tranquillamente non aver ancora capito! Alla fine di questo post c'è un link a un post che tratta solo questo argomento...) tra "cookie tecnici" e "cookie di profilazione", il Regolamento specifica ulteriori sotto-categorie di cookie nella macro-categoria Cookie Tecnici:

  • Cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  • Cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
  • Cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Oltre a questi due tipi di cookie, individuati secondo il profilo dello scopo (un giurista lo definirebbe "profilo teleologico"), il Garante prevede un terzo tipo di cookie: il "cookie di terza parte".

Cosa sono i "cookie di terza parte"

Nella premessa 2, "Soggetti coinvolti: editori e terze parti", il Garante Privacy scrive:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".

In modo molto più semplice: i cookie di Facebook sono cookie di terza parte se memorizzati o letti navigando un sito diverso da facebook.com; i cookie di Google sono cookie di terza parte se memorizzati o letti navigando un sito diverso da google.com; i cookie di Twitter sono cookie di terza parte se memorizzati o letti navigando un sito diverso da twitter.com.

Infatti, ogni volta che trovi in giro per il web i vari pulsanti per lasciare un Like, un G+ o per fare un retweet quello che sta succedendo veramente è questo: Facebook, Google o Twitter (o chi per esso!), attraverso il codice del pulsante, stanno leggendo i propri cookie memorizzati sul tuo computer per capire se possono o non possono farti compiere l'azione: lasciare il Like, il G+ o fare il retweet.

Senza i cookie questo sarebbe semplicemente impossibile.

Compresa l'importanza dei cookie, il Garante Privacy è perfettamente consapevole che, da un punto di vista tecnico-informatico, è difficile, se non impossibile, controllare come usano i cookie i servizi terzi che usiamo tutti i giorni sui nostri siti web. E si rende conto anche che usare questi strumenti è imprescindibile per chi gestisce un e-commerce o un qualunque altro sito (e anche per chi questi siti semplicemente li naviga).
È proprio per questo che ha previsto questo terzo tipo di cookie: il "cookie di terza parte", appunto, e lo ha assoggettato alle stringenti regole previste per i cookie di profilazione.

Ricapitolando: quali sono i tipi di cookie previsti dalla Cookie Law

Quindi, ricapitolando, ai fini della nuova normativa introdotta dalla Cookie Law, abbiamo tre tipi principali di cookie e tre sotto-tipi di cookie tecnici:

  1. Cookie tecnici:
    1. Cookie di navigazione o di sessione;
    2. Cookie analytics (se gestiti dall'Editore stesso);
    3. Cookie di funzionalità.
  2. Cookie di profilazione;
  3. Cookie di terze parti.

A questo punto, probabilmente ti starai ponendo un po' di domande: come faccio a sapere se i cookie che il mio e-commerce crea sono semplicemente "tecnici" oppure sono anche "di profilazione"? E subito, legata a questa domanda, come faccio a sapere quali sono i cookie creati dal mio sito? E, peggio, come faccio a sapere a che servono!?

Tutte domande legittime, ma direi di non correre troppo e di rimandare il porci queste domande e di rimanere, invece, sul punto: i tipi di cookie previsti dalla Cookie Law e le regole a cui ognuno di essi deve sottostare.

Se, invece, vuoi sapere subito come si distingue in concreto un "cookie tecnico" da un "cookie di profilazione" e come questi si distinguono dai "cookie di terze parti" puoi leggere questo post.

Rimanendo sul punto, invece, cerchiamo di capire quali sono le regole che dobbiamo rispettare per ognuno dei tre tipi di cookie previsti.

Quali cookie si possono memorizzare e quali regole si devono rispettare

La corretta individuazione della natura del cookie è importantissima perché i "cookie di profilazione" richiedono forme di acquisizione del consenso differenti e, soprattutto, sottostanno al principio dell'opt-in: prima si ottiene un consenso espresso E INFORMATO e solo dopo si può procedere al trattamento del dato (le informazioni contenute nel cookie sono esattamente questo: un dato personale - il cookie è solo un medium).

Nel caso si usino solo "cookie tecnici", invece, sarà sufficiente una semplice informativa ai sensi dell'art. 13 del Codice Privacy, la privacy policy che già abbiamo, in sostanza.
Nessun banner, nessuna barra persistente, nessuna cookie policy ad hoc: solo un'informativa, che segua le regole dell'art. 13, ma pur sempre una semplice informativa sulla privacy come già ce l'abbiamo tutti sui nostri e-commerce, dobbiamo solo aggiornarla (in realtà doveva già contenere queste informazioni, ma di questo parleremo prossimamente).

Le regole cui sottostanno i "cookie tecnici"

Con riguardo ai cookie tecnici, nella premessa 1 del Regolamento sui cookie, il Garante Privacy si esprime così:

Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Infatti, l'art. 122, comma 1, secondo periodo, del Codice in Materia di Protezione dei Dati Personali (così come modificato dall'art. 1, comma 4, del decreto legislativo 28 maggio 2012, n. 69 - che, per inciso, fino a questa nuova Legge Cookie, era la norma principale a regolare i cookie e, di fatto, rendeva molto complicato usarli in modo legale), dopo aver disciplinato in via generica l'uso di cookie et similia (web beacon, web bug, clear GIF, ecc.) assoggettandoli in via generica al regime dell'opt-in, stabilisce che:

[...] Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. [...]

Ancora una volta, semplificando: l'uso dei cookie tecnici è assolutamente libero e richiede solo che il navigatore ne sia informato nella privacy policy o nella cookie policy.
Non serve nessun altro accorgimento e nessun altro adempimento. Basta l'informativa fornita ai sensi dell'art. 13 del Codice in Materia di Protezione dei Dati Personali.

Le regole cui sottostanno i "cookie di profilazione"

Con riguardo ai cookie di profilazione, invece, sempre nella premessa 1 del Regolamento sui Cookie, il Garante scrive che:

In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.

E infatti, sempre l'art. 122, comma 1, al primo periodo recita:

L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. [...]

Questa frase si riferisce a tutti gli altri cookie che non siano tecnici, quindi si riferisce ai cookie di profilazione e, per assimilazione, ai cookie di terze parti. Più chiaro di così!

Nel caso il tuo sito e-commerce usi "cookie di profilazione" o "cookie di terze parti" (quindi se hai i pulsanti sociali di Facebook, Twitter, Google+, ecc.) devi rispettare gli obblighi di informativa e il principio dell'opt-in: prima chiedi il consenso, lo ottieni e solo dopo puoi iniziare a memorizzare i cookie sui computer dei tuoi navigatori.

Gli obblighi a cui devi sottostare se usi "cookie di profilazione" o "di terze parti" sono:

  1. Obbligo di informativa breve (Cookie box);
  2. Obbligo di informativa estesa (Cookie policy);
  3. Rispetto del principio dell'opt-in.

Per maggiori dettagli su ognuno di questi tre obblighi (e per gli altri previsti) vai all'indice della Guida per commercianti alla Legge sui Cookie: troverai tutte le informazioni di cui hai bisogno.

In più, iscriviti alla nostra newsletter perchè nei prossimi giorni pubblicheremo molte altre risorse sulla Cookie Law così che tutti possiamo arrivare preparati a Giugno 2015, termine entro il quale dovremo avere i nostri siti "in riga" e rispettosi della nuova Legge Cookie.

In bocca al lupo!

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Crediti immagine: Digitaldoughnut

2017-04-29T20:15:35+00:00 Argomenti: , |

Scrivi un commento