I cookie sono stringhe di testo che i siti web visitati dall’utente (cd. publisher o “prima parte”) ovvero web server diversi (cd. “terze parti”) posizionano, memorizzano e trasmettono, mantenendo così traccia delle interazioni dell’utente.

I dati codificati nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

Il considerando 30 GDPR afferma: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

I cookies svolgono importanti funzioni, compresa l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a determinati servizi, come ad esempio quelli bancari.

Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete - in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.

La classificazione che risponde alla ratio della disciplina di legge e alla protezione dei dati, si basa su 2 tipologie:

- i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);

- i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari sempre più mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Il consenso deve essere libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento.

Lo Scrolling non è idoneo “ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e dunque non equivarrebbe consenso in nessuna circostanza” (vedi parere 5/2020 del 4 maggio 2020 di EDPB).

Il Cookie wall non è idoneo poiché il consenso deve essere libero e non costretto.

La reiterazione della richiesta di consenso non è idonea. Il consenso, una volta correttamente acquisito, non dovrà essere nuovamente richiesto se non all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto.

Il Consenso deve essere dimostrabile (art, 7 GDPR), il che significa che i titolari che utilizzano cookie e altri sistemi di tracciamento devono implementare meccanismi che permettano loro di provare, in qualsiasi momento, di aver ottenuto validamente il consenso dell’utente.

Le impostazioni predefinite devono prevedere il solo caricamento di cookies tecnici.

Qualora l’utente scegliesse di mantenere le impostazioni di default e dunque di non prestare il proprio consenso, dovrebbe dunque limitarsi a chiudere tale finestra o area mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X di regola posizionata in alto a destra del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate.

Il consenso sarà valido solo se conseguente ad un intervento attivo e consapevole dell’utente (es click di un esplicito comando).

Il consenso deve essere specifico per cada finalità (Art. 25 GDPR).

Per esprimere il consenso serve un’azione positiva dell’utente al primo accesso esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non invece all’espressione di un diniego (cd. opt-out).

Il banner è grande: “il Garante suggerisce che i gestori dei siti web implementino un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando”.

Gli elementi necessari che incorpora:

- Informativa minima “relativa all’uso dei cookie tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari”.

- Link all’informativa estesa, conforme agli articoli 12 e 13 del GDPR.

- Spiega che prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano…” produrrà un evento informatico registrabile e comporta la prestazione del consenso alla profilazione.

- Comando “Accetto tutto” per esprimere il consenso a tutti i cookies.

- Link ad area dedicata per selezionare gli specifici consensi anche eventualmente raggruppati per categorie omogenee e tutti preimpostati sul diniego all’installazione dei cookies.

Qualora vi siano solo cookie tecnici, sarà sufficiente darne informazione nella home page o nell’informativa generale senza la creazione di specifici banner.

A ogni successivo accesso all’utente non verrà riproposto il banner ma si dovrà rendere disponibile il link alla privacy policy e all’area dedicata per la selezione degli specifici consensi, dive siano presenti 3 comandi: “Accetta tutto”, “Rifiuta tutto” e di spunta granulare, affinchè possa avvalersi del cd. “diritto di ripensamento” e/o di revoca del consenso.

Nell’utilizzo dei comandi i caratteri devono avere il medesimo font e colore, affinchè l’utente non sia influenzato da scelte di design.

Gli Analytics sono utilizzati per valutare l’efficacia di un servizio online, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

I cookies analitici possono essere di prima o di terza parte.

I cookies analitici possono essere equiparati a quelli tecnici e quindi non necessitano di consenso solo e se non comportano la diretta individuazione dell’interessato (cd. Single out).

Il Garante sottolinea la necessità che gli analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

Come impedire all’analytics l’individuazione single out?

- Strutturare l’analytics affinchè sia riferibile a più dispositivi e non ad uno solo, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve, ad esempio integrando la struttura dell’indirizzo IP all’interno del cookie e mascherando opportune porzioni di quell’indirizzo.

- Gli indirizzi IP versione 4 (IPv4), costituiti da numeri interi a 32 bit, sono usualmente rappresentati e utilizzati come sequenza di 4 numeri decimali compresi tra 0 e 255 separati da un punto. Il mascheramento almeno della quarta componente dell’indirizzo introduce una incertezza nell’attribuzione del cookie ad uno specifico.

- Gli indirizzi IP versione 6 (IPv6), costituiti da numeri interi a 128 bit, hanno una differente struttura e uno spazio di indirizzamento enormemente superiore e necessitano di analoghe procedure.

I dati, anche così minimizzati, non debbono essere combinati con altre elaborazioni (es: file dei clienti o statistiche di visite ad altri siti) o trasmessi a terzi, pena l’inaccettabile incremento delle potenzialità e dunque dei rischi di identificazione dell’utente.

Behavioural advertising: La pubblicità comportamentale utilizza i cookie per tracciare il comportamento dell’utente online, individuare gli interessi degli utenti, le pagine visitate, i click effettuati, i servizi/prodotti ricercati, tracciare le abitudini di consumo e i gusti personali, generando profili digitali sempre più precisi. Il noto caso Cambridge Analitica aveva generato scalpore perché attraverso tecniche di behavioural advertising aveva modificato la propensione al voto di percentuali significativi di elettori americani durante la campagna politica che ha portato Trump alla Casa Bianca.

Cookie wall: Tecnica per forzare l’utente a dare il proprio consenso, pena l’impossibilità di accedere al sito o di visualizzarne il contenuto.

Data Enrichment: Insieme di processi specifici per verificare, integrare e aggregare i dati provenienti da diverse fonti, a seguito dall’accesso a molteplici servizi e funzioni da parte dell’utente, avente come scopo la creazione di profili sempre più specifici e dettagliati.

Fingerprinting: Tecnica per identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo e conseguire indirettamente le medesime finalità di profilazione dei cookies, con l’aggravante che l’utente non dispone di strumenti autonomamente azionabili per evitare questo tipo di tracciamento (es. rifiuto del consenso o modifica impostazione delle browser). Il Fingerprinting non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì legge le configurazioni che contraddistinguono il dispositivo rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto.

Opt-in: Si intende l’espressione manifesta di consenso. In termini pratici si traduce in una non possibilità di gestione del dato fin tanto che l’interessato non esprime parere positivo mediante il consenso.

Opt-out: Si intende l’espressione manifesta di diniego. In termini pratici si traduce in una possibilità di gestione del dato fin tanto che l’interessato non esprime parere negativo.

Pattern: Termine inglese per indicare uno schema di comportamenti, azioni, situazioni ricorrenti e uno schema. Nello specifico dei cookies si intende uno schema comportamentale dell’utente, riportandoci al tema della profilazione e del behavioural advertising.

Scrolling o Scroll down: Termine per indicare la gestualità di scorrere verso il basso sul proprio device la pagina che si sta navigando. Lo scroll down dell’utente per visualizzare sullo schermo la parte sottostante al banner è erroneamente interpretato da molti siti come un consenso all’uso dei cookie.

Single out: identificazione inequivoca del singolo utente ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo.

Il quadro giuridico di riferimento è costituito da diversi interventi normativi:

- Direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n.

- Provvedimento dell’Autorità Garante Italiana n° 229 del 8 maggio 2014

- Regolamento 2016/679, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32,

- Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

- Linee Guida sull’utilizzo di cookie e di altri strumenti di tracciamento del 26 novembre 2020