Come distinguere i 3 tipi di cookie previsti dalla normativa

La normativa sui cookie distingue 3 tipi di cookie.

Per ciascun tipo di cookie, la normativa prescrive regole di informativa e di uso differenti.

Comprendere a fondo come distinguerli è fondamentale per rendere il tuo sito web o il tuo e-commerce conforme.

Distinguere un tipo di cookie dall’altro, però, potrebbe essere meno semplice di quanto si potrebbe credere a prima vista: le differenze non sono sempre nette e spesso lo stesso cookie può essere di più tipi contemporaneamente.

In questo post cercheremo di chiarire le differenze che passano tra un tipo di cookie e l’altro e i possibili errori in cui potremmo incorrere se non le capissimo a fondo.

Distinguere i tipi di cookie in breve

La normativa distingue 3 tipi di cookie (e alcuni sotto-tipi):

• I “cookie tecnici“:
  • Cookie di sessione o di navigazione;
  • Cookie analytics (o di analisi);
  • Cookie di funzionalità;
• I “cookie di profilazione“;
• I “cookie di terze parti” (e di “prima parte“).

Uno stesso cookie può essere di più tipi contemporaneamente: è proprio questa possibilità che può rendere complessa una distinzione netta.

Per iniziare a comprendere bene come distinguerli dobbiamo dividerli in due macro-categorie basate su due semplici domande:

• Cosa fanno? Cookie tecnici e cookie di profilazione;
• Chi li installa? Cookie di prima parte e cookie di terza parte.

La difficoltà nel distinguerli deriva dal fatto che uno stesso cookie può essere considerato di più tipi contemporaneamente.

Per esempio, i cookie che installa Google Analytics possono essere solo cookie tecnici, se anonimizzano l’indirizzo IP; sono considerati anche cookie di profilazione se invece non anonimizzano l’indirizzo IP o se vengono attivate funzionalità avanzate come l’Enhanced E-commerce.
Di sicuro i cookie di Google Analytics sono cookie di terza parte (perché li installa Google, soggetto terzo rispetto a noi che conduciamo il nostro blog o il nostro e-commerce).

Allo stesso modo, se usassimo un software di tracciamento come Matomo/Piwick, i cookie che installa potrebbero essere allo stesso tempo sia cookie tecnici di analisi sia cookie di profilazione e sarebbero cookie di prima parte o di terza parte a seconda che il software funzionasse sui nostri server o sulla cloud offerta da loro.

La distinzione, quindi, non è sempre così netta e molto dipende anche da come configuri i servizi che installano i cookie.

Ultimo aspetto da chiarire è cosa sia un cookie.

Comunemente si pensa al cookie come a un file di testo che:

1. Viene installato sul computer del navigatore;
2. Serve per identificarlo alle visite successive.

Nella realtà, però, i cookie non sono l’unico strumento tecnologico utile al tracciamento e il Garante per la Protezione dei Dati Personali ne è pienamente consapevole.

Per questo motivo la normativa assimila ai cookie (cioè, li considera uguali ai cookie) anche altri strumenti tecnologici.

È bene capire bene cosa può essere considerato come un cookie secondo la normativa: magari pensiamo che possiamo aggirarla usando il “server side tracking” e invece anche quello rientra nell’ambito di applicazione della normativa sui cookie!

Ora che abbiamo chiari gli aspetti fondamentali sui vari tipi di cookie e sulla normativa in generale, passiamo ad analizzarli in dettaglio uno per uno per essere in grado di distinguerli nella realtà e rendere il nostro sito o il nostro e-commerce conforme alla normativa.

Cos’è un cookie secondo la normativa

Da un punto di vista tecnico-informatico, un cookie altro non è se non un semplice file di testo che viene memorizzato nel dispositivo del navigatore.

Le informazioni che può contenere sono le più varie:

• La lista dei prodotti aggiunti al carrello;
• La lingua con cui si vuole visualizzare il sito web;
• Un identificatore univoco che permetta di riconoscere il navigatore senza che debba fare il login su ogni pagina.

Un cookie potrebbe essere come questo di Facebook:

Come vedi non è che si capisca molto di quello che contiene.

Però Facebook con un cookie come questo è in grado di riconoscerci e ci permette di evitare di dover fare il login ogni volta che andiamo su facebook.com.

Questi sono i cookie a cui si riferisce la normativa quando recita:

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari

I cookie intesi come file di testo memorizzati sul dispositivo del navigatore, però, non sono l’unico strumento tecnico utile a riconoscere chi sta navigando un sito.

Esistono altri strumenti che permettono di riconoscere una persona che naviga un sito.

Questi strumenti sono molto potenti se ben configurati e permettono di tracciare la navigazione di una persona anche tra più dispositivi (“cross-device tracking”: dal computer al telefono, poi al tablet e poi di nuovo al computer e via dicendo).

Sono usati per due scopi principali:

• Behavioral advertising;
• Behavioral analytics;

Il “Behavior” è il “comportamento”. Ti piacerebbe, per esempio:

• Sapere quali prodotti ha visto un tuo cliente prima di scegliere cosa comprare e inoltrare l’ordine?
• O sapere quali pagine dell’assistenza ha letto prima di contattare il tuo servizio clienti?
• O quali prodotti ha visto prima di decidere di usare la chat per contattarti direttamente?

Tutto questo è possibile, e non lo si ottiene solo con i cookie.

Vedremo questi strumenti tra poco, parlando nel dettaglio di cosa siano i Cookie di Profilazione.

Per il momento ci interessa solo sapere e ricordarci che anche questi strumenti tecnologici, sebbene non siano strettamente dei cookie, sono considerati, però, come dei cookie di profilazione e ne seguono le stesse regole normative.

Capito cosa sono i cookie e chiarito che non sono solo i file di testo memorizzati nel dispositivo dei navigatori, andiamo avanti e vediamo:

1. Cosa sono i cookie tecnici;
2. Cosa sono i cookie di profilazione;
3. Cosa sono i cookie di terze parti.

Cosa sono i cookie tecnici

I cookie tecnici sono quelli che facilitano la navigazione al navigatore permettendo al sito di offrirgli alcune funzionalità.

Sono cookie tecnici, per esempio:

• Quelli che gli permettono di essere riconosciuti da un sito e accedere al proprio profilo senza dover inserire username e password ogni volta;
• Di ritrovare il carrello con i prodotti aggiunti anche dopo diversi giorni;
• Di scegliere in che lingua navigare il sito senza doverlo fare ogni volta.

Questi sono alcuni esempi davvero molto semplici ma i cookie sono molto più potenti e possono fare molte più cose.

Per esempio, possono conteggiare il numero di accessi e raccogliere altre informazioni anonime e aggregate sui visitatori.

La normativa definisce i cookie tecnici come:

[…] quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari, a. Cookie Tecnici

Attenzione: qui con il termine “comunicazione” non è intesa, per esempio, un’email, ma si intende la comunicazione che avviene tra il browser di un dispositivo e un server, cioè la comunicazione necessaria ai computer per mostrare una pagina web.

Per essere considerati tecnici ai sensi della normativa, i cookie devono rispettare solo un singolo requisito: devono servire semplicemente per mostrare una pagina web e offrire una funzionalità che sia utile al navigatore.

Più avanti vedremo meglio questo cosa significa realmente: ci sono molte variabili che influiscono sulla possibilità di definire tecnico un cookie.

Per il momento, in modo generico, si possono considerare tecnici con quasi assoluta certezza tutti i cookie che servono solo ed esclusivamente per far funzionare un sito web o a raccogliere statistiche, purché siano anonime e aggregate.

La normativa distingue 3 tipi di cookie tecnico:

1. Cookie di navigazione o di sessione: “garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate)”;
2. Cookie analytics: “assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso”;
3. Cookie di funzionalità: “permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso”.

È importante notare che la normativa usa la parola “assimilati”: questo significa che nonostante non siano proprio dei cookie tecnici, essi vengono comunque considerati come se lo fossero.

Questo semplice parolina ci semplifica infinitamente la vita!

Cosa sono i cookie di profilazione

I cookie di profilazione sono quelli che permettono di creare un profilo personale del navigatore sulla base dei suoi comportamenti.

I cookie di profilazione sono usati soprattutto in due campi:

• Behavioral advertising: invio di messaggi pubblicitari altamente personalizzati ai dispositivi dei navigatori identificandone le abitudini di acquisto, gli interessi, gli orientamenti (religioso, politico, sessuale, ecc.);
• Behavioral analytics: analisi avanzata di un sito web basata sulla ricostruzione dei comportamenti di navigazione di un navigatore, analizzando quali pagine visita, quali azioni compie, in quanto tempo, per comprendere meglio le preferenze dei navigatori migliori e poter così capire come ottimizzare il sito, da un lato, e offrire un servizio migliore attraverso la personalizzazione dei contenuti, dall’altro.

La normativa sui cookie si focalizza soprattutto sul primo impiego: il behavioral advertising. Ciò che preme al Garante per la Protezione dei Dati Personali è che i navigatori siano consapevoli che l’accettazione dei cookie permetterà agli editori di tracciarli, profilarli e mostrargli messaggi pubblicitari personalizzati.

Come anticipato, in linea molto generale, esistono altri identificativi univoci che possono essere usati per tracciare una persona, esattamente come si farebbe usando dei cookie di profilazione.

Per esempio, i telefonini forniscono una serie di identificativi univoci:

• “Identifier for Advertiser” (IDFA usato da iOS);
• “Advertising IDentifier” (AdID usato da Android);
• “Identifier for Vendor” (IDFV usato da iOS);

Questi servono per permettere il riconoscimento di un dispositivo su siti diversi e servono a mostrarti le pubblicità dei siti che sembrano inseguirti in giro per la rete: ecco come fanno a riconoscerti ovunque tu vada, si chiama re-marketing.

Stante l’attenzione sempre maggiore alla privacy dei propri clienti, sia Apple che Google stanno limitando sempre di più l’uso di questi strumenti con il fine di rendere il tracciamento sempre più difficile e, a volte, assolutamente impossibile.

Un altro strumento che si comporta come un cookie di profilazione è il cosiddetto “blank pixel“.

Un blank pixel è un’immagine di 1×1 pixel che permette di sapere se un’email che abbiamo inviato è stata aperta, da chi e quando.

I blank pixel sono usati soprattutto nella marketing automation e per il lead nurturing, per creare dei funnel avanzati di conversione che portano alla fine (o dovrebbero portare) il destinatario ad acquistare ciò che vendiamo.

Anche questo tipo di tecnologie è considerata alla stregua di un cookie (di profilazione) dalla normativa sui cookie.

Cosa sono i cookie di terze parti

I cookie di terza parte sono quelli installati dal nostro sito ma usando dei domini di cui non siamo titolari.

Sono cookie di terza parte, per esempio, quelli installati da Google Analytics o da Facebook quando mostriamo i tasti Mi Piace o usiamo il Pixel.

Sui dati raccolti sfruttando questi cookie noi non abbiamo alcun controllo: magari li possiamo consultare, li possiamo usare per lanciare una campagna pubblicitaria mirata ma non possiamo usarli come meglio crediamo.

Chi materialmente raccoglie i dati e può trattarli a proprio piacimento sono solo Google o Facebook (o altro Editore di cui usi lo script di tracciamento sul tuo sito).

Quindi, ogni volta che usiamo un servizio gestito da qualcuno diverso da noi, stiamo usando un servizio terzo e i cookie che queso servizio usa è automaticamente qualificato come “cookie di terza parte”.

I Cookie ibridi

I cookie ibridi non sono ufficialmente previsti dalla normativa sui cookie.

La normativa si limita a elencare e normare solo i cookie tecnici e i cookie di profilazione e aggiunge alcune regole da seguire a seconda che siano di prima parte o di seconda parte.

L’unica ipotesi che prevede riguarda i cookie tecnici di analisi di prima parte: in questo caso, dice che “possono essere assimilati ai cookie tecnici” (cioè, considerati come se fossero tali), ma solo se sussistono alcune condizioni molto precise:

1. Il cookie raccoglie dati anonimi;
2. I dati raccolti sono usati solo dal gestore del sito;
3. I dati raccolti servono per finalità di ottimizzazione o studio delle pagine visitate;
4. I dati sono raccolti in forma aggregata.

Il Garante per la Protezione dei Dati Personali, inoltre, precisa che i cookie di analisi in ogni caso non sono cookie tecnici: semplicemente vengono considerati come se lo fossero nel caso sussistano le condizioni che abbiamo appena visto.

La normativa omette completamente di considerare tutte quelle situazioni in cui un cookie è contemporaneamente di più tipi.

Per esempio, nella realtà potrebbe verificarsi che un cookie sia:

1. Di analisi, ma di terza parte (vedi Google Analytics);
2. Di profilazione, ma di terza parte e noi siamo considerati semplici intermediari tecnici (vedi Google AdSense)
3. Di profilazione, ma di terza parte e noi siamo contitolari del trattamento (vedi Facebook Ads o Google Ads).

Questi sono solo alcuni dei casi più comuni, ma ce ne sono molti altri.

Per esempio, come ci comportiamo con i cookie che installa Stripe Radar, il sistema di monitoraggio antifrode usato dal gateway di pagamento Stripe?

Tutte queste casistiche non sono assolutamente prese in considerazione dalla normativa, né da quella del 2014, né da quella del 2021.

L’unica via che abbiamo per capire come comportarci è analizzare ciascun caso possibile e cercare di ricavare delle regole che siano quanto più possibile aderenti alla normativa.

Come si distinguono i vari tipi di cookie

Ora che abbiamo fatto una panoramica dei tipi di cookie e che abbiamo accennato alle difficoltà applicative parlando dei cookie ibridi è giunto il momento di capire concretamente come si distinguono gli uni dagli altri.

Perché molto probabilmente hai compreso gli estremi di queste distinzioni, ma i problemi sorgono quando uno stesso cookie comincia a essere “sbiadito”, quando non si capisce bene cosa fa e a cosa serve, o quando è di più tipi contemporaneamente (è “ibrido”, appunto).

Capire come si distinguono i vari tipi di cookie è fondamentale per capire qual è la normativa applicabile e quali sono gli obblighi cui dobbiamo ottemperare.

La parte complessa nella distinzione riguarda la possibilità di combinare i tipi di cookie: uno stesso cookie, infatti, può essere di più tipi contemporaneamente e capirne esattamente la natura può essere difficile se non si presta estrema attenzione.

Queste sono alcune delle possibili combinazioni:

• Cookie tecnico di prima parte;
• Cookie tecnico di terza parte (sistemi di pagamento, per esempio);
• Cookie tecnico di profilazione di prima parte (invio di messaggi mirati a tutti gli utenti che hanno scelto la lingua italiana);
• Cookie di profilazione di prima parte;
• Cookie di profilazione di terza parte e noi qualificati come intermediari tecnici (Google AdSense, ma anche, a certe condizioni, Google Ads o Facebook Ads);
• Cookie di profilazione di terza parte e noi qualificati come contitolari (Google Ads, Facebook Ads, strumenti di analisi comportamentale).

Questi sono alcuni esempi.

Molti creano non pochi problemi.

Immagina, per esempio, di usare Google Ads o Facebook Ads: devi inviare la notificazione al Garante o non devi inviarla?

Vediamo di trovare le risposte, cominciando da quelle più semplici fino ad arrivare a quelle più complesse.

Come si distinguono i cookie di prima parte dai cookie di terza parte

Questa distinzione ormai dovrebbe essere chiara.

Oltre a quanto già detto, facciamo qualche esempio ulteriore per chiarire meglio il concetto.

Per distinguere un cookie di prima parte da un cookie di terza parte si usa un criterio di tipo soggettivo.

In pratica ci si chiede chi tratta (gestisce) concretamente questi dati.

La normativa dice esattamente questo:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo.

Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 2. Soggetti coinvolti: editori e “terze parti”.

Quindi, facendo una prima distinzione molto netta:

• I cookie sono di prima parte se sono installati da sistemi informatici di cui siamo titolari;
• I cookie sono di terza parte se sono installati da sistemi informatici di cui non siamo titolari.

Quindi, per fare qualche esempio:

• Se usiamo Google Analytics o Facebook Analytics, stiamo installando cookie di terza parte.
• Quando navighiamo su Google.com o su Facebook.com, i cookie che installano sono cookie di prima parte.
• Se usiamo un software come Matomo, che installiamo su un server nostro di cui abbiamo il diretto controllo, invece, stiamo installando dei cookie di prima parte.

A questo punto una possibile domanda potrebbe essere la seguente:

Cosa succede se il server che fa funzionare il mio sistema di tracciamento è di tipo managed?

Un server managed è giuridicamente nostro ma tecnicamente è gestito da altri, di solito la società che ce lo fornisce e che fisicamente lo ospita nelle proprie strutture (o in altre strutture di terzi, che hanno accesso alla macchina – il computer fisicamente inteso -, ma non hanno accesso ai dati che contiene – o comunque non sono titolati a farlo anche se in potenza potrebbero).

Quello che succede, quindi, è questo:

1. Il server che fa funzionare il software di tracciamento è intestato a noi;
2. Al server hanno accesso altri soggetti, diversi rispetto a noi e a cui noi diamo mandato (atecnicamente parlando) di gestirlo e mantenerlo funzionante.

I cookie installati da questo server, sono di prima parte o di terza parte?

Se ci pensi, è una situazione molto simile a quella che si verifica con Google Analytics o con Facebook Analytics.

Però è simile, ma non è uguale.

Le differenze sono queste:

1. I server su cui gira Google Analytics non sono tuoi, ma sono di Google; i server su cui gira Facebook Analytics, allo stesso modo, sono di Facebook, non sono tuoi;
2. I domini da cui vengono installati i cookie non sono tuoi, ma sono di Google o di Facebook;
3. Google accede ai dati che registra Google Analytics e accetti questo fatto quando sottoscrivi le Condizioni d’Uso di Google Analytics.
   Lo stesso discorso vale per Facebook Analytics.
   Con un server managed, invece, chi gestisce tecnicamente il sito non accede ai dati e, se lo fa, non lo fa autonomamente, ma sempre su tua richiesta espressa (quando è disposto a farlo!);
4. Google e Facebook decidono da soli e autonomamente cosa fare dei dati e tu non hai alcun controllo su queste attività (se non accettare o non accettare i relativi termini e condizioni); quando usi un software di cui hai la gestione, magari open source, invece, sei tu che decidi come gestire i dati e cosa farne.

Per capirci ancora più chiaramente, questo è quanto scrive Google:

Google opera come responsabile del trattamento dei dati per Google Analytics. […]

Google Analytics è responsabile del trattamento dei dati ai sensi del GDPR, perché raccoglie ed elabora i dati per conto dei clienti di Google, in base alle loro istruzioni. I nostri clienti sono responsabili del trattamento dei dati e mantengono tutti i diritti su raccolta, accesso, conservazione e cancellazione dei propri dati in qualsiasi momento. L’utilizzo dei dati da parte di Google è controllato dai termini del contratto con i clienti di Google Analytics e da qualsiasi impostazione attivata dai clienti attraverso l’interfaccia utente del nostro prodotto.

Salvaguardia dei dati, Google come responsabile del trattamento dei dati

Per questo, quindi, i cookie installati da Google Analytics o da Facebook Analytics sono di terza parte; i cookie installati da te, magari anche attraverso un server managed, sono, invece, cookie di prima parte.

E non vale l’esplicita dichiarazione di Google che dice che “raccoglie ed elabora i dati per conto dei clienti Google” poiché, di fatto, tu hai un accesso limitato a quei dati potendo farci solo ciò che Google ti permette di farci: non puoi fare queries dirette al database o incrociare quei dati con altri dati raccolti da altri tuoi sistemi (parlando in modo molto generico ovviamente e senza scendere in dettagli tecnici di integrazione tra sistemi).

La normativa sui cookie impone in via generale di non installare i cookie di terza parte prima di ottenere il consenso.

Poiché questi sono anche cookie di analisi, però, possono essere installati anche senza consenso se sono anonimi.

Il fatto che siano di terza parte, inoltre, impone comunque di rispettare il resto della normativa per essi prevista in tema di Informativa Breve (cookie banner) e Informativa Estesa (Cookie Policy).

Di questo parleremo più approfonditamente tra poco, parlando della normativa dei cookie tecnici di analisi di terza parte.

Come si distinguono i cookie tecnici e i cookie di profilazione

Comprendere bene come si distingue un cookie tecnico da un cookie di profilazione è fondamentale: i cookie tecnici possono essere installati subito, anche se non abbiamo ancora ottenuto il consenso dal navigatore e, inoltre, non ci fanno sottostare ad alcun tipo di obbligo, se non quello di menzionarli e descriverli anche solo nella privacy policy generale del sito (non serve la cookie policy)

Questo significa, per esempio, che possiamo comunque tracciare la visita (anche se possiamo farlo solo anonimamente).

Rileggiamo velocemente cosa è scritto nella normativa in merito ai cookie tecnici e ai cookie di profilazione:

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

[…]

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari, a. Cookie Tecnici

Con il termine “servizio” la norma intende quello che chiameremmo “funzionalità”.

Con questa accezione, quindi, sono cookie tecnici quelli che permettono di:

• Eseguire il login;
• Memorizzare il carrello;
• Scegliere la lingua in cui visualizzare il sito.

Questi tre esempi possiedono i requisiti previsti dalla normativa sui cookies:

• Sono richiesti dal navigatore (che la normativa chiama “abbonato” – la battuta viene facile, ma ce la risparmiamo! 😂);
• Sono “strettamente necessari”;
• Non vengono utilizzati per scopi ulteriori.

La differenza tra i cookie tecnici e i cookie di profilazione sta tutta negli scopi ulteriori.

Immagina che il navigatore abbia aggiunto al carrello alcuni prodotti: il tuo sito e-commerce memorizza un cookie che ne tiene traccia.

Quando il navigatore tornerà sul tuo sito, nel carrello saranno ancora presenti quegli stessi prodotti.

Fin qui quel cookie può tranquillamente essere considerato un cookie tecnico.

A questo punto immagina un ulteriore passaggio: cominci a leggere quel cookie e, per ogni prodotto che trovi, cominci a evidenziare alcuni prodotti correlati con lo scopo di spingere il navigatore ad acquistarli.

Ecco, in men che non si dica, quello che era un semplice cookie tecnico si è appena trasformato in un cookie di profilazione.

Quindi, fin quando memorizzi i prodotti semplicemente per ricreare il carrello ad ogni visita successiva, allora stai usando un cookie tecnico.

Poiché è un cookie tecnico:

• Puoi installarlo subito, anche senza consenso;
• Non sei tenuto a mostrare il l’Informativa Breve in un Cookie banner;
• Non sei tenuto a creare una cookie policy ad hoc;
• Devi menzionare la funzionalità nella privacy policy generica.

Non importa che il cookie sia usato nell’arco di 3 secondi o nell’arco di 3 giorni: è un semplice cookie tecnico.

Ma nel momento in cui con le informazioni di questo cookie cominci a eseguire attività volte a incrementare le vendite come evidenziare i prodotti correlati, allora stai trasformando quel cookie tecnico in un cookie di profilazione.

Questo significa che:

• Devi mostrare l’informativa breve in un cookie banner;
• Non puoi evidenziare i prodotti prima di aver ottenuto il consenso;
• Devi creare un’Informativa Estesa specifica per i cookie (Cookie Policy);
• Devi permettere al navigatore di disattivare dalla Cookie Policy la funzionalità di “suggerimento degli altri prodotti”;
• Devi inviare al Garante una notificazione circa quest’attività di profilazione (ma discuti questo punto con un legale specializzato).

Come vedi, lo stesso cookie può essere considerato un cookie tecnico o un cookie di profilazione semplicemente modificando l’uso che fai delle informazioni che contiene o che ti permette di raccogliere.

Per questo è importante capire questa distinzione: per implementare la funzionalità di suggerimento personalizzato dei prodotti probabilmente spendi poche decine di Euro per acquistare un plugin o un’estensione.

Per installare e configurare l’estensione impieghi magari pochi minuti: è tutto molto facile.

Però, se ti dimentichi di ottemperare agli obblighi di legge previsti quando installi cookie di profilazione, rischi di dover pagare sanzioni anche molto salate.

La normativa sui cookie del 2014 fondata sul Codice in Materia di Protezione dei Dati Personali prevedeva:

• La sanzione amministrativa per l’omessa informativa da 6.000 Euro a 36.000 Euro;
• La sanzione amministrativa per l’installazione del cookie (o il suo uso per scopi ulteriori) senza il preventivo consenso va da 10.000 Euro a 120.000 Euro (centoventimila);
• La sanzione per l’omessa o incompleta notificazione al Garante da 20.000 a 120.000 Euro.

Ora le sanzioni sono calcolate seguendo i principi dell’art. 83 del GDPR (General Data Protecion Regulation – Regolamento Generale per la Protezione dei Dati o RGPD) e non sono previste con minimi e massimi edittali ma in misura variabile determinata dallo stesso Garante sulla base di alcuni principi.

Tuttavia ciò che rischi è comunque di esporti a sanzioni da parte dell’Autorità.

Forse forse ti conviene capire molto molto bene la distinzione tra un cookie tecnico e un cookie di profilazione!

Questo non è l’unico esempio di cookie che da tecnico diventa di profilazione.

Esistono molte altre situazioni in cui un cookie che a prima vista appare di un tipo si rivela essere in concreto di un altro tipo.

Sono questi i cookie che rientrano pienamente nella definizione di “cookie ibridi” e come ti sarai accorto sono molto pericolosi per le nostre casse.

Conclusioni

La normativa sui cookie è molto semplice.

Per capire come devi comportarti devi solo capire se usi il cookie per offrire una funzionalità o per eseguire misurazioni anonime o se, invece, usi quei cookie per profilare il navigatore e inviargli dei messaggi pubblicitari personalizzati.

Inoltre devi ottemperare a obblighi diversi a seconda che i cookie siano di prima parte (gestiti direttamente da te) o di terza parte.

In generale, gli obblighi previsti sono questi:

1. Astenerti dall’installare i cookie di profilazione o di terza parte prima di aver ottenuto il consenso;
2. Mostrare un’Informativa Breve in un Cookie banner;
3. Predisporre un’Informativa Estesa (Cookie Policy);
4. Permettere di abilitare / disabilitare i singoli cookie dalla Cookie Policy o dalla stessa Informativa Breve o da una Cookie Icon;
5. Inviare una notificazione al Garante per la Protezione dei Dati Personali.

La semplicità della normativa sui cookie, però, è anche la causa della sua enorme complessità quando si tratta di capire quali regole rispettare quando si usano cookie che non sono solo di un tipo o solo di un altro ma che, invece, presentano caratteristiche proprie di più di un tipo di cookie.

Per aiutarci a districarci meglio nella normativa, il Garante ha realizzato un’infografica riassuntiva che ci aiuta a capire cosa dobbiamo fare in particolari circostanze:

Quest’infografica non è di certo esaustiva, ma è di sicuro aiuto nella stragrande maggioranza dei casi.