Come rendere il tuo e-commerce completamente conforme alla normativa sui cookie

La normativa sui cookie regolamenta le informazioni sui cookie che devi fornire ai navigatori che accedono al tuo sito.

La normativa regolamenta anche cosa puoi fare o non puoi fare con i cookie a seconda che tu abbia ottenuto o meno il consenso dei tuoi navigatori e definisce le modalità concrete con cui devi ottenerlo.

Inoltre sancisce ulteriori obblighi in caso di uso dei cookie per profilare i navigatori.

La normativa sui cookie in breve

La normativa sui cookie definisce “editore” qualunque soggetto che conduca un sito web, sia esso un blog, un sito di presentazione o un e-commerce.

Essa statuisce due obblighi fondamentali:

• Obbligo di mostrare un’Informativa Breve al navigatore la prima volta che accede al tuo sito;
• Obbligo di rendere disponibile un’Informativa Estesa contente ulteriori dettagli sull’uso che dei cookie fa il tuo sito e che permetta al navigatore di selezionare e deselezionare i cookie che vuole che vengano o non vengano installati sul proprio dispositivo.

Oltre agli obblighi informativi, ha esplicitamente imposto anche il rispetto del principio dell’opt-in per il trattamento dei dati personali dei navigatori che avvenga usando dei cookie.

Il semplice Cookie Banner, quindi, non è sufficiente per ottemperare all’obbligo di informativa, poiché non rispetta questo principio.

La normativa fa anche due distinzioni nette tra i tipi di cookie.

La prima distinzione è fondata sullo scopo dei cookie e in questo senso li distingue in due categorie principali:

• I cookie tecnici;
• I cookie di profilazione.

Se per i cookie tecnici non impone alcun obbligo particolare, per i cookie di profilazione, invece, determina regole d’uso e obblighi molto stringenti, prevedendo anche sanzioni salate in caso di inottemperanza.

La regola principale da ricordarsi sempre è molto semplice: per installare i cookie di profilazione è fondamentale prima ottenere il consenso esplicito da parte del navigatore (attraverso l’Informativa Breve oppure, successivamente, attraverso l’Informativa Estesa).

La seconda distinzione riguarda il soggetto che materialmente installa il cookie. In questo senso, la normativa distingue tra:

• Cookie di prima parte;
• Cookie di terza parte.

Per quelli di prima parte non ci sono regole particolari; per i cookie di terza parte, invece, è obbligatorio mostrare un’Informativa Breve al navigatore.

Combinare i vari tipi di cookie, quindi, può essere complesso: come ci comportiamo, per esempio, con i cookie tecnici di terza parte?

Ultimo aspetto importantissimo della normativa sui cookie è l’equiparazione a questi di qualsiasi altro strumento tecnico-informatico che permetta comunque di profilare i navigatori.

L’importanza della normativa sui cookie, quindi, è cruciale, soprattutto perché porta notevoli sconvolgimenti nel modo di pensare e progettare il web.

Capire come la normativa sui cookie influisce sul nostro ecommerce è altrettanto cruciale:

• Come lo mettiamo a norma?
• Serve il banner o basta la “barra persistente”?
• E le informative, quante sono?
• E questa storia della cancellazione dei cookie dalla Cookie Policy?
• E come facciamo a sapere quanti e quali cookie usa il nostro e-commerce?

Ad alcune domande puoi trovare risposta direttamente sul sito del Garante per la Protezione dei Dati Personali.

Per tutte le altre, continua a leggere questa guida alla normativa sui cookie.

La normativa sui cookie

La normativa sui Cookie è contenuta, in:

• Regolamento Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – n.229 dell’8 maggio 2014 [3118884] (provvedimento del Garante per la Protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014);
• Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876] (provvedimento del Garante per la Protezione dei Dati Personali, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021)

Per concetti e principi più generici come quelli di “consenso”, “Privacy by design”, “Privacy by default”, trasparenza, informazioni minime da fornire al navigatore, ecc., la normativa si rinviene in:

• Direttiva “ePrivacy” (Direttiva 2002/58/CE, recepita in Italia dal Codice in Materia di Protezione dei Dati Personali);
• Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196);
• Regolamento Generale sulla Protezione dei Dati – RGPD (General Data Protection Regulation – GDPR, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016), in special modo per la nozione di “consenso” (articolo 4, punto 11; articolo 7; considerando 32) e per la determinazione delle sanzioni (articoli 83 e 84);
• Guidelines 05/2020 on consent under Regulation 2016/679 (adottate il 4 maggio 2020).

Differenze tra GDPR e normativa sui cookie

A scanso di equivoci, GDPR e normativa sui cookie sono due cose distinte e separate: il primo regolamenta la privacy in generale mentre la seconda regolamenta in modo specifico i cookie, anche se per i principi generali si rifà al più generico GDPR.

Quindi, la normativa sui cookie è diversa dal GDPR (General Data Protection Regulation – Regolamento Generale per la Protezione dei Dati).

Il GDPR è un regolamento europeo che disciplina la più ampia materia della tutela dei dati personali.

La normativa sui cookie è contenuta in leggi dello stato che recepiscono i principi del GDPR e la direttiva europea ePrivacy, disciplinando in modo specifico la materia dei cookie e della profilazione a mezzo strumenti tecnico-informatici.

Il GDPR, in quanto regolamento, non ha bisogno di alcuna legge di recepimento perché sia vigente: lo devi rispettare per il solo fatto che l’Unione Europea lo ha emanato ed è considerato esattamente come una Legge dello Stato Italiano. In realtà è di rango superiore: tra una legge dello Stato Italiano e il GDPR, prevale il GDPR.

La direttiva ePrivacy (2002/58/CE)

Sebbene sia del 2002, la direttiva 58 è ancora pienamente applicabile ed è lo stesso Garante che lo ricorda, citando il GDPR:

Tale direttiva, al pari delle norme di diritto interno che la recepiscono, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche (v., in proposito, il considerando 173 del Regolamento secondo cui “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio …”, nonché l’art. 2, lettera l), della direttiva quadro 2002/21/CE che ricomprende anche la direttiva ePrivacy nel novero delle “direttive particolari”).

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile

Essa, inoltre, prevale su eventuali normative successive che con essa dovessero essere in contrasto poiché disciplina in modo specifico la materia.

Rapporto gerarchico tra le fonti

Normalmente si crede che le norme successive nel tempo vadano automaticamente ad abrogare o “sovrascrivere” quelle precedenti.

In realtà nel Diritto esistono vari criteri di coordinamento tra le norme e quello temporale è solo uno di questi (Lex posterior derogat priori).

Nel caso della normativa sui cookie, infatti, c’è un ulteriore criterio da usare: quello di specialità (Lex specialis derogat generali).

Questo criterio, in breve, esprime il principio per il quale ad essere applicata non è la norma più recente bensì quella che regola in modo più specifico una disciplina.

E quindi, applicando questo criterio, la Direttiva ePrivacy prevarrà sul GDPR ogni volta che essa dovesse essere più specifica di quest’ultimo:

La successiva entrata in vigore del Regolamento impone tuttavia una indagine, innanzitutto tesa a ricercare il coordinamento tra le regole poste. Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono infatti essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento⁽²⁾, con l’avvertenza tuttavia che, per la parte di potenziale sovrapposizione – in virtù del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva ePrivacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del Regolamento – ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti⁽³⁾.

Ad esempio, è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri strumenti di tracciamento; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile

I soggetti previsti dalla normativa sui cookie

La Legge sui Cookie identifica tre soggetti:

• Il “navigatore”: è la persona che visita un sito web.;
• L'”editore”: è qualunque soggetto che conduca un sito web, sia esso un blog, un sito di presentazione o un e-commerce;
• Le “terze parti”: sono i soggetti che amministrano un dominio diverso da quello che amministra l’editore e che installano cookie sui dispositivi dei navigatori “passando” dal dominio dell’editore.

Se gestisci un sito web di qualunque natura, per qualunque scopo e su qualunque argomento, allora tu sei l’Editore e devi rispettare la normativa sui cookie.

Gli obblighi in capo agli Editori

Gli obblighi cui gli “editori” devono ottemperare (che devono rispettare) sono essenzialmente tre:

1. Obbligo verso i navigatori di informativa nelle forme e modalità previste dalla normativa e ai sensi del vecchio art. 13 del Codice in Materia di Protezione dei Dati Personali, ora sostituito dagli articoli 12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato) e 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato) del GDPR, così come richiamato dall’art. 1 del Regolamento;
2. Obbligo di rispettare il principio dell’opt-in nel caso si usino “cookie di profilazione” o “cookie di terze parti”: senza consenso espresso non puoi installarli e devi permettere al navigatore di disabilitarli se li ha già accettati, a meno che non siano cookie di terze parti ma tecnici: questa è un’eccezione che approfondiremo in seguito in questa guida;
3. Obbligo di notificazione al Garante per la Protezione dei Dati Personali del trattamento per scopi di profilazione: il “trattamento” indica l’atto di installare i cookie o il tracciamento server-side o qualunque altro tipo di tracciamento (anche solo per tracciare se un’email è stata aperta o meno).

Riassumendo quanto prescrive la normativa sui cookie, questo è quello che devi sapere per avere un quadro degli obblighi, anche se abbastanza generico:

1. Quando il navigatore arriva sul tuo sito:
   1. Puoi installare solo i cookie tecnici. Non puoi installare, invece, i cookie di profilazione né i cookie di terze parti (a meno che non siano tecnici e comunque anonimizzati): per questi ti serve il consenso espresso (principio dell’opt-in);
   2. SOLO se usi cookie di profilazione o qualunque cookie di terza parte (e vale anche per quelli tecnici di terza parte), devi mostrare l’Informativa Breve;
2. IN OGNI CASO devi predisporre sul tuo sito una Informativa Estesa (la cookie policy) che:
   1. Spieghi quali categorie di cookie usi;
   2. Permetta al navigatore di disabilitare o abilitare SINGOLARMENTE quelli di profilazione o di terza parte, modificando o specificando meglio la scelta già espressa quando gli hai mostrato l’Informativa Breve (il cookie banner);
   3. Sia raggiungibile da qualunque pagina del tuo sito: il modo migliore è aggiungere il suo link nel footer, esattamente dove hai gli altri link alla privacy policy, alle condizioni generali, ecc..

Cosa sono i cookie e quali sono i tipi previsti

Da un punto di vista tecnico-informatico, il cookie è un semplice file di testo memorizzato nel dispositivo del navigatore dal sito che sta visitando.

La normativa li differenzia in tre tipologie a seconda del soggetto che li memorizza e dello scopo per cui lo fa.

Comprendere bene come qualificare un cookie è fondamentale perché in base a questa distinzione cambiano gli obblighi cui devi ottemperare (che devi rispettare).

Cookie di Terza Parte. Qualunque cookie installato da un dominio nella disponibilità di un soggetto diverso da quello che dispone del sito web visitato.

I cookie installati da Google Analytics, Facebook, sistemi di analisi e via dicendo, sono tutti cookie di terza parte e lo sono sempre, anche se anonimizzati (cioè anche se non contengono informazioni che potenzialmente permettono di identificare l’utente).

Cookie Tecnici. Sono i cookie necessari al corretto funzionamento del sito.

Per esempio, il cookie che memorizza il carrello in un sito di commercio elettronico, o il cookie che memorizza la lingua scelta dal navigatore, o il cookie che permette di essere riconosciuto dal sito senza che sia necessario eseguire di nuovo il login.

Cookie di Profilazione. Sono tali i cookie che permettono di riconoscere il navigatore e di studiarne il comportamento.

Per esempio per fare analisi sui prodotti che ha inserito nel carrello, da quale nazione proviene, quale lingua parla, quali pagine o quali prodotti ha visualizzato sul sito e cose di questo tipo.

Cosa ne facciamo di queste informazioni è irrilevante: possiamo usarle per mostrare pubblicità mirate, per condurre analisi statistiche, per mandare email personalizzate.

La sostanza non cambia: stiamo profilando il navigatore e dobbiamo informarlo di questo (e dobbiamo informare anche il Garante per la Protezione dei Dati Personali).

Esistono ulteriori sotto-categorie di cookie tecnici: per un ulteriore approfondimento puoi leggere il lemma Cookie nell’Enciclopedia dell’e-commerce.

Il consenso all’installazione dei cookie

L’obiettivo primario della normativa sui cookie è evitare che le persone siano tracciate e/o profilate senza che ne siano pienamente consapevoli.

Affinché un sito web o un’app possa tracciarle e/o profilarle, quindi, la normativa richiede che prima si ottenga il consenso dell’interessato (che è il navigatore).

L’ottenimento del consenso non è un requisito formale ma è regolato nella sostanza: non basta, in pratica, un click, ma è necessario che questo click sia inserito in un quadro più ampio, che garantisce che chi esegue il click sappia effettivamente cosa sta facendo e cosa quel click significa in concreto.

Il Garante espone chiaramente il concetto:

[…] non può essere sottovalutato come il Regolamento abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali […] chiarendo che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che […] libera, specifica ed informata, anche “inequivocabile” […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 1. Considerazioni preliminari

Quindi, non basta un semplice consenso, ma serve che esso sia:

• Libero;
• Specifico;
• Informato;
• Inequivocabile.

In quanto “libero”, non è possibile impedire la navigazione del sito in assenza di consenso all’uso dei cookie (e per questo il Cookie Wall non è più ritenuto legittimo, a meno che non possegga particolari requisiti tecnico-informatici).

In quanto “specifico”, serve che il consenso sia prestato non solo per i cookie in particolare (dall’Informativa Breve sui Cookie), ma che il navigatore sia anche messo in condizione di scegliere quali cookie far installare o non far installare (o decidere almeno per gruppi omogenei) e deve essere anche messo nelle condizioni di cambiare la propria decisione successivamente (dall’Informativa Estesa sui Cookie).

In quanto “informato”, è necessario che al navigatore siano dati tutti i dettagli circa i cookie che si intende installare ed è necessario spiegare a cosa servono e per quali scopi sono usati. In più si devono fornire anche le informazioni minime previste dal GDPR agli articoli 12 e 13.

In quanto “inequivocabile”, è necessario che l’azione del navigatore sia tesa senza possibilità di errore a dichiarare che intende accettare o non accettare i cookie. Per questo motivo il meccanismo di accettazione basato sullo scrolling è ritenuto illegittimo dal Garante per la Protezione dei Dati Personali.

Sempre in merito al consenso, il Garante prende atto che il GDPR va oltre i requisiti del consenso

[…] pure esigendo che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dati venga conseguito sin dalla progettazione e attraverso impostazioni predefinite (cd. privacy by design e by default).

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 1. Considerazioni preliminari

Il principio della “Privacy by Design” vuole che un “sistema” (genericamente inteso, sia esso informatico o meno, quindi anche offline) prenda in considerazione la privacy e la tutela dei dati personali sin da quando viene progettato.

Il principio della “Privacy by Default” vuole che, in ossequio al principio della minimizzazione dei dati, siano richiesti e trattati solo i dati minimi necessari per erogare il servizio e che in via predefinita ulteriori dati non siano trattati: al massimo si può chiedere all’interessato se intende prestare il proprio consenso agli ulteriori trattamenti.

In ossequio a questi due principi, quindi, il Garante ritiene che

[…] l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out).

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento, 7.1 Il meccanismo di acquisizione del consenso

In questo senso, quindi, le caselle di accettazione dei cookie diversi da quelli tecnici dovranno essere deselezionate e dovrà essere eventualmente il navigatore a selezionarle qualora desiderasse far accettare anche quegli ulteriori cookie.

Inoltre, ai navigatori deve essere data la possibilità di modificare la propria scelta anche successivamente:

Gli utenti, naturalmente, dovranno essere posti in condizione di modificare le scelte compiute – sia in termini negativi che in termini positivi e dunque prestando un consenso negato o revocando un consenso prestato – in ogni momento e ciò in maniera semplice, immediata e intuitiva attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento
7.1 Il meccanismo di acquisizione del consenso

Tale “apposita area” va intesa sia come un link all’Informativa Estesa da inserire nel footer (nella quale, appunto, va data al navigatore la possibilità di gestire i cookie) sia, invece, come una Cookie Icon dalla quale permettere, ugualmente, tale gestione.

Registrazione e prova del consenso

La Cookie Law non richiede che si tenga alcun tipo di registro.

Per intenderci, non devi memorizzare nulla sul tuo sito che attesti che il navigatore abbia effettivamente prestato il consenso o lo abbia negato all’uso dei cookie.

La normativa espressamente ritiene perfettamente ammissibile la memorizzazione della scelta del navigatore in un cookie tecnico che può essere anche usato per evitare di mostrare il banner al navigatore alla visita successiva.

L’informativa: Il doppio livello di profondità

La normativa sui cookie prevede un doppio livello di profondità per informare il navigatore circa l’uso che il tuo sito fa dei cookie e per permettergli di decidere se accettarli, quali accettarli o se rifiutarli.

Ai fini della semplificazione dell’informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi.

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4. L’informativa con modalità semplificate e l’acquisizione del consenso online.

Questi due livelli di informativa, quindi, sono:

• L’Informativa Breve (da rendere attraverso il Cookie Banner);
• L’Informativa Estesa (la Cookie Policy).

L’Informativa Breve sui Cookie e il Cookie Banner

L’Informativa Breve è ciò che mostri al navigatore quando accede sul tuo sito e non ha ancora espresso una preferenza in merito ai cookie.

L’Informativa Breve va mostrata quando il tuo sito usa cookie di profilazione o cookie di terza parte.

Essa deve rispettare dei requisiti molto stringenti in merito ai contenuti che deve mostrare.

L’Informativa Breve viene mostrata, concretamente, usando un Cookie Banner in una delle sue tre varianti principali (Cookie Wall, Cookie Box o Cookie Stripe).

Anche il Cookie Banner deve rispettare regole molto stringenti in merito al suo funzionamento e ai comandi che deve offrire al navigatore.

Mostrando l’Informativa Breve puoi ottenere il consenso del navigatore all’installazione dei cookie di profilazione e/o dei cookie di terza parte: senza consenso, non puoi installarli.

L’unica eccezione è data dai cookie di terza parte che siano di analisi e anonimizzati: in questo caso puoi installarli anche prima di aver ottenuto il consenso, ma devi comunque mostrare l’Informativa Breve (perché sono comunque cookie di terza parte).

Se il tuo sito non fa uso né di cookie di profilazione né di cookie di terza parte, allora non sei soggetto all’obbligo di mostrare l’Informativa Breve.

In pratica, se usi WordPress e WooCommerce, PrestaShop o Magento, non devi fare niente: crei la privacy policy e sei a posto (non è necessario nemmeno che crei una cookie policy, potendo spiegare come usi i cookie tecnici anche direttamente nella privacy policy).

Questo vale anche se usi un software di conteggio delle visite ospitato direttamente sui tuoi server: i cookie che installa sono definiti “cookie analytics” (cookie di analisi) e sono equiparati a quelli tecnici quando creati da software ospitati sui tuoi server (e a patto che non attivino funzionalità di profilazione dei navigatori, ovviamente).

Se invece usi Google Analytics, sebbene i cookie che usa siano di analisi (se configurato per funzionare in modalità anonima), essi sono comunque installati da un soggetto terzo: questo significa che tecnicamente sono “cookie di analisi di terza parte”.

Il fatto che siano anche cookie di terza parte fa sorgere l’obbligo di mostrare l’Informativa Breve (ma puoi installarli anche prima di aver ottenuto il consenso, sempre a patto che siano anonimizzati, vedi il prossimo paragrafo).

Lo stesso discorso, vale anche se usi dei cookie di profilazione, per esempio se crei le Custom Audiences su Facebook o le liste su Google Ads per il retargeting.

In questo caso, inoltre, sorge anche l’obbligo di notificazione al Garante.

Per i riferimenti normativi, l’analisi più approfondita di tutti gli aspetti riguardanti l’Informativa Breve e per capire ancora meglio come conformarti alla Cookie Law, puoi leggere il lemma di approfondimento sull’Informativa Breve.

Il Cookie Banner

Il Cookie Banner è lo strumento con il quale fai leggere al navigatore l’Informativa Breve che hai predisposto.

La prassi ha creato tre tipi principali di Cookie Banner:

• Il Cookie Wall;
• La Cookie Box;
• La Cookie Stripe.

Nessuna versione è migliore delle altre: tutto dipende dagli obiettivi del tuo sito e della tua attività.

Il Cookie Wall è sicuramente più invasivo delle altre due forme, ma garantisce che una scelta venga fatta dal navigatore in merito ai cookie.

Il Cookie Wall, inoltre, è anche la forma espressamente portata come esempio dal Garante per la Protezione dei Dati Personali nel provvedimento del 2014.

Tieni presente che con il provvedimento del 2021, il Garante ha espressamente vietato che lo scrolling sia usato come manifestazione del consenso, da parte del navigatore, all’installazione dei cookie: questo vale indipendentemente dalla forma del Cookie Banner.

Per i riferimenti normativi, l’analisi più approfondita di tutti gli aspetti riguardanti il Cookie Banner e per capire ancora meglio come conformarti alla Cookie Law, puoi leggere il lemma di approfondimento sul Cookie Banner.

L’Informativa Estesa sui Cookie (o Cookie Policy)

Qualunque sia il tipo di cookie diverso da quelli tecnici di prima parte che installi, la normativa prescrive che tu abbia un’Informativa Estesa, quella che chiamiamo comunemente “Cookie Policy”.

La normativa del 2014 descrive in modo molto approfondito le caratteristiche che deve possedere l’Informativa Estesa e le informazioni che deve contenere.

I punti più importanti sono sono questi:

1. Descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie usati dal sito;
2. Consentire all’utente di selezionare/deselezionare i singoli cookie o gruppi omogenei di essi;
3. Contenere un link alle informative e ai moduli di consenso di ogni terza parte che possa installare cookie (Google Analytics, Facebook, Twitter, ecc.);
4. Ricordare al navigatore che può configurare il proprio browser affinché non accetti o accetti solo alcuni cookie.

Oltre a questi elementi, l’Informativa Estesa deve contenere anche tutti gli elementi previsti 12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato) e 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato) del GDPR.

La Cookie Policy deve essere raggiungibile sia dall’Informativa Breve che da ogni pagina del sito.

Per i riferimenti normativi, l’analisi più approfondita di tutti gli aspetti riguardanti l’Informativa Estesa e per capire ancora meglio come conformarti alla Cookie Law, puoi leggere il lemma di approfondimento sulla Cookie Policy.

Le categorie omogenee di cookie

Poiché i cookie installati da un sito web potrebbero essere molti, talvolta potrebbe essere opportuno raggrupparli in quelle che il Garante definisce “categorie omogenee”.

Nel caso in cui questo accadesse, il Garante dà precise indicazioni su come comportarsi nel caso di variazioni ai cookie installati (perché, magari, si è aggiunto un nuovo servizio oppure, al contrario, lo si è rimosso):

[…] quando cioè i cookie siano raggruppati per categorie omogenee, qualora si verificassero successive modifiche nel novero delle terze parti corrispondenti ai link posizionati in questa area e dunque ulteriori soggetti terze parti venissero aggiunti alla lista, è rimessa alla prima parte, cioè al gestore del sito, la loro accurata selezione, come pure la necessaria attività di vigilanza per assicurare che l’ingresso di tali soggetti ed il trattamento che ne discende permanga in linea con il raggruppamento per categorie omogenee come già effettuato.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento
7.1 Il meccanismo di acquisizione del consenso

Anche in questo caso, quindi, dobbiamo sempre rispettare il principio della “Privacy by default” e, in via predefinita, mantenere deselezionate le relative caselle di attivazione dei cookie: in pratica, comunque non possiamo installarli a meno che il navigatore non ce ne abbia dato espressamente il consenso:

Anche in questo caso, il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie, e che pertanto l’utente possa, esclusivamente, accettarne, anche appunto in modo granulare, il posizionamento.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento
7.1 Il meccanismo di acquisizione del consenso

In tali casi, il Garante ci riconosce la possibilità di mostrare nuovamente l’Informativa Breve anche prima che siano trascorsi 6 mesi dall’ultima volta che l’abbiamo mostrata.

Forme alternative di raccolta del consenso: utenti autenticati e tracciamento cross-device

Le forme tipiche previste dal Garante per la raccolta del consenso sono tre:

• L’Informativa Breve;
• L’Informativa Estesa (dove il navigatore deve poter scegliere quali cookie far installare o non far installare);
• Cookie Icon (opzionale, presente su ogni pagina del sito e dalla quale il navigatore può gestire le proprie preferenze in merito ai cookie).

Oltre a queste, il Garante lascia aperta la possibilità che siano adottate modalità alternative di raccolta del consenso.

Il Garante scrive in merito:

Resta in ogni caso impregiudicata la possibilità per i titolari di adottare eventualmente anche diverse modalità di raccolta del consenso, ad esempio con riferimento a quegli utenti che accedano ai relativi servizi mediante uso di credenziali di autenticazione o di accesso e per i quali dunque, fin dal momento della creazione dell’account, si porrebbe un naturale momento di discontinuità nella navigazione idoneo, per il titolare, all’assolvimento degli obblighi che interessano l’impiego di cookie e degli altri strumenti di tracciamento; con l’avvertenza che a questi specifici utenti, cd. autenticati, dovrà inoltre essere consentito di scegliere consapevolmente – menzionando dunque tale possibilità pure nell’informativa resa – se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento
7.1 Il meccanismo di acquisizione del consenso

Questa possibilità è molto importante perché permetterebbe di integrare una richiesta di consenso all’installazione dei cookie in altre aree del sito e in flussi diversi.

Questo è un po’ quello che già accade, per esempio, con la richiesta di iscrizione alla newsletter nel checkout, durante un acquisto.

Questa possibilità è ancora più importante se si considera che la normativa sui cookie va applicata anche a tutte le altre forme di tracciamento, anche a quelle server-side, per esempio.

Ovviamente, nell’implementare tali modalità alternative di raccolta del consenso va sempre tenuto bene a mente il principio dell’accountability e ci si deve assicurare che il consenso così raccolto possegga tutte le caratteristiche che abbiamo visto nei paragrafi precedenti.

La notifica al Garante per la Protezione dei Dati Personali in caso di uso di Cookie di Profilazione

I Cookie di Profilazione sono quelli idonei a identificare un particolare navigatore al fine di studiarne il comportamento, le abitudini di acquisito, l’orientamento religioso o politico e, in generale, a costruirne un profilo psico-grafico quanto più completo è possibile.

La costruzione del profilo psico-grafico è utile poi per proporgli prodotti o servizi personalizzati o di suo interesse.

L’uso di questi cookie è molto comune negli e-commerce per poter personalizzare l’esperienza del navigatore, proponendogli prodotti che con un certo grado di certezza può trovare interessanti.

Nel caso in cui facessi uso di questo tipo di cookie, la normativa espressamente richiede che sia inviata comunicazione di questa pratica al Garante per la Protezione dei Dati Personali.

Le sanzioni previste

Le sanzioni previste dalla normativa sui cookie del 2014 erano estremamente salate (anche se il livello di “sapidità” andava comunque commisurato alle potenzialità economiche dell’azienda sanzionata).

Per ciò che riguardava le informative, sia quella breve che quella estesa, nel caso in cui esse non fossero mostrate o rese disponibili, fossero incomplete o comunque inidonee, la sanzione andava da 6.000€ a 36.000€.

Le sanzioni si facevano molto più elevate nel caso in cui si fossero installati i cookie in assenza del preventivo consenso del navigatore: in questi casi il minimo edittale saliva a 10.000€ mente il massimo saliva a 120.000€.

Il caso di omessa notificazione di uso di cookie di profilazione era sanzionato con un minimo di 20.000€ e un massimo di 120.000€.

Queste sanzioni erano tutte discendenti dal Codice in Materia di Protezione dei Dati Personali.

Con l’entrata in vigore del GDPR, gli articoli del vecchio codice sulla privacy a cui ci si rifaceva per l’individuazione delle sanzioni sono stati abrogati (161, 162 e 163).

Stante la vigenza del Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR – General Data Protection Regulation) gli articoli di riferimento sono l’83 e l’84 che non prevedono minimi e massimi edittali, bensì criteri generali di determinazione dell’ammontare della sanzione.

La sanzione, in ogni caso, deve essere “effettive, proporzionate e dissuasive” (art. 84 del RGPD).

Applicabilità della normativa sui cookie agli “altri strumenti di tracciamento”

La normativa sui cookie non si applica solo a questi, ma si applica a tutti gli strumenti tecnico-informatici che permettono in qualunque modo di identificare il navigatore e/o profilarlo.

Infatti, il Garante scrive, addirittura in apertura (affinché sia sicuramente chiaro per tutti!), che:

CONSIDERATO che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del presente provvedimento;

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]

Questi “altri strumenti analoghi” sono, per esempio:

• Device fingerprinting, la creazione di un identificatore univoco calcolato sulla base delle unicità dei computer di ciascun utente – versione del browser, configurazioni, sistema operativo, risoluzione del monitor, ecc.;
• Blank Pixel, non come quello di Facebook, ma come quello che si usa nelle e-mail per sapere se il messaggio è stato aperto o meno e da chi;
• AdID: identificatori univoci di ogni singolo telefono cellulare esistente che permette agli inserzionisti di riconoscere un telefono ogni volta che visita una pagina web.

Di questi, quello di cui maggiormente si preoccupa la normativa del 2021 è il primo, il device fingerprinting: sebbene tutti possano essere usati per profilare, è il fingerprinting che può, però, essere usato su larga scala per profilare con il fine di veicolare messaggi pubblicitari personalizzati.

Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti Linee guida.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 3. Altri strumenti di tracciamento

Questo significa che nel caso si usasse questo tipo di tecnologia, sarebbe necessario rispettare tutta la normativa prevista per i cookie di profilazione.

Questa previsione rende la Cookie Law “technology agnostic“, “tecnologicamente agnostica“, ovvero le interessa poco lo strumento concreto, il medium che contiene l’informazione da trattare o che la rende accessibile o comunque riconoscibile, mentre prende in massima considerazione il fine per cui questa informazione è trattata.

Quello che la normativa vuole regolamentare è la pratica della profilazione “occulta” degli utenti e non le interessa assolutamente che essa sia attuata usando dei cookie, l’URL, un device fingerprint o altra tecnica o tecnologia: se lo scopo ultimo è di profilare, allora si deve rispettare questa normativa sui cookie (e, ovviamente, la più generica normativa sulla tutela dei dati personali).

Il provvedimento del 2021 è molto più preciso e esaustivo in merito.

In questo provvedimento il Garante parte da un assunto:

Il considerando 30 del Regolamento espressamente afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookie) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 2. La funzione dei cookie

Sulla base di questa considerazione, divide questi “identificativi di altro tipo” in due macro categorie:

• Identificativi attivi;
• Identificativi passivi.

[…] altri strumenti (la totalità dei quali può essere distinta tra i c.d. “identificatori attivi”, come appunto i cookie, e “passivi”, questi ultimi presupponendo la mera osservazione), che consentono di effettuare trattamenti analoghi a quelli sopra indicati. […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 3. Altri strumenti di tracciamento

La differenza principale evidenziata dal Garante è il diverso grado di controllo che il navigatore ha sulla possibilità di essere tracciato.

Gli identificatori attivi

Sono attivi quegli identificatori che sono rilevabili dal navigatore e sui quali egli abbia possibilità di agire in via diretta, per esempio cancellandoli o impedendone l’installazione.

I cookie rientrano in questa categoria.

Nel primo caso (identificatori attivi come i cookie, ndr), infatti, l’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 3. Altri strumenti di tracciamento

Gli identificatori passivi

Sono passivi quegli identificatori che il navigatore non può in alcun modo rilevare e sui quali egli non ha alcun tipo di controllo, non potendoli né cancellare né impedirne o almeno limitarne il funzionamento.

Rientrano in questa categoria il fingerprinting e, in certa misura, il server-side tracking.

[…] con riguardo […] agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 3. Altri strumenti di tracciamento

La distinzione teleologica: altri identificatori tecnici e non tecnici

Questa è la distinzione fondamentale per individuare la normativa applicabile agli altri identificatori diversi dai cookie.

Come per i cookie, la distinzione teleologica li distingue in

• Altri strumenti identificativi tecnici;
• Altri strumenti identificativi non tecnici.

Analogamente, anche gli altri identificatori possono essere catalogati secondo criteri diversi, dei quali il principale resta, tuttavia, la finalità per la quale vengono utilizzati: di natura “tecnica” o di natura “non tecnica”, dovendosi intendere quest’ultima categoria in senso ampio, dal momento che l’attuale disciplina di legge, di cui in appresso, tesa alla tutela della confidenzialità delle comunicazioni elettroniche oltre che delle informazioni di carattere personale, è inequivocamente formulata secondo lo schema di una generale proibizione di trattamento dei dati degli interessati, salvo eccezioni rigorosamente e restrittivamente codificate, insuscettibili di estensione analogica.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile, 3. Altri strumenti di tracciamento

Quindi, applicando la normativa generale sui cookie, avremo:

• Altri strumenti identificativi tecnici = cookie tecnici (sia di prima che di terza parte);
• Altri strumenti identificativi non tecnici di prima parte = cookie di profilazione di prima parte;
• Altri strumenti identificativi non tecnici di terza parte = cookie di profilazione di terza parte.

Scheda di riepilogo degli obblighi in materia di cookie

All’inizio comprendere cosa bisogna fare può sembrare complicato.

Ricapitolando,:

• Se usi solo cookie tecnici, basta che informi il navigatore che li usi e ne spieghi il motivo, anche nella più generica privacy policy;
• Se i cookie tecnici che usi sono di terza parte, allora devi mostrare l’Informativa Breve e predisporre la cookie policy;
• Se usi cookie di profilazione, devi mostrare l’informativa beve e ottenere il consenso prima di installarli, devi permettere la gestione dei singoli cookie o gruppi omogenei di essi dalla cookie policy. Se i cookie di profilazione sono di prima parte, allora devi inviare anche la notificazione al Garante; se sono di terza parte, la notificazione sarà inviata dalla terza parte e tu non devi inviarla.

Il Garante stesso ha provveduto a riassumere in un’infografica tutti gli obblighi e le condizioni che devono sussistere affinché tu debba rispettarli.