Come distinguere i 3 tipi di cookie previsti dalla cookie law e capirne la normativa

3 Condivisioni

ATTENZIONE Stiamo aggiornando questo post e tutti quelli riguardanti la normativa sui cookie, aggiungendo informazioni e chiarendo i punti più critici.
Quando l’aggiornamento sarà terminato invieremo un’email a tutti i nostri iscritti.
Usa il box di iscrizione alla newsletter qui a destra (o in fondo alla pagina se leggi dal cellulare) per essere avvisato tempestivamente.

ATTENZIONE: Questo post sta venendo modificato proprio in questo momento. Ripassando tra qualche minuto lo troverai modificato e arricchito.
Quando messaggio sarà rimosso quando la modifica sarà stata completata.

La Cookie Law distingue 3 tipi di cookie.

Per ciascun tipo di cookie, la Cookie Law prescrive regole di informativa e di uso differenti.

Comprendere a fondo come distinguerli è fondamentale per rendere il tuo sito web o il tuo e-commerce conforme alla Cookie Law.

Distinguere un tipo di cookie dall’altro, però, potrebbe essere meno semplice di quanto si potrebbe credere a prima vista: le differenze non sono sempre nette e spesso lo stesso cookie può essere di più tipi contemporaneamente.

In questo post cercheremo di chiarire le differenze che passano tra un tipo di cookie e l’altro e i possibili errori in cui potremmo incorrere se non le capissimo a fondo.

Distinguere i tipi di cookie in breve

La Cookie Law distingue 3 tipi di cookie (e alcuni sotto-tipi):

  • I “cookie tecnici“:
    • Cookie di sessione o di navigazione;
    • Cookie analytics;
    • Cookie di funzionalità;
  • I “cookie di profilazione“;
  • I “cookie di terze parti” (e di “prima parte“).

Uno stesso cookie può essere di più tipi contemporaneamente: è proprio questa possibilità che può rendere complessa una distinzione netta.

Per iniziare a comprendere bene come distinguerli dobbiamo dividerli in due macro-categorie basate su due semplici domande:

  • Cosa fanno? Cookie tecnici e cookie di profilazione;
  • Chi li installa? Cookie di prima parte e cookie di terza parte.

La difficoltà nel distinguerli deriva dal fatto che uno stesso cookie può essere considerato di più tipi contemporaneamente.

Per esempio, i cookie che installa Google Analytics possono essere solo cookie tecnici, se non memorizzano l’indirizzo IP; sono considerati anche cookie di profilazione se invece memorizzano l’indirizzo IP.
Di sicuro i cookie di Google Analytics sono cookie di terza parte (perché li installa Google, soggetto terzo rispetto a noi che conduciamo il nostro blog o il nostro e-commerce).

Allo stesso modo, se usassimo un software di tracciamento come Matomo/Piwick, i cookie che installa potrebbero essere allo stesso tempo sia cookie tecnici di analisi sia cookie di profilazione e sarebbero cookie di prima parte o di terza parte a seconda che il software funzionasse sui nostri server o sulla cloud offerta da loro.

La distinzione, quindi, non è sempre così netta e molto dipende anche da come configuri i servizi che installano i cookie.

Ultimo aspetto da chiarire è cosa sia un cookie.

Comunemente si pensa al cookie come a un file di testo che:

  1. Viene installato sul computer del navigatore;
  2. Serve per identificarlo alle visite successive.

Nella realtà, però, i cookie non sono l’unico strumento tecnologico utile al tracciamento e la Cookie Law ne è pienamente consapevole.

Per questo motivo la Cookie Law assimila ai cookie (cioè, li considera uguali ai cookie) anche altri strumenti tecnologici.

È bene capire bene cosa può essere considerato come un cookie secondo la Cookie Law.

Ora che abbiamo chiari gli aspetti fondamentali sui vari tipi di cookie, passiamo ad analizzarli in dettaglio uno per uno per essere in grado di distinguerli nella realtà e rendere il nostro sito o e-commerce conforme alla Cookie Law:

  1. Cos’è un cookie secondo la Cookie Law
    1. Cosa sono i cookie tecnici;
    2. Cosa sono i cookie di profilazione;
    3. Cosa sono i cookie di terza parte;
  2. La normativa sui cookie
    1. La normativa sui cookie tecnici;
    2. La normativa sui cookie di terza parte;
    3. La normativa sui cookie di profilazione;
  3. Come si distinguono i vari tipi di cookie
    1. Come si distinguono i cookie di prima parte e i cookie di terza parte;
    2. Come si distinguono i Cookie tecnici e i cookie di profilazione;
  4. I cookie ibridi
    1. I cookie tecnici ibridi
      1. I cookie tecnici di analisi di terza parte
        1. I cookie ibridi tecnici di analisi di terza parte di Google Analytics
        2. I cookie di Facebook Analytics non sono di analytics
    2. I cookie tecnici di sessione di terza parte;
    3. I cookie tecnici di funzionalità che diventano di profilazione;
    4. I cookie tecnici di analisi di terza parte
      1. La normativa dei cookie tecnici di analisi di terza parte;
      2. I cookie di Google;
      3. I cookie di Facebook;
    5. I cookie di profilazione di terza parte
      1. La normativa dei cookie di profilazione di terza parte;
      2. I cookie di Google Ads;
      3. I cookie di Facebook Ads;
      4. I cookie di behavioral analysis;
  5. Conclusioni.

Cos’è un cookie secondo la Cookie Law

Da un punto di vista tecnico-informatico, un cookie altro non è se non un semplice file di testo che viene memorizzato nel computer del navigatore.

Le informazioni che può contenere sono le più varie:

  • La lista dei prodotti aggiunti al carrello;
  • La lingua con cui si vuole visualizzare il sito web;
  • Un identificatore univoco che permetta di riconoscere il navigatore senza che debba fare il login su ogni pagina.

Un cookie potrebbe essere come questo di Facebook:

Vista dei cookie di Facebook su Google Chrome
Vista dei cookie di Facebook su Google Chrome

Come vedi non è che si capisca molto di quello che contiene.

Però Facebook con un cookie come questo è in grado di riconoscerci e ci permette di evitare di dover fare il login ogni volta che andiamo su facebook.com.

Questi sono i cookie a cui si riferisce la Cookie Law quando recita:

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

Cookie Law, Premessa, 1. Considerazioni Preliminari, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

I cookie intesi come file di testo memorizzati sul computer del navigatore, però, non sono l’unico strumento tecnico utile a riconoscere chi sta navigando un sito.

Esistono altri strumenti che permettono di riconoscere una persona che naviga un sito.

Questi strumenti sono molto potenti se ben configurati e permettono di tracciare la navigazione di una persona anche tra più dispositivi (“cross-device tracking“: dal computer al telefono, poi al tablet e poi di nuovo al computer e via dicendo).

Sono usati per due scopi principali:

  • Behavioral advertising;
  • Behavioral analytics;

Il “Behavior” è il “comportamento”: ti piacerebbe, per esempio:

  • Sapere quali prodotti ha visto un tuo cliente prima di scegliere cosa comprare e inoltrare l’ordine?
  • O sapere quali pagine dell’assistenza ha letto prima di contattare il tuo servizio clienti?
  • O quali prodotti ha visto prima di decidere di usare la chat per contattarti direttamente?

Tutto questo è possibile, e non lo si ottiene solo con i cookie.

Vedremo questi strumenti tra poco, parlando nel dettaglio di cosa siano i Cookie di Profilazione.

Per il momento ci interessa solo sapere e ricordarci che anche questi strumenti tecnologici, sebbene non siano strettamente dei cookie, sono considerati, però, come dei cookie di profilazione e ne seguono le stesse regole normative.

Capito cosa sono i cookie e chiarito che non sono solo i file di testo memorizzati nel computer dei navigatori, andiamo avanti e vediamo:

  1. Cosa sono i cookie tecnici;
  2. Cosa sono i cookie di profilazione;
  3. Cosa sono i cookie di terze parti.

Cosa sono i cookie tecnici

I cookie tecnici sono quelli che forniscono al navigatore alcune funzionalità che gli facilitano la navigazione.

Sono cookie tecnici, per esempio:

  • Quelli che gli permettono di accedere al proprio profilo senza dover eseguire ogni volta il login;
  • Di ritrovare i prodotti che aveva aggiunto al carrello anche dopo diversi giorni;
  • Di selezionare la lingua con cui vuole navigare il sito senza doverla impostare ogni volta.

Questi sono solo alcuni esempi, i più semplici.

I cookie tecnici possono fare molte più cose.

Per esempio, possono conteggiare il numero di accessi e raccogliere altre informazioni anonime e aggregate sui visitatori.

La Cookie Law definisce i cookie tecnici come:

[…] quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Cookie Law, Premessa, 1. Considerazioni Preliminari, a. Cookie Tecnici, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Attenzione: qui il termine “comunicazione” non indica, per esempio, un’email, ma indica la comunicazione che avviene tra un browser e un server, cioè la comunicazione necessaria ai computer per mostrare una pagina web.

Perché un cookie possa essere considerato tecnico, la Cookie Law richiede che sia rispettato solo un singolo, semplice criterio:

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

Cookie Law, Premessa, 1. Considerazioni Preliminari, a. Cookie Tecnici, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Più avanti vedremo meglio questo cosa significa realmente: ci sono molte variabili che influiscono sulla possibilità di definire tecnico un cookie.

Per il momento, in modo generico, tutti i cookie che servono solo ed esclusivamente per far funzionare un sito web o a raccogliere statistiche anonime e aggregate, possono essere considerati tecnici con quasi assoluta certezza.

La Cookie Law identifica 3 tipi di cookie tecnico:

  1. Cookie di navigazione o di sessione: “garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate)”;
  2. Cookie analytics: “assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso”;
  3. Cookie di funzionalità: “permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso”

Nota che riguardo ai cookie tecnici di analisi, la Cookie Law usa la parola “assimilati”: significa che nonostante non siano proprio dei cookie tecnici, vengono comunque considerati come se lo fossero.

Questo semplice parolina ci semplifica infinitamente la vita!

Cosa sono i cookie di profilazione

I cookie di profilazione sono quelli che permettono di creare un profilo personale del navigatore sulla base dei suoi comportamenti.

I cookie di profilazione sono usati soprattutto in due campi:

  • Behavioral advertising: identificandone le abitudini di acquisto, gli interessi, gli orientamenti (religioso, politico, sessuale, ecc.), puoi inviargli messaggi promozionali personalizzati e puoi mostrargli le tue pubblicità personalizzate anche su siti diversi dal tuo;
  • Behavioral analytics: ti permette di capire esattamente ogni singolo navigatore quali pagine visita e quali azioni compie per comprendere meglio le sue preferenze e poter così capire come ottimizzare il tuo sito, da un lato, offrirgli un servizio migliore attraverso la personalizzazione dei contenuti, dall’altro.

La Cookie Law dice in merito che:

sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete

Cookie Law, Premessa, 1. Considerazioni Preliminari, b. Cookie di profilazione, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Come anticipato, in linea molto generale, esistono altri identificativi univoci che possono essere usati per tracciare una persona, esattamente come si farebbe usando dei cookie di profilazione.

Per esempio, i telefonini forniscono una serie di identificativi univoci:

  • Identifier for Advertiser” (IDFA usato da iOS);
  • Advertising IDentifier” (AdID usato da Android);
  • Identifier for Vendor” (IDFV usato da iOS);

Questi servono per permettere il riconoscimento di un dispositivo su siti diversi e servono a mostrarti le pubblicità dei siti che sembrano inseguirti in giro per la rete: ecco come fanno a riconoscerti ovunque tu vada, si chiama re-marketing.

Schema del funzionamento delle liste di remarketing di Google Ads: sono basate sull’uso di cookie di profilazione e dei “device identifiers”.

Un altro strumento che si comporta come un cookie di profilazione è il cosiddetto “blank pixel.

Un blank pixel è un’immagine di 1×1 pixel che permette di sapere se un’email che abbiamo inviato è stata aperta, da chi e quando.

I blank pixel sono usati soprattutto nella marketing automation e per il lead nurturing, per creare dei funnel avanzati di conversione che portano alla fine (o dovrebbero portare) il destinatario ad acquistare ciò che vendiamo.

Un funnel email di conversione realizzato con ActiveCampaign.

Se vuoi approfondire questi concetti puoi leggere il post di approfondimento su cosa siano i cookie.

In questo momento ci interessa solo capire che anche questo tipo di tecnologie è considerata alla stregua di un cookie (di profilazione) dalla Cookie Law.

La Cookie Law lo dice chiaramente:

CONSIDERATO che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del presente provvedimento;

Cookie Law, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Cosa sono i cookie di terze parti

I cookie di terza parte sono quelli installati visitando il nostro sito ma usando dei sistemi informatici di cui non abbiamo il controllo diretto e per scopi e modalità di trattamento sulle quali allo stesso modo non abbiamo controllo diretto.

Quando usiamo Google Analytics, il pixel di Facebook, un sistema di behavioral analytics, installiamo dei cookie sui computer dei nostri visitatori ma lo facciamo:

  • Usando dei domini diversi dal nostro (e di cui non siamo titolari);
  • Inviando i dati a server diversi dal nostro;
  • Permettendo l’accesso ai dati ad altri soggetti oltre a noi (senza poter sapere con esattezza in ogni momento come vengono concretamente usati questi dati).

Google Analytics, per esempio, usa il dominio “google-analytics.com” per installare i cookie e processa i dati sui suoi server.

Facebook, invece, installa cookie che usa anche per studiare il comportamento dei navigatori fuori da Facebook.com, ma nessuno sa esattamente con quali modalità e con quali conseguenze.

Quindi, ogni volta che usiamo un servizio gestito da qualcuno diverso da noi, stiamo usando un servizio terzo e i cookie che queso servizio usa è automaticamente qualificato come “cookie di terza parte”.

La Cookie Law dice in merito:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo.

Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Cookie Law, Premessa, 2. Soggetti coinvolti: editori e “terze parti”, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

La normativa sui cookie

Prima di capire come si distinguono i vari tipi di cookie previsti dalla Cookie Law, è bene capire velocemente qual è la normativa prevista.

La normativa sui cookie non è complessa, più complesso è distinguerli.

Iniziamo dalle cose semplici, così più avanti sarà più facile capire come mettere a norma il nostro sito web.

La normativa sui cookie prevede 4 obblighi:

  1. Obbligo di Informativa Breve (il Cookie Banner o Cookie box);
  2. Obbligo di Informativa Estesa (la Cookie Policy);
  3. Obbligo di notifica del trattamento al Garante per la Protezione dei dati Personali;
  4. Obbligo di non installare alcun tipo di cookie diverso dai cookie tecnici.

I cookie che creano maggiori problemi sono quelli ibridi:

  • Cookie tecnici di analisi di terza parte (Google Analytics);
  • Cookie tecnici e di profilazione contemporaneamente (behavioral analytics);
  • Cookie di profilazione di terza parte di cui siamo contitolari.

Per capire bene la normativa, però, vediamo prima cosa bisogna fare per ciascun tipo preso singolarmente: dopo potremo analizzare i vari casi di cookie ibridi.

Di seguito verranno citate sia l’Informativa Breve che l’Informativa Estesa.

Per approfondire questi due obblighi, puoi leggere questi due articoli:

La normativa dei cookie tecnici

Quando il tuo sito installa cookie tecnici, la Cookie Law praticamente non pone alcun obbligo a tuo carico.

Puoi anche installarli subito, senza necessità di mostrare alcun cookie banner (Informativa Breve).

L’unica cosa che devi fare è spiegare nella Privacy Policy che usi dei cookie tecnici e perché li usi.

Non hai nemmeno l’obbligo di permettere di selezionare / deselezionare i singoli cookie: sono tecnici e servono per far funzionare il sito, quindi il navigatore non ha interesse nel disattivarli.

Il fatto che l’Informativa Breve (il cookie banner) possa non essere mai mostrato si deduce a contrario: quando parla del cookie banner, la Cookie Law menziona solo i cookie di profilazione e i cookie di terze parti.

Nelle FAQ, invece, si parla espressamente del caso in cui si installino solo cookie tecnici:

12. L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

Informativa e consenso per l’uso dei cookie, https://www.garanteprivacy.it/home/faq/informativa-e-consenso-per-uso-cookie

La normativa dei cookie di terza parte

I cookie di terza parte sono quelli installati da siti diversi dal tuo e sui quali non hai alcun controllo diretto circa le modalità di trattamento dei dati.

Il Garante per la Protezione dei Dati Personali è consapevole della difficoltà concrete che esistono nel tenere traccia di ogni cambiamento nel trattamento da parte della parte terza.

Le difficoltà individuate dal Garante sono essenzialmente quattro:

  1. L’editore spesso non ha i mezzi tecnici e economici per controllare l’operato della terza parte;
  2. L’editore spesso non conosce direttamente la terza parte (pensa a Google);
  3. Spesso ci sono degli intermediari;
  4. Spessissimo l’editore è la parte debole.

Questo è quanto recita la Cookie Law:

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie.
Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Cookie Law, Premessa, 2. Soggetti coinvolti: editori e “terze parti”, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Di fatto, quindi, la normativa sui cookie considera come un semplice intermediario tecnico chi concretamente conduce il sito che installa il cookie di terza parte.

Analogamente, per quanto concerne l´acquisizione del consenso per i cookie di profilazione, dovendo necessariamente – per le ragioni suesposte – tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste.
Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

Cookie Law, Premessa, 2. Soggetti coinvolti: editori e “terze parti”, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Per tutti questi motivi, quando si installano cookie di terza parte, non è nostra responsabilità l’uso che di essi fa chi li gestisce.

Il nostro ruolo consiste solo ed esclusivamente nell’informare il navigatore che il nostro sito installa cookie di terze parti.

Le regole che dobbiamo seguire sono semplici:

  1. Dobbiamo impedire che i cookie di terza parte siano installati prima che il navigatore abbia acconsentito;
  2. Dobbiamo fornire un’Informativa Breve (quindi dobbiamo mostrare il Cookie Banner);
  3. Dobbiamo fornire una Cookie Policy;
  4. Dobbiamo permettere al navigatore di abilitare o disabilitare il cookie attraverso la Cookie Policy.

La normativa dei cookie di profilazione

I cookie di profilazione sono quelli idonei alla creazione di un profilo del navigatore che permetta di comprenderne il comportamento sul sito, gli interessi, gli orientamenti e tutte le informazioni utili per poter capire chi è e cosa gli interessa, con il fine di inviargli messaggi personalizzati o di vendergli servizi o prodotti mirati.

Quando installiamo cookie di profilazione, dobbiamo rispettare le stesse regole previste per i cookie di terze parti.

In più, poiché effettuiamo una profilazione, dobbiamo inviare anche una notificazione al Garante per la Protezione dei Dati Personali in cui lo informiamo di questa pratica.

Quindi, la normativa sui cookie di profilazione prevede che:

  1. Non installiamo i cookie di profilazione senza aver ottenuto prima il consenso;
  2. Forniamo un’Informativa Breve (il Cookie Banner);
  3. Predisponiamo l’Informativa Estesa (la Cookie Policy);
  4. Dalla Cookie Policy permettiamo di abilitare o disabilitare i singoli cookie (o gruppi di cookie);
  5. Inviamo una notificazione al Garante per la Protezione dei Dati Personali per informarlo circa l’attività di profilazione.

Stante l’obbligo di inviare la notificazione al Garante, con i cookie di profilazione dobbiamo stare molto molto attenti quando questi cookie sono anche di terza parte (come nel caso di Facebook Ads, Google Ads, o di strumenti di analisi comportamentale come Amplitude o MixPanel).

È possibile, infatti, che la nostra posizione non sia qualificabile come di “intermediario tecnico” tipica dei cookie di terze parti (come nel caso di AdSense, per esempio), ma sia qualificabile come posizione di “contitolare del trattamento”.

Se la nostra posizione è di contitolare del trattamento e il cookie è di terza parte e di profilazione, infatti, dovremo anche notificare il Garante per la Protezione dei Dati Personali.

Questa situazione potrebbe non essere semplice da capire subito: il tema sarà approfondito meglio e chiarito tra qualche paragrafo: se non hai capito bene la differenza, la capirai tra qualche paragrafo, tranquillo 🙂

Per ora, cominciamo a capire come si distinguono tra loro i vari tipi di cookie.

Come si distinguono i vari tipi di cookie

Capire come si distinguono i vari tipi di cookie è fondamentale per capire qual è la normativa applicabile e quali sono gli obblighi cui dobbiamo ottemperare.

La parte complessa nella distinzione riguarda la possibilità di combinare i tipi di cookie: uno stesso cookie, infatti, può essere di più tipi contemporaneamente e capirne esattamente la natura può essere difficile se non si presta estrema attenzione.

Queste sono alcune delle possibili combinazioni:

  • Cookie tecnico di prima parte;
  • Cookie tecnico di terza parte (sistemi di pagamento, per esempio);
  • Cookie di tecnico di profilazione di prima parte (invio di messaggi mirati a tutti gli utenti che hanno scelto la lingua italiana);
  • Cookie di profilazione di prima parte;
  • Cookie di profilazione di terza parte e noi qualificati come intermediari tecnici (Google AdSense, ma anche, a certe condizioni, Google Ads o Facebook Ads);
  • Cookie di profilazione di terza parte e noi qualificati come contitolari (Google Ads, Facebook Ads, strumenti di analisi comportamentale).

Questi sono alcuni esempi.

Molti creano non pochi problemi.

Immagina, per esempio, di usare Google Ads o Facebook Ads: devi inviare la notificazione al Garante o non devi inviarla?

Vediamo di trovare le risposte, cominciando da quelle più semplici fino ad arrivare a quelle più complesse.

Come si distinguono i cookie di prima parte dai cookie di terza parte

Questa distinzione ormai dovrebbe essere chiara.

Oltre a quanto già detto, facciamo qualche esempio ulteriore per chiarire meglio il concetto.

Per distinguere un cookie di prima parte da un cookie di terza parte si usa un criterio di tipo soggettivo.

In pratica ci si chiede chi tratta (gestisce) concretamente questi dati.

La Cookie Law dice esattamente questo:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo.

Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Cookie Law, Premessa, 2. Soggetti coinvolti: editori e “terze parti”, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Quindi, facendo una prima distinzione molto netta:

  • I cookie sono di prima parte se sono installati da sistemi informatici di cui siamo titolari;
  • I cookie sono di terza parte se sono installati da sistemi informatici di cui non siamo titolari.

Quindi, per fare qualche esempio:

  • Se usiamo Google Analytics o Facebook Analytics, stiamo installando cookie di terza parte.
  • Quando navighiamo su Google.com o su Facebook.com, i cookie che installano sono cookie di prima parte.
  • Se usiamo un software come Matomo, che installiamo su un server nostro di cui abbiamo il diretto controllo, invece, stiamo installando dei cookie di prima parte.

A questo punto una possibile domanda potrebbe essere la seguente:

Cosa succede se il server che fa funzionare il mio sistema di tracciamento è di tipo managed?

Un server managed è giuridicamente nostro ma tecnicamente è gestito da altri, di solito la società che ce lo fornisce e che fisicamente lo ospita nelle proprie strutture (o in altre strutture di terzi, che hanno accesso alla macchina – il computer fisicamente inteso -, ma non hanno accesso ai dati che contiene).

Quello che succede, quindi, è questo:

  1. Il server che fa funzionare il software di tracciamento è intestato a noi;
  2. Al server hanno accesso altri soggetti, diversi rispetto a noi e a cui noi diamo mandato (atecnicamente parlando) di gestirlo e mantenerlo funzionante.

I cookie installati da questo server, sono di prima parte o di terza parte?

Se ci pensi, è una situazione molto simile a quella che si verifica con Google Analytics o con Facebook Analytics.

Però è simile, ma non è uguale.

Le differenze sono queste:

  1. I server su cui gira Google Analytics non sono tuoi, ma sono di Google; i server su cui gira Facebook Analytics, allo stesso modo, sono di Facebook, non sono tuoi;
  2. I domini da cui vengono installati i cookie non sono tuoi, ma sono di Google o di Facebook;
  3. Google accede ai dati che registra Google Analytics e accetti questo fatto quando sottoscrivi le Condizioni d’Uso di Google Analytics.
    Lo stesso discorso vale per Facebook Analytics.
    Con un server managed, invece, chi gestisce tecnicamente il sito non accede ai dati e, se lo fa, non lo fa autonomamente, ma sempre su tua richiesta espressa (quando è disposto a farlo!).

Per capirci ancora più chiaramente, questo è quanto scrive Google:

Google opera come responsabile del trattamento dei dati per Google Analytics. […]

Google Analytics è responsabile del trattamento dei dati ai sensi del GDPR, perché raccoglie ed elabora i dati per conto dei clienti di Google, in base alle loro istruzioni. I nostri clienti sono responsabili del trattamento dei dati e mantengono tutti i diritti su raccolta, accesso, conservazione e cancellazione dei propri dati in qualsiasi momento. L’utilizzo dei dati da parte di Google è controllato dai termini del contratto con i clienti di Google Analytics e da qualsiasi impostazione attivata dai clienti attraverso l’interfaccia utente del nostro prodotto.

Salvaguardia dei dati, Google come responsabile del trattamento dei dati, https://support.google.com/analytics/answer/6004245?hl=it

Per questo, quindi, i cookie installati da Google Analytics o da Facebook Analytics sono di terza parte; i cookie installati da te, magari anche attraverso un server managed, sono cookie di prima parte.

La Cookie Law impone in via generale di non installare i cookie di terza parte prima di ottenere il consenso.

Poiché questi sono anche cookie di analisi, però, possono essere installati anche senza consenso se sono anonimi.

Il fatto che siano di terza parte, inoltre, impone comunque di rispettare il resto della normativa per essi prevista in tema di Informativa Breve (cookie banner) e Informativa Estesa (Cookie Policy).

Di questo parleremo più approfonditamente tra poco, parlando della normativa dei cookie tecnici di analisi di terza parte.

Come si distinguono i cookie tecnici e i cookie di profilazione

Comprendere bene come si distingue un cookie tecnico da un cookie di profilazione è fondamentale: i cookie tecnici possono essere installati subito, anche se non abbiamo ancora ottenuto il consenso dal navigatore.

Questo significa, per esempio, che possiamo comunque tracciare la visita (anche se possiamo farlo solo anonimamente).

Rileggiamo velocemente cosa è scritto nella Cookie Law in merito alla distinzione tra cookie tecnici :

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

[…]

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

Cookie Law, Premessa, 1. Considerazioni Preliminari, a. Cookie Tecnici, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Con il termine “servizio” la Cookie Law intende quello che chiameremmo “funzionalità”.

Con questa accezione, quindi, sono cookie tecnici quelli che permettono di:

  • Eseguire il login;
  • Memorizzare il carrello;
  • Scegliere la lingua in cui visualizzare il sito.

Questi tre esempi possiedono i requisiti previsti dalla normativa sui cookie:

  • Sono richiesti dal navigatore (che la Cookie Law chiama “abbonato”);
  • Sono “strettamente necessari”;
  • Non vengono utilizzati per scopi ulteriori.

La differenza tra i cookie tecnici e i cookie di profilazione sta tutta negli scopi ulteriori.

Immagina che il navigatore abbia aggiunto al carrello alcuni prodotti: il tuo sito e-commerce memorizza un cookie che ne tiene traccia.

Quando il navigatore tornerà sul tuo sito, nel carrello saranno ancora presenti quegli stessi prodotti.

Fin quei il cookie può tranquillamente essere considerato un cookie tecnico.

A questo punto immagina un ulteriore passaggio: cominci a leggere quel cookie e, per ogni prodotto che trovi, cominci a evidenziare alcuni prodotti correlati con lo scopo di spingere il navigatore ad acquistarli.

Ecco, in men che non si dica, quello che era un semplice cookie tecnico si è appena trasformato in un cookie di profilazione.

Quindi, fin quando memorizzi i prodotti semplicemente per ricreare il carrello ad ogni visita successiva, allora stai usando un cookie tecnico.

Poiché è un cookie tecnico:

  • Puoi installarlo subito, anche senza consenso;
  • Non sei tenuto a mostrare il cookie banner;
  • Non sei tenuto a creare una cookie policy ad hoc;
  • Devi menzionare la funzionalità nella Privacy Policy generica.

Non importa che il cookie sia usato se nell’arco di 3 secondi o nell’arco di 3 giorni: è un semplice cookie tecnico.

Ma nel momento in cui con le informazioni di questo cookie cominci a eseguire attività volte a incrementare le vendite come evidenziare i prodotti correlati, allora stai trasformando quel cookie tecnico in un cookie di profilazione.

Questo significa che:

  • Devi mostrare l’informativa breve (cookie banner);
  • Non puoi evidenziare i prodotti prima di aver ottenuto il consenso;
  • Devi creare un’Informativa Estesa specifica per i cookie (Cookie Policy);
  • Devi permettere al navigatore di disattivare dalla Cookie Policy la funzionalità di “suggerimento degli altri prodotti”;
  • Devi inviare al Garante una notificazione circa quest’attività di profilazione.

Come vedi, lo stesso cookie può essere considerato un cookie tecnico o un cookie di profilazione semplicemente modificando l’uso che fai delle informazioni che contiene.

Per questo è importante capire questa distinzione: per implementare la funzionalità di suggerimento personalizzato dei prodotti probabilmente spendi poche decine di Euro per acquistare un plugin o un’estensione.

Per installare e configurare l’estensione impieghi magari pochi minuti: è tutto molto facile.

Però, se ti dimentichi di ottemperare agli obblighi di legge previsti quando installi cookie di profilazione, rischi di dover pagare sanzioni anche molto salate:

  • La sanzione amministrativa per l’omessa informativa va da 6.000 Euro a 36.000 Euro;
  • La sanzione amministrativa per l’installazione del cookie (o il suo uso per scopi ulteriori) senza il preventivo consenso va da 10.000 Euro a 120.000 Euro (centoventimila);
  • La sanzione per l’omessa o incompleta notificazione al Garante, va da 20.000 a 120.000 Euro.

Forse forse ti conviene capire molto molto bene la distinzione tra un cookie tecnico e un cookie di profilazione!

Questo non è l’unico esempio di cookie che da tecnico diventa di profilazione.

Esistono molte altre situazioni in cui un cookie che a prima vista appare di un tipo si rivela essere in concreto di un altro tipo.

Potremmo definirli “cookie ibridi” e come ti sarai accorto sono molto pericolosi per le nostre casse.

I Cookie ibridi

I cookie ibridi non sono ufficialmente previsti dalla Cookie Law.

La Cookie Law si limita a elencare e normare solo i cookie tecnici e i cookie di profilazione e aggiunge alcune regole da seguire a seconda che siano di prima parte o di seconda parte.

L’unica ipotesi che prevede riguarda i cookie tecnici di analisi di prima parte: in questo caso, dice che “possono essere assimilati ai cookie tecnici” (cioè, considerati come se fossero), ma solo se sussistono alcune condizioni molto precise:

  1. Il cookie raccoglie dati anonimi;
  2. I dati raccolti sono usati solo dal gestore del sito;
  3. I dati raccolti servono per finalità di ottimizzazione o studio delle pagine visitate;
  4. I dati sono raccolti in forma aggregata.

Il Garante per la Protezione dei Dati Personali, inoltre, precisa che i cookie di analisi in ogni caso non sono cookie tecnici: semplicemente vengono considerati come se lo fossero nel caso sussistano le condizioni che abbiamo appena visto.

La Cookie Law omette completamente di considerare tutte quelle situazioni in cui un cookie è contemporaneamente di più tipi.

Per esempio, nella realtà potrebbe verificarsi che un cookie sia:

  1. Di analisi, ma di terza parte (vedi Google Analytics);
  2. Di profilazione, ma di terza parte e noi siamo considerati semplici intermediari tecnici (vedi Google AdSense)
  3. Di profilazione, ma di terza parte e noi siamo contitolari del trattamento (vedi Facebook Ads o Google Ads).

Questi sono solo alcuni dei casi più comuni, ma ce ne sono molti altri.

Per esempio, come ci comportiamo con i cookie che installa Stripe?

Tutte queste casistiche non sono assolutamente prese in considerazione dalla Cookie Law.

L’unica via che abbia per capire come comportarci è analizzare ciascun caso possibile e cercare di ricavare delle regole che siano quanto più possibile aderenti alla Cookie Law.

L’argomento dei cookie ibridi è molto lungo e complesso.

Se vuoi approfondirlo, puoi leggere il post dedicato “Come individuare la normativa da rispettare quando usi dei cookie di tipo ibrido”.

Conclusioni

La normativa sui cookie è molto semplice.

Per capire come devi comportarti devi solo capire se usi il cookie per offrire una funzionalità o per eseguire misurazioni anonime o se, invece, usi quei cookie per profilare il navigatore e inviargli dei messaggi pubblicitari personalizzati.

Inoltre devi ottemperare a obblighi diversi a seconda che i cookie siano di prima parte (gestiti direttamente da te) o di terza parte.

In generale, gli obblighi previsti sono questi:

  1. Astenerti dall’installare i cookie prima di aver ottenuto il consenso;
  2. Mostrare un’Informativa Breve (cookie banner);
  3. Predisporre un’Informativa Estesa (Cookie Policy);
  4. Permettere di abilitare / disabilitare i singoli cookie dalla Cookie Policy;
  5. Inviare una notificazione al Garante per la Protezione dei Dati Personali.

La semplicità della normativa sui cookie, però, è anche la causa della sua enorme complessità quando si tratta di capire quale normativa rispettare quando si usano cookie che non sono solo di un tipo o solo di un altro ma che, invece, presentano caratteristiche proprie di più di un tipo di cookie.

Per aiutarci a districarci meglio nella normativa, il Garante ha realizzato un’infografica riassuntiva che ci aiuta a capire cosa dobbiamo fare in particolari circostanze:

Tutti gli obblighi previsti dalla cookie law e i casi in cui vanno rispettati.
Clicca sull’immagine per ingrandirla.

Quest’infografica non è di certo esaustiva, ma è di sicuro aiuto nella stragrande maggioranza dei casi.

3 Condivisioni

Ti è piaciuto questo post?
Puoi ringraziarci con un semplicissimo Mi Piace 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti sta piacendo questo post?
Puoi ringraziarci con un like!