Cookie di Analisi

Sono di analisi i cookie che servono a misurare il traffico ricevuto da un sito web, a misurare l’efficacia di azioni di marketing o di scelte di design e, in generale, a misurare aspetti tecnico-informatici in modo anonimo.

I Cookie di Analisi in breve

Il concetto di Cookie di Analisi è di natura giuridica ed è stato introdotto dalla normativa sui cookie.

I Cookie di Analisi o Cookie Analytics sono fondamentali per i webmaster poiché gli permettono di comprendere come le proprie scelte impattano sulle prestazioni dei siti web che gestiscono.

I Cookie Analytics sono assimilati ai Cookie Tecnici quando sono anonimi. Se non sono anonimi, allora essi non possono essere considerati dei cookie tecnici e non possono, quindi, seguirne la normativa.

Caratteristica fondamentale di un Cookie di Analisi, infatti, è l’anonimia: nel momento in cui tali cookie sono usati per identificare uno specifico navigatore o dispositivo, sia in via diretta che in via indiretta, anche solo astrattamente, allora quel cookie non è più assimilabile a un cookie di analisi.

Per comprendere la normativa applicabile, è fondamentale considerare la natura soggettiva dei Cookie di Analisi:

Se sono di prima parte:

• Possono essere installati subito, senza che sia necessario il previo consenso del navigatore;
• Non è necessario creare una Cookie Policy ad hoc ma devono essere menzionati almeno nella privacy policy generale del sito;
• NON è necessario mostrare l’Informativa Breve.

Se sono di terza parte:

• Possono comunque essere installati subito, senza previo consenso del navigatore;
• Serve una cookie policy ad hoc;
• SI DEVE mostrare l’Informativa Breve.

La definizione giuridica di Cookie di Analisi

La prima definizione giuridica dei Cookie di Analisi è contenuta nel regolamento per l’”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, comunemente indicato anche come “Legge sui Cookie” o “Cookie Law”, emanato dal Garante per la Protezione dei Dati Personali l’8 maggio 2014 (provvedimento n. 229).

Nella Premessa, nella Parte 1, “Considerazioni preliminari”, il Garante scrive che:

[…] cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso […]

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari, a. Cookie tecnici

Nel successivo provvedimento del 2021 “Linee guida cookie e altri strumenti di tracciamento”, il Garante dedica ai Cookie di Analisi un intero paragrafo nel quale spiega in dettaglio le procedure da seguire per renderli completamente anonimi (v. infra).

Nel provvedimento del 2021, il Garante per la Protezione dei Dati Personali scrive in merito ai Cookie di Analisi che essi:

[…] possono anche essere utilizzati, tra l’altro, per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Cos’è un Cookie di Analisi

I Cookie di Analisi sono una categoria di cookie programmata per tenere traccia dei dispositivi che accedono a un sito web e comprendere come questo dispositivo lo naviga ma mantenendone l’anonimato.

È ovvio che, poiché il dispositivo è usato da una persona, questo tipo di analisi permette di capire come le persone navigano il sito, su quali pagine arrivano, da quali pagine escono, per quanto tempo ci rimangono, quante volte tornano, ecc.

Questo tipo di analisi può essere condotta in forma anonima senza che i dati risultanti siano falsati: non è necessario sapere esattamente quale persona ha eseguito l’azione: è sufficiente sapere che un determinato numero di persone l’ha eseguita.

Con i Cookie di Analisi, quindi, è possibile condurre analisi in forma aggregata e anonima per comprendere meglio cosa è possibile migliorare sul sito web per ottenere il risultato desiderato.

Proprio l’anonimia è la caratteristica fondamentale che un Cookie di Analisi deve possedere e il provvedimento del 2021 parla in modo molto approfondito di questo particolare requisito.

Quando si possono installare i Cookie di Analisi

I Cookie di Analisi possono essere installati subito, al primo accesso del navigatore al sito web e non richiedono alcun tipo di autorizzazione o consenso.

Se sono Cookie di Analisi di terza parte, invece:

• Comunque possono essere installati subito;
• Comunque non è necessario ottenere un previo consenso dal navigatore;
• Si deve mostrare l’Informativa Breve;
• Ci si deve assicurare che il contratto con la terza parte preveda che quest’ultima non userà i dati per profilare i navigatori.

Quindi, l’unico obbligo cui ottemperare è quello di mostrare l’Informativa Breve se il Cookie di Analisi è di terza parte.

Se è di prima parte, basta informare i navigatori che si usa questo tipo di cookie, indicarne la funzione e tutto questo lo si può fare anche nella privacy policy generica.

La normativa dei Cookie di Analisi

La normativa sui Cookie di Analisi è contenuta in:

• Regolamento Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – n.229 dell’8 maggio 2014 [3118884] (provvedimento del Garante per la Protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014);
• Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876] (provvedimento del Garante per la Protezione dei Dati Personali, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021).

Utile ai fini della comprensione della normativa è anche il provvedimento “Chiarimenti in merito all’attuazione della normativa in materia di cookie [4006878]” del 5 giugno 2015.

Già la normativa sui cookie del 2014 li ricomprendeva nella categoria dei Cookie Tecnici e li assoggettava alla disciplina prevista per quelli.

Il provvedimento del 2021 è ancora più chiaro e esplicitamente dice che:

[…] possono essere ricompresi nella categoria di quelli tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni. […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

I cookie di analisi di terza parte

Quando fu emanato il primo provvedimento sui cookie nel 2014 ci fu parecchia confusione e non era molto chiaro cosa si potesse o non si potesse fare o come lo si dovesse fare.

Questo era vero soprattutto per il caso dell’uso di strumenti di tracciamento erogati da terze parti, uno su tutti Google Analytics.

I cookie che installa Google Analytics, infatti, sono di analisi il più delle volte (salvo configurazioni particolari e altamente profilanti) ma sono pur sempre installati da un soggetto terzo rispetto al gestore del sito web e sono, quindi, di certo anche cookie di terza parte.

Il Garante ha provveduto nel 2015 a pubblicare dei chiarimenti in cui affrontava anche questo aspetto e lo faceva in modo esplicito e diretto (“Chiarimenti in merito all’attuazione della normativa in materia di cookie [4006878]” del 5 giugno 2015).

In quei chiarimenti, in merito ai cookie di analisi di terza parte, il garante scrive che:

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

Chiarimenti in merito all’attuazione della normativa in materia di cookie [4006878], 2. Utilizzo di cookie analitici di terze parti

Affinché questi cookie di terza parte siano assimilabili a propria volta ai cookie di analisi, quindi, è necessario che siano rispettati due requisiti:

1. Che i dati raccolti siano anonimizzati;
2. Che la terza parte si impegni contrattualmente con l’editore a non usarli in nessun caso per scopi di profilazione.

L’anonimia: il requisito fondamentale dei Cookie di Analisi

Come detto, l’unico requisito fondamentale che un cookie deve possedere per essere qualificato “di analisi” è l’anonimia.

Il provvedimento del 2021 lo dice in modo esplicito:

Affinché i cookie analytics siano equiparati ai tecnici è […] indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out), il che equivale impedire l’impiego di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Il Garante tiene particolarmente a che i navigatori siano tracciati solo dopo che ne siano perfettamente consapevoli. Soprattutto ci tiene a che i siti web non diventino dei “cavalli di Troia” attraverso i quali altri soggetti, diversi dai gestori dei singoli siti web, siano in grado di ricostruire i profili psico-grafici dei navigatori con il fine di comprenderne a fondo i gusti e gli orientamenti ed essere in grado, così, di veicolargli pubblicità estremamente mirate (o usare queste informazioni per altri scopi più o meno chiari).

Per questa ragione, quando i cookie di analisi sono di terza parte, impone:

[…] il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”. […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Questo in ossequio al principio della Privacy by design così come espresso anche dall’art. 25 del Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR – General Data Protection Regulation).

Come si rende anonimo un Cookie di Analisi

Affinché un Cookie di Analisi possa dirsi anonimo è necessario che esso non sia in grado di essere associato a una persona in particolare (non solo a un dispositivo, ma proprio a una persona – si pensi, per esempio, al caso di un dispositivo usato da una persona che abbia eseguito il login e che sia, quindi, autenticata e riconoscibile nella sua individualità).

Il Garante, quindi, impone che:

[…] La struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso cookie sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Questo risultato si ottiene con la pratica del “mascheramento dell’indirizzo IP”.

L’indirizzo IP è un numero associato a ogni singolo dispositivo su una rete informatica: che sia il router di casa o l’intera Internet, ciascuno dei nostri dispositivi ha un indirizzo IP. Senza scendere troppo in dettagli tecnici, un indirizzo IP permette di mettere in comunicazione due dispositivi diversi, siano essi il telefono e il computer oppure il nostro browser con il sito che vogliamo navigare.

Per verificare quale sia il tuo indirizzo IP, puoi scrivere su Google “what’s my ip“.

Come vedi, un indirizzo IP è formato da 4 terne numeriche che vanno da 000 a 255, separate da un punto.

Quello nell’immagine è un indirizzo IPv4. Esiste anche una versione IPv6. La differenza è una questione molto tecnica ma a noi basta sapere che:

• Gli indirizzi IPv4 sono a 32 bit mentre gli indirizzi IPv6 sono a 128 bit;
• Per il momento vengono usati sia indirizzi IPv4 che indirizzi IPv6 e che in futuro gli IPv4 verranno dismessi.

Al di là delle questioni tecnico-informatiche più profonde, per rendere anonimo un qualunque indirizzo IP basta non memorizzare l’ultima terna: a quel punto l’indirizzo IP può riferirsi a una molteplicità di dispositivi ed è stato, così, anonimizzato.

Il Garante lo spiega esplicitamente (dimostrando, tra l’altro, di sapere molto bene di cosa sta parlando e cosa sta andando a regolamentare):

[…] una delle misure implementabili […] consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%).

Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6) […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Non a caso Guido Scorza, il Garante che ha scritto ed emanato il provvedimento, è uno degli studiosi più autorevoli in tema di Diritto di Internet e delle Nuove Tecnologie e uno dei massimi esperti di privacy in Italia.

Questo è esattamente il procedimento di anonimizzazione che usa Google per il suo Analytics se quando lo si configura adeguatamente.

Affinché il Cookie di Analisi sia assimilabile a un Cookie Tecnico, quindi, è sempre necessario che esso sia anonimo, indipendentemente dal fatto che esso sia di prima o di terza parte.

Nel caso si usino sitemi di analisi di terza parte, il Garante precisa che tali terzi non debbano comunque, in alcun caso e in alcun modo, procedere a ricombinare o ricostruire i dati per ottenere una identificazione dei singoli dispositivi o delle singole persone:

Resta inteso pertanto che i soggetti terzi, che forniscono al publisher il servizio di web measurement, non dovranno comunque combinare i dati, anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) nè trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Questo vale, ovviamente, anche quando tale ricostruzione sia “ordinata” dallo stesso Editore, magari per creare pubblici personalizzati o liste di retargeting: questa sarebbe profilazione e i relativi cookie, quindi, sarebbero cookie di profilazione.

Cross-site e cross-app tracking

Il cross-site tracking consiste nel tracciare una persona su più dispositivi diversi, collegando i dati raccolti da ciascuno e incrociandoli per ricostruire l’intero percorso che ha seguito nell’uso di diversi dispositivi.

Questo è possibile, per esempio, nel caso in cui la persona esegua il login sul sito.

Lo stesso discorso vale per il cross-app tracking, ma quando eseguito tra applicazioni diverse.

Da un punto di vista tecnico-informatico è anche possibile eseguire contemporaneamente sia il cross-site tracking che il cross-app tracking, riuscendo, così, a tracciare i comportamenti di una persona non solo tra siti e dispositivi diversi ma anche tra applicazioni diverse anche su dispositivi diversi.

Il Garante esplicitamente esclude che i cookie usati in questo modo possano essere qualificati come Cookie di Analisi specificando:

[…] la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi. […]

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti

Con questo paragrafo il Garante si riferisce ai sistemi di analisi di terza parte che, avendo a disposizione i dati di più siti diversi facenti capo a Editori diversi, può ricostruire il percorso di un navigatore attraverso il web.

Qualora dovessero effettivamente farlo, allora i relativi cookie non sarebbero più qualificabili come tecnici ma sarebbero da qualificare come Cookie di Profilazione.

Sia il cross-site tracking che il cross-app tracking, tuttavia, sono ammessi e leciti qualora le varie proprietà tracciate facciano capo a uno stesso editore: in questo caso, si può anche evitare di anonimizzare l’indirizzo IP a patto che i dati non siano incrociati per essere elaborati al fine di ottenere informazioni da usare poi per fini commerciali (quindi, in breve, per profilare i navigatori):

È tuttavia possibile reputare lecito, anche in assenza dell’adozione delle prescritte misure di minimizzazione, il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale.

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7.2 I cookie analytics di prima parte e delle cd. terze parti