a b c d e f g h i j k l m n o p q r s t u v w x y z

Cookie di Profilazione

Vuoi vendere online?
Crea il tuo e-commerce con i nostri esperti qualificati!

Sono di profilazione l cookie usati dall’editore di un sito web per costruire il profilo personale di un proprio navigatore sulla base dei suoi comportamenti di navigazione.

Contenuti nascondi

1. I Cookie di Profilazione in breve
2. La definizione giuridica di Cookie di Profilazione
3. Cos’è un Cookie di Profilazione
4. Quando si possono installare i Cookie di Profilazione
5. La normativa dei Cookie di Profilazione
6. Cookie di profilazione e Legittimo interesse
7. Tecnologie profilanti analoghe ai Cookie di Profilazione
8. Le sanzioni previste

I Cookie di Profilazione in breve

Il concetto di Cookie di Profilazione è di natura giuridica ed è stato introdotto dalla Legge sui Cookie.

I Cookie di profilazione sono idonei alla creazione di un profilo psico-grafico del navigatore che permetta di comprenderne il comportamento sul sito, gli interessi, gli orientamenti di qualsiasi tipo e, in generale, permettano di raccogliere, ed eventualmente incrociare con altre, proprie o di terze parti, tutte le informazioni utili per poter capire chi è e cosa gli interessa, con il fine di inviargli messaggi personalizzati o di vendergli servizi o prodotti mirati o di personalizzarne la navigazione sul sito oltre il minimo necessario.

Essi rientrano nella categoria degli “Identificatori Attivi”.

La normativa sui Cookie di profilazione prevede che:

Non installiamo i Cookie di profilazione senza aver ottenuto prima il consenso;
Forniamo un’Informativa Breve (il Cookie Banner);
Predisponiamo l’Informativa Estesa (la Cookie Policy);
Dalla Cookie Policy o dalla Cookie icon permettiamo di abilitare o disabilitare i singoli Cookie (o gruppi di Cookie);
Inviamo una notificazione al Garante per la Protezione dei Dati Personali per informarlo circa l’attività di profilazione (solo se sono Cookie di profilazione di prima parte).

La definizione giuridica di Cookie di Profilazione

La prima definizione giuridica dei Cookie di Profilazione è contenuta nel regolamento per l’”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei Cookie”, comunemente indicato anche come “Legge sui Cookie” o “Cookie Law”, emanato dal Garante per la Protezione dei Dati Personali l’8 maggio 2014 (provvedimento n. 229).

Nella Premessa, nella Parte 1, “Considerazioni preliminari”, il Garante scrive che:

[…] sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari, b. Cookie di profilazione

Successivamente il Garante per la Protezione dei Dati Personali espande questa definizione nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.

Nella Parte “4. La classificazione dei cookie ed altri strumenti di tracciamento”, descrivendo i Cookie di profilazione, scrive:

[…] utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 4. La classificazione di cookie ed altri strumenti di tracciamento

Da quest’ultima, più recente, definizione, emerge chiaramente come siano considerati “di profilazione” non solo i Cookie che permettono di inviare messaggi pubblicitari personalizzati, ma anche quelli che permettono di personalizzare la navigazione a un livello superiore al minimo necessario.

Cos’è un Cookie di Profilazione

I Cookie di profilazione sono una categoria di Cookie programmata per permettere il riconoscimento di una persona anche quando naviga su siti diversi o usa dispositivi diversi. Il riconoscimento permette di analizzare e studiare le abitudini di navigazione di un navigatore e costruire di lui, così, un profilo personale psico-grafico.

I Cookie di profilazione sono usati soprattutto in due campi:

Behavioral advertising: identificandone le abitudini di acquisto, gli interessi, gli orientamenti (religioso, politico, sessuale, ecc.), puoi inviargli messaggi promozionali personalizzati, puoi mostrargli le tue pubblicità personalizzate anche su siti diversi dal tuo, puoi personalizzarne la navigazione così che compia le azioni che desideri compia;
Behavioral analytics: ti permette di capire esattamente ogni singolo navigatore quali pagine visita e quali azioni compie per comprendere meglio le sue preferenze e poter così capire come ottimizzare il tuo sito, da un lato, e offrirgli, attraverso la personalizzazione dei contenuti, un servizio maggiormente aderente a quelle che credi siano le sue aspettative , dall’altro.

I dati così raccolti possono essere incrociati con altre informazioni raccolte anche senza l’uso dei Cookie che, alla fine, restituiscono un profilo psico-grafico molto accurato del navigatore, permettendo agli editori di veicolargli messaggi pubblicitari estremamente mirati. Tale pratica si definisce “enrichment”.

I Cookie di Profilazione permettono di attuare tattiche di retargeting e di remarketing che prevedono che un inserzionista raggiunga lo stesso dispositivo (e quindi ragionevolmente la stessa persona) molteplici volte nel corso del tempo, esponendolo ripetutamente al proprio messaggio pubblicitario, allo scopo di costruire familiarità con la persona colpita.

Schema del funzionamento delle liste di remarketing di Google Ads: sono basate sull'uso di cookie di profilazione e dei "device identifiers". — Schema del funzionamento delle liste di remarketing di Google Ads: sono basate sull’uso di cookie di profilazione e dei “device identifiers”.

I Cookie di Profilazione sono anche alla base del funzionamento di strumenti per l’analisi comportamentale (Behavioral Analytics) che permette di monitorare e valutare l’efficacia degli sforzi pubblicitari.

I CRM più avanzati sono in grado di tracciare le pagine viste da un navigatore. La cronologia così costruita, tra le altre cose, può tornare molto utile ai venditori che così sapranno meglio indirizzare le proprie offerte verso l’interlocutore potenziale-cliente.

I CMS, opportunamente configurati, possono anche personalizzare le pagine per ciascun navigatore, conoscendone lo storico di navigazione e le abitudini.

Quando si possono installare i Cookie di Profilazione

I Cookie di profilazione possono essere installati sul dispositivo del navigatore solo dopo che si sia ricevuto il consenso esplicito e inequivocabile a farlo.

Il consenso all’installazione può essere raccolto:

Nell’Informativa Breve (il cookie banner);
Nell’Informativa Estesa (la Cookie policy);
Cliccando sulla Cookie icon (un’eventuale icona presente in tutte le pagine del sito dalla quale si può accedere alla gestione dei Cookie).

La normativa dei Cookie di Profilazione

La normativa sui Cookie di profilazione è contenuta in:

Regolamento Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – n.229 dell’8 maggio 2014 [3118884] (provvedimento del Garante per la Protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014);
Codice in materia di protezione dei dati personali;
Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016);
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876] (provvedimento del Garante per la Protezione dei Dati Personali, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021).

Essa prevede che:

Si predisponga un’informativa breve rispettando il principio della Privacy by default;
Si predisponga un’informativa estesa;
Si permetta la selezione / deselezione di singoli Cookie o categorie di essi;
Notificazione della profilazione al Garante per la Protezione dei Dati Personali;
Astensione dall’installazione dei Cookie di profilazione in assenza di preventivo consenso.

Informativa breve

Nella premessa 1 della Legge sui Cookie, il Garante scrive che:

In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.
Ad essi si riferisce l’art. 122 del Codice […]
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari, b. Cookie di profilazione

L’Informativa Breve deve rispettare requisiti tecnico-informatici stringenti, dettati direttamente dalla normativa sui Cookie.

Per approfondire questi aspetti, leggi il lemma Informativa Breve.

Princìpi dell’opt-in e della privacy by default

Le Linee guida sui Cookie e gli altri strumenti di tracciamento esplicitamente prevedono che:

[…] i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. E ciò in base alla norma tuttora applicabile alla fattispecie, ossia l’art. 122 del Codice […]
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile

L’art. 122, comma 1, del Codice in Materia di Protezione dei Dati Personali, al primo periodo, recita:

L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. […]

Questa frase si riferisce a tutti gli altri Cookie che non siano tecnici, quindi si riferisce ai Cookie di profilazione e, per assimilazione esplicita ad opera della normativa, ai Cookie di terze parti.

Sancisce il principio dell’opt-in in base al quale prima di poter eseguire un trattamento è necessario ottenere un consenso esplicito dall’interessato (il navigatore).

In assenza di consenso preventivo, devi astenerti dal trattamento, quindi non puoi installare i Cookie di profilazione.

Il concetto è ripreso e ribadito anche dalle Linee guida sui Cookie e gli altri strumenti di tracciamento:

[…] per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Questo risultato costituisce un obbligo espressamente codificato il cui mancato adempimento è sanzionabile ai sensi del Regolamento.
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento, 7.1 Il meccanismo di acquisizione del consenso

In ossequio al principio della Privacy by Default, affinché il consenso prestato sia valido, è necessario che l’Informativa Breve presenti delle caselle selezionabili che siano deselezionate in via predefinita: in pratica non puoi mostrarle già preselezionate confidando sul fatto che il navigatore poi, per fretta, distrazione o superficialità, si limiti ad accettare e chiudere l’Informativa Breve.

Questo è quanto scrive il Garante nelle Linee guida:

[…] il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie, e che pertanto l’utente possa, esclusivamente, accettarne, anche appunto in modo granulare, il posizionamento.
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 7. La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento, 7.1 Il meccanismo di acquisizione del consenso

Informativa estesa (Cookie policy)

L’Informativa Estesa, oltre a tutte le altre informazioni richieste, deve permettere di selezionare e deselezionare i singoli Cookie (o gruppi omogenei di Cookie) così da poter modificare le proprie preferenze circa i Cookie di profilazione che desidera o non desidera siano installati sul suo dispositivo.

Per approfondire questi aspetti, leggi il lemma Informativa Estesa.

La notifica al Garante per la Protezione dei Dati Personali in caso di uso di Cookie di Profilazione

Nel caso in cui facessi uso di Cookie di profilazione, la normativa sui Cookie espressamente richiede che sia inviata comunicazione di questa pratica al Garante per la Protezione dei Dati Personali.

5. Notificazione del trattamento.
Si ricorda che l’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti“.
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 5. Notificazione del trattamento.

Bisogna distinguere, a tal proposito, tra:

Cookie di profilazione di prima parte;
Cookie di profilazione di terza parte.

Se per i Cookie di profilazione di prima parte non c’è alcun dubbio che l’obbligo di notificazione debba essere ottemperato, problemi sorgono quando la profilazione è eseguita mediante uso di Cookie di profilazione di terza parte. In tale ultimo caso è caldamente consigliato il consulto con un avvocato abilitato e specializzato.

Cookie di profilazione e Legittimo interesse

Quella del Legittimo Interesse è una delle basi giuridiche previste dal GDPR utilizzabili per giustificare uno o più trattamenti di dati personali e/o sensibili delle persone tutelate dal regolamento.

Tale base giuridica è stata in passato utilizzata per legittimare l’uso di Cookie di profilazione, talvolta senza nemmeno il preventivo ottenimento del consenso da parte del navigatore.

Nelle Linee guida sui Cookie e gli altri strumenti di tracciamento, il Garante per la Protezione dei Dati Personali vieta espressamente l’uso di questa base giuridica per legittimare il trattamento in assenza di previa prestazione del consenso da parte dell’interessato-navigatore:

In nessun caso sarà pertanto possibile invocare ad esempio, come è stato invece osservato nel corso delle verifiche effettuate su diversi siti web, la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 5. Normativa applicabile

Sebbene il Garante sia fermo nel divieto, non si può fare a meno di considerare che ci sono situazioni particolari che effettivamente potrebbero, in via astratta, rientrare effettivamente nel raggio del Legittimo interesse.

Si pensi, a titolo di esempio, al tracciamento eseguito da applicazioni come Stripe che hanno lo scopo non già di profilare i navigatori perseguendo finalità promozionali bensì perseguendo finalità di sicurezza nei pagamenti e prevenzione delle frodi. Strumenti come Radar di Stripe potrebbero rientrare nel Legittimo interesse a dispetto di quanto pensi (e statuisca) il Garante.

È da precisare, tuttavia, che la precedente è una pura speculazione, non suffragata, al momento, da alcuna evidenza giuridica: è necessario sempre consultare un legale abilitato e specializzato per individuare il percorso corretto da seguire.

Tecnologie profilanti analoghe ai Cookie di Profilazione

Esistono altre tecnologie in grado di permettere la costruzione del profilo psico-grafico del navigatore. Esse sono affiancate all’uso dei Cookie di profilazione con lo scopo di raccogliere quante più informazioni è possibile sulla persona che viene tracciata e sui dispositivi che usa.

Tra queste tecnologie rientrano:

Gli identificativi univoci forniti dai telefoni cellulare:
- “Identifier for Advertiser” (IDFA usato da iOS);
- “Advertising IDentifier” (AdID usato da Android);
- “Identifier for Vendor” (IDFV usato da iOS);
I Blank pixels o Clear GIFs, un’immagine di 1×1 pixel che permette di sapere se un’email che abbiamo inviato è stata aperta, da chi e quando;
Device fingerprinting.

Questi servono per permettere il riconoscimento di un dispositivo su siti diversi e servono a mostrare le pubblicità di uno stesso inserzionista su siti diversi. Tale pratica prende il nome di retargeting.

Tali tecnologie sono considerate, dalla Legge sui Cookie, alla stregua di un Cookie di Profilazione:

CONSIDERATO che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del presente provvedimento;
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]

Le Linee guida sui Cookie e gli altri strumenti di tracciamento espandono notevolmente il concetto e lo ribadiscono:

Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti Linee guida.
Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 3. Altri strumenti di tracciamento

Per approfondire tutti gli aspetti relativi alle altre tecnologie profilanti, leggi la guida alla normativa sui cookie.

Le sanzioni previste

Nel caso in cui si dovessero installare Cookie di Profilazione prima di aver ottenuto il consenso del navigatore, la normativa del 2014 prevede delle sanzioni:

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 7. Conseguenze del mancato rispetto della disciplina in materia di cookie.