I cookie sono dei piccoli file di testo che i siti web memorizzano sui dispositivi dei navigatori: leggendoli a ogni visita successiva, i siti web sono in grado di svolgere varie operazioni collegate alla navigazione.
I cookie sono una tecnologia fondamentale per il funzionamento del web moderno, sia da un punto di vista tecnico-informatico, sia da un punto di vista commerciale.
Un cookie è essenzialmente un file di testo contenente una più informazioni in formato testuale.
Le informazioni che possono contenere sono molteplici e vanno da un semplice identificativo pseudo-anonimo a informazioni più strutturate come i prodotti inseriti in un carrello o le informazioni necessarie per accedere a un’area riservata.
In linea generale, lo scopo principale di un cookie è rendere riconoscibile un particolare dispositivo a ogni successiva visita.
Essendo un file di testo, il cookie non ha una struttura precisa e identificata: può contenere qualsiasi informazione che sia rappresentabile in forma di testo.
Il Garante per la Protezione dei Dati Personali ha emanato il regolamento per l”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, comunemente indicato anche come “Legge sui Cookie” o “Cookie Law”: questo regolamento, insieme ai provvedimenti successivi a e al GDPR (General Data Protection Regulation – Regolamento Generale per la Protezione dei Dati o RGPD) costituisce la normativa sui Cookie.
La Legge sui Cookie li definisce come
… stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 1. Considerazioni preliminari
I criteri di distinzione dei cookie sono tre:
- Criterio soggettivo;
- Criterio di persistenza;
- Criterio funzionale.
Il criterio soggettivo e il criterio funzionale influiscono sulla normativa applicabile, mentre il criterio di persistenza non influisce sulla normativa da applicare.
Questi criteri hanno prodotto questa gerarchia dei tipi di cookie:
- Cookie tecnici:
- Cookie di navigazione o di sessione o magic;
- Cookie di analisi;
- Cookie di funzionalità.
- Cookie di profilazione;
- Cookie di terze parti.
Il criterio soggettivo distingue i cookie in due tipologie:
- Cookie di prima parte;
- Cookie di terza parte.
Sono di prima parte i cookie che sono installati dallo stesso dominio che il visitatore sta visitando.
Sono di terza parte i cookie installati da un dominio amministrato da un soggetto diverso da quello che gestisce il dominio che il navigatore sta visitando.
.La differenza influisce sugli obblighi di legge cui ottemperare (da rispettare).
Il criterio di persistenza (assimilabile a un criterio temporale) distingue i cookie in due tipologie:
- Cookie di sessione (o temporanei o “magic cookie”);
- Cookie persistenti.
Sono di sessione o temporanei o “magic” i cookie che vengono cancellati quando si chiude il browser (non quando si esce dal sito).
Sono persistenti i cookie che rimangono memorizzati nel dispositivo anche quando si chiude il browser. I cookie persistenti hanno comunque una scadenza che può variare tra pochi minuti a più anni. Affinché sia qualificabile come persistente, quindi, un cookie deve semplicemente avere la capacità di rimanere memorizzato nel dispositivo per il tempo stabilito, indipendentemente dal fatto che il browser venga chiuso.
La normativa sui cookie non stabilisce regole particolari a seconda della natura persistente o meno dei cookie.
Questa, infatti, è la prima distinzione in assoluto che si è fatta di questo strumento e ha origine tecnico-informatica.
Il criterio teleologico distingue i cookie in due tipologie:
- Cookie tecnici;
- Cookie di profilazione.
Sono tecnici i cookie che sono usati dal sito per il proprio corretto funzionamento.
Sono di profilazione i cookie che sono usati dal sito per costruire un profilo del navigatore, se autenticato, o del solo dispositivo, se chi lo usa non è autenticato.
La differenza influisce sugli obblighi di legge cui ottemperare (da rispettare).
Questa distinzione ha origine tecnico-giuridica.
Il regolamento emanato dal Garante per la Protezione dei Dati Personali fa ulteriori distinzioni nell’ambito dei cookie tecnici:
- Cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
- Cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso o, se di terze parti, laddove siano anonimizzati;
- Cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Quando sono stati inventati, i cookie servivano semplicemente a rendere la navigazione più fluida e permettevano ai siti web di offrire ai navigatori funzioni più avanzate.
Il protocollo HTTP, infatti, è definito stateless. Volendo semplificare all’estremo il concetto, significa che, ogni volta che si clicca su un link o si accede a un sito, il browser e il sito non sanno cosa sia successo prima, non ne hanno memoria.
I cookie servono proprio per dargli questa “memoria”.
L’accesso a un sito, per esempio, funziona grazie ai cookie: quando inseriamo le nostre credenziali di accesso su un sito (username e password), esso memorizza sul nostro dispositivo un cookie.
Quando navighiamo alla pagina successiva (o torniamo dopo un po’ di giorni), il sito web:
- Legge il cookie che ha memorizzato in precedenza;
- Riconosce il nostro dispositivo come autenticato;
- Ci mostra il contenuto protetto o le informazioni personalizzate appositamente per noi.
Anche quando su un e-commerce aggiungiamo dei prodotti a un carrello, la “memoria” di questo carrello viene mantenuta attraverso un cookie.
Quando torniamo su quel sito e-commerce, esso:
- Legge il cookie che aveva memorizzato durante la visita precedente;
- Riconosce che quel cookie corrisponde a un carrello;
- Ci mostra il contenuto del carrello che avevamo riempito durante la visita precedente.
Questi sono solo due esempi semplicissimi che ci permettono di comprendere come tutta la navigazione diventa estremamente più semplice, veloce e fluida semplicemente usando dei piccoli file di testo: i cookie, appunto.
Con l’evolversi della tecnologia e del web in generale, ci si è resi conto che era possibile usare i cookie non solo per identificare dei dispositivi nel corso del tempo, ma anche per costruire un profilo del dispositivo stesso: quali siti naviga, a che ora, quali argomenti predilige, ecc.
Oggi, con l’enorme diffusione di dispositivi personali, profilare un dispositivo significa, essenzialmente, profilare una persona specifica. Se, poi, questa persona si autentica sul sito, è possibile anche sapere quali sono i vari dispositivi che questa stessa persona usa (“cross-device tracking”: dal telefono al computer, poi al tablet e poi di nuovo al computer e via dicendo).
Con i big data e le tecnologie che ad essi hanno fatto seguito i cookie diventano una specie di cavallo di Troia (se proprio gli si vuole dare un’accezione negativa che intrinsecamente, però, non possiedono): un’etichetta simile a un codice a barre che ci rende riconoscibili on-line (rectius, rende riconoscibile il nostro dispositivo, non noi nel vero senso della parola) e permette alle big companies di trovarci ovunque siamo e ovunque navighiamo.
Avere queste informazioni è un’arma potentissima nelle mani dei publisher e degli inserzionisti che, elaborandole in maniera opportuna, possono mostrare pubblicità estremamente tarate sulla persona che deve visualizzarle. Inutile dire che questo si traduce in spese pubblicitarie inferiori e ritorni maggiori.
Questo tipo di pubblicità prende il nome di “Behavioral Advertising” o “Pubblicità comportamentale”.
(Nell’illustrazione si parla di un numero che Google e Microsoft userebbero in vece dei cookie: si tratta del “Device Fingerprint”, una tecnica con cui si può riconoscere un computer senza l’uso dei cookie).
Fonte: The Wall Street Journal
È proprio grazie ai cookie se sono possibili pratiche pubblicitarie come il retargeting o misurazioni avanzate come il ROAS.
Grazie ai cookie e alle tecnologie assimilate (come i blank pixel), si può sapere (e registrare per l’analisi comportamentale!) quali pagine ha visitato un navigatore / utente, che prodotti ha visto, quando è autenticato sul sito, cosa ha messo nel carrello o se ha scelto o meno di accettare i cookie (e anche questa scelta è memorizzata essa stessa in un cookie).
Avere queste informazioni è molto importante: tracciare in profondità i comportamenti delle persone che navigano i loro siti e costruire un profilo delle navigazioni che può essere usato per vari scopi permette di poter eseguire semplici analisi “unificate” dei contenuti (per capire meglio come il sito risponde alle esigenze del navigatore) ma permette anche di arrivare alla compilazione di uno storico della navigazione di una singola persona, anche se usa più dispositivi, per averla pronta quando questa persona si metterà in contatto con l’assistenza clienti o con la forza vendita: sapere cosa ha visto sul nostro sito e cosa non ha visto è un vantaggio commerciale non da poco per chi, a questa persona, deve capire cosa può vendere.