Cosa sono i cookie, a cosa servono e com’è cambiato il GDPR per la protezione dei dati degli utenti: approfondiamo il tema della profilazione da un nuovo punto di vista.
Nel campo dell’informatica i cookie sono dei file contenenti varie informazioni sull’utente che naviga in quel momento, che vengono acquisiti e memorizzati dai siti web per scopi di profilazione. In altre parole, i siti che utilizzano i cookie identificano quel preciso utente per i suoi futuri accessi al sito e tengono traccia delle sue preferenze e abitudini di navigazione. Più tecnicamente, i cookie vengono definiti delle “stringhe di testo” di piccole dimensioni che i siti inviano al browser dove vengono memorizzati per poi essere trasmessi nuovamente agli stessi siti al momento di una nuova visita del medesimo utente.
A chi naviga sul web si presentano sotto forma di banner pop-up che compaiono nel momento in cui l’utente entra in una pagina web. In questi banner sono elencate la politica dei cookie e la relativa informativa. L’utente può accettare i cookie o personalizzarli, ossia decidere quali informazioni dare al sito internet che sta visitando.
Spesso chi sta navigando non dà molta attenzione ai banner dei cookie, anzi nella maggior parte dei casi le persone li accettano senza nemmeno leggere cosa vi è scritto. Tuttavia, queste autorizzazioni alla profilazione sono di fondamentale importanza sia per gli utenti, che stanno di fatto cedendo dati ad un sito internet, sia per il sito stesso che acquisendoli se ne rende in un certo qual modo “responsabile”.
Quali sono i tipi di cookie?
I cookie si suddividono in due grandi tipologie: tecnici e di profilazione. La differenza tra questi due tipi di cookie sta nel loro obbiettivo di profilazione.
I cookie tecnici salvano e conservano le preferenze di navigazione dei visitatori e sono fondamentali se si desidera rendere ottimale l’esperienza online del singolo utente. Di fatto sono elementi informatici puramente tecnici – come specificato nel nome stesso di questi cookie – che hanno un ruolo del tutto funzionale. Per questo tipo di cookie non è necessario il consenso degli utenti.
I cookie di profilazione, al contrario, sono utilizzati esclusivamente con lo scopo di fare business ossia al fine di guadagnare denaro. Con questi cookie, infatti, il sito web crea un profilo del visitatore per finalità pubblicitarie che poi viene utilizzato per svolgere attività di marketing anche con advertising su altri siti o sui social network. Si capisce bene, quindi, che siccome questo tipo di dati vengono memorizzati per attività diverse dalla pura navigazione è pertanto necessario il consenso dell’utente per l’acquisizione.
La necessità o, per meglio dire, l’obbligo di avere in consenso degli utenti per poter acquisire dati per la profilazione è necessario proprio perché questi dati non vengono utilizzati per finalità tecniche ma per ragioni promozionali mirate a indurre gli utenti all’acquisto di un prodotto o di un servizio che può interessargli. Questo interesse potenziale viene calcolato proprio sulla base dei cookie di profilazione.
Facciamo un esempio pratico per meglio comprenderne il funzionamento. L’utente entra in internet e svolge una ricerca su alcuni siti di calzature da running accettando i cookies di profilazione. Il sito web immagazzina la ricerca fatta dall’utente e il tipo di prodotto che gli interessa. Successivamente, l’utente accede al suo profilo Facebook e, grazie alla profilazione fatta in precedenza, il sito web può proporre delle pubblicità su calzature da running nei banner pubblicitari del social network. In questo modo viene ottimizzata la strategia marketing dell’azienda che starà proponendo il suo prodotto ad un cliente potenziale e non ad un utente a caso, allo stesso tempo l’utente vede nei banner qualcosa che gli interessa realmente e che potrebbe anche spingerlo verso un acquisto vantaggioso.
Nell’occhio del ciclone: i cookie di terza parte
Un’altra distinzione da fare è quella tra i cookie di prima parte, quelli di seconda parte e quelli di terza parte. Brevemente, quelli di prima parte sono quei cookie che vengono raccolti dal sito web su cui l’utente sta navigando e che vengono poi utilizzati solo da quel preciso sito. I cookie di seconda parte sono quelli che vengono raccolti da un’azienda e poi vengono venduti o trasferiti come cookie di prima parte a un’altra azienda, in modo che li possa utilizzare.
I cookie di terza parte, invece, vengono raccolti da dei domini che non sono quelli del sito su cui sta navigando un utente e vengono utilizzati per fare business. Infatti, tracciando gli utenti e le loro preferenze si può giungere poi a “confezionare” degli annunci pubblicitari personalizzati per un preciso utente che ha mostrato interesse, altrove, per un servizio o prodotto.
Attorno a questo tipo di cookie vi è un vero e proprio mercato di raccolta e rilascio dati, gestito da server pubblicitari, che gira intorno a servizi di retargeting e meccanismi di condivisione social. Ciò che li rende preziosi e molto utili per il marketing, ma al contempo anche degli osservati speciali dal punto di vista della privacy, è una loro precisa caratteristica. I cookie di terza parte sono, infatti, leggibili dal dominio da cui sono stati raccolti ma anche da qualsiasi altro sito che possa leggere il codice del server che li ha prodotti e quindi, potenzialmente, da un grandissimo numero di siti web.
Per questo motivo molti browser stanno bloccando il loro utilizzo – di recente, per esempio, ha fatto scalpore la decisione di Google di cessarne l’utilizzo entro il 2023 – proprio perché la raccolta di questi cookie è ritenuta poco sicura e potenzialmente dannosa per la privacy dell’utente.
Cosa dice la legge?
Noi non siamo avvocati o giuristi, per questo motivo ci limiteremo a esporre ciò che prevede la normativa vigente e cosa è previsto ora riguardo la protezione dei dati personali dell’utente che naviga online.
Proprio a causa dell’utilizzo pubblicitario dei cookie vi è stato molto dibattito negli ultimi anni in proposito. Il fulcro della normativa sta nel regolamento (UE) 2016/679 inerente alla protezione dei dati personali e nel provvedimento n. 231/2021 pubblicato in Gazzetta Ufficiale il 9 luglio 2021 dal Garante per la Privacy, che diverrà obbligatorio entro 6 mesi.
La normativa prevede l’obbligo, per i siti, di informare l’utente sul tipo di informazioni che vengono acquisite durante la navigazione sul web. Essa si compone di due diverse casistiche, che corrispondono a due diverse informative, a seconda che si tratti dei cookie tecnici o di quelli di profilazione. L’informativa breve – ovvero l’informativa che viene visualizzata al momento accesso al sito da parte di un utente, tramite banner pop-up – precisa che sul sito web in questione vengono utilizzati cookie tecnici e di profilazione, inoltre informa l’utente sull’eventuale presenza di cookie di terze parti e rimanda, con un link, all’informativa estesa.
Quest’ultima, invece, deve descrivere nello specifico quali dati saranno acquisiti dal sito e, quindi, di quali cookie si tratta. È ritenuta legalmente corretta e valida un’informativa estesa che indichi quali sono i cookie tecnici, i cookie di profilazione e i cookie di terze parti che il sito web ha intenzione di utilizzare. Oltre che a rendere noto all’utente ciò che sta autorizzando, l’informativa estesa deve dare anche la possibilità di modificare le proprie preferenze. In questo modo, in qualsiasi momento l’utente dovesse decidere di negare il consenso alla raccolta dati da parte di un sito web, potrà farlo semplicemente modificando le impostazioni dei cookie di quel determinato sito. Di fatto questo potrebbe dirsi un vero e proprio “diritto di recesso”.
Il provvedimento di giugno 2021 del Garante, però, ha aggiunto che i cookie di profilazione e di terze parti possono essere equiparati a quelli tecnici solo se:
- verrano utilizzati per statistiche di un singolo sito;
- verrà mascherata, per quelli di terze parti, la quarta componente dell’indirizzo IP dell’utente;
- le terze parti si asterrano dal combinare i cookie con altri dati dei clienti o altre statistiche;
- le terze parti si asterranno dal trasmetterli ad ulteriori terzi.
Rimane comunque importante l’interessamento di entrambi i soggetti dell’equazione. Ossia, da una parte è fondamentale che siti e aziende sviluppino una policy adatta e conforme per tutelare i dati degli utenti che raccoglie; dall’altra parte è necessario anche che chi naviga online si informi e sia consapevole a che cosa acconsente e cosa autorizza.