Cookie: istruzioni per l’uso

Cosa sono

I cookie sono delle piccole porzioni di testo che i siti internet trasmettono ai dispositivi degli utenti che li visitano. Di solito, queste piccole stringhe di testo vengono memorizzate nel browser degli utenti con lo scopo di essere poi ritrasmesse al sito nel corso delle successive visite. I cookie sono presenti nei terminali degli internauti in grosse quantità e spesso provengono da siti differenti da quello che si sta visitando (c.d. cookie terze parti). I cookie svolgono diverse e importanti funzioni nell’ambito del web e qualsiasi attività di regolamentazione degli stessi ha, perciò, un notevole impatto su un numero molto vasto di soggetti.

A cosa servono

I cookie possono avere finalità molto differenti dalle quali derivano diversi effetti e criticità nell’utilizzo degli stessi.
Si possono avere cookie tecnici, che sono quelli necessari al funzionamento del sito e non sono utilizzati per altri scopi se non quelli di “effettuare la trasmissione di una comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”[1].

I cookie tecnici possono essere suddivisi in ulteriori sottocategorie:

• Cookie di navigazione
  È grazie a essi che il sito è in grado di funzionare correttamente consentendo la normale navigazione e la fornitura dei servizi richiesti dall’utente. Senza tali cookie, che hanno una permanenza limitata nel tempo e che vengono cancellati al termine di tale periodo, molte operazioni sarebbero meno sicure o più complesse e alcune di esse non potrebbero proprio essere compiute.
• Cookie funzionali
  Tramite i cookie funzionali il sito è in grado, in base alle scelte dell’utente, di memorizzare parte delle informazioni relative alla navigazione effettuata dallo stesso, al fine di riutilizzarle nelle navigazioni successive migliorando il servizio offerto.
• Cookie analitici
  Sono utilizzati per raccogliere informazioni, in forma aggregata, al fine di condurre analisi statistiche delle modalità di navigazione del sito. Possono essere assimilati ai cookie tecnici solo se utilizzati ai fini di un’ottimizzazione del sito da parte del gestore dello stesso (in questo caso, quindi, si tratta di dati anonimi che vengono solitamente utilizzati per migliorare la funzionalità dei siti web).

Altra macro categoria è, poi, quella dei cookie di profilazione, che sono in grado di tracciare le abitudini di navigazione degli utenti con lo scopo di creare profili dei loro gusti, delle loro abitudini, delle scelte prese o di altre informazioni. In questo modo, all’utente profilato verranno inviati messaggi pubblicitari mirati e particolarmente in linea non le preferenze palesate dallo stesso nelle precedenti navigazioni. Per l’uso di questa tipologia di cookie, pertanto, è necessario che l’utente venga adeguatamente informato e rilasci il proprio consenso

Infine è possibile individuare i cookie terze parti. La particolarità di questa tipologia consiste nel fatto che essi non sono inviati dal gestore del sito principale che ospita l’utente, ma da un soggetto differente. L’importanza di questa classificazione risiede nel fatto che in questo modo vengono definiti i ruoli e le responsabilità relativamente al rilascio dell’informativa e all’acquisizione del consenso.

Precauzioni per l’uso

Le eventuali criticità derivanti dall’uso dei cookie dipendono dal diverso fine a cui gli stessi mirano e dalla differente invasività che hanno nei confronti della privacy degli utenti.

Come è facile immaginare, tanto più i cookie hanno la capacità di raccogliere informazioni attinenti ai dati personali degli utenti, con fini pubblicitari o di altro genere, tanto più saranno necessari degli interventi e dei presìdi che siano in grado di tutelare la riservatezza degli internauti e le informazioni che possono essere raccolte tramite l’utilizzo di questi strumenti di tracking: a tale scopo sono previsti diversi obblighi in capo ai soggetti che utilizzano i cookie.

Così, mentre ad esempio per l’invio di cookie tecnici è necessario solamente predisporre un’apposita informativa da portare a conoscenza degli utenti (nella quale specificare anche che l’utente può negare il consenso all’installazione di qualunque cookie e manifestare le sue preferenze anche attraverso le impostazioni del proprio browser), l’utilizzo dei cookie di profilazione è consentito solamente dopo che l’utente sia stato adeguatamente informato ai sensi dell’articolo 13 del Codice Privacy e abbia espresso il proprio consenso.

Inoltre, va ricordato che mentre l’uso dei cookie tecnici è esonerato dall’obbligo di notificazione – in base a quanto previsto dal provvedimento del 31 marzo 2004 del Garante Privacy -, l’utilizzo dei cookie di profilazione deve essere invece notificato all’Autorità Garante ai sensi dell’art. 37, comma 1, lett. d) del Codice Privacy, in quanto essi sono finalizzati a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero monitorare l’utilizzo di servizi di comunicazione elettronica non rientrando nel novero di quei trattamenti tecnicamente indispensabili per fornire tali servizi agli utenti.

Tuttavia, il Garante non ha chiarito bene un punto: nel caso in cui i cookie di profilazione non siano in possesso del gestore del sito (seppur al suo servizio per attività promozionali quali, ad esempio, il re-targeting o il re-marketing), ma siano gestiti esclusivamente dalla terza parte (i cui dati, quindi, risultino inaccessibili al gestore del sito), chi dovrà effettuare la notificazione all’Autorità ai sensi del citato art. 37?

Effetti collaterali

In base a quanto stabilito dal Garante Privacy nel provvedimento dell’8 maggio 2014, tutti i soggetti che entro il 2 giugno 2015 non abbiano provveduto ad adeguarsi alle prescrizioni in esso contenute (relativamente a notificazione, informativa e consenso) saranno passibili di sanzioni amministrative di diversa entità. Il mancato rispetto della disciplina in materia di cookie, infatti, potrà comportare sanzioni derivanti da “omessa o inidonea informativa” (da € 6.000 a 36.000), “utilizzo dei cookie di profilazione in assenza di consenso” (da € 10.000 a 120.000) e “omessa o incompleta notificazione” al Garante Privacy per il loro utilizzo (da € 20.000 a 120.000).