È ormai impossibile accedere a un sito senza che compaia il classico banner che invita gli utenti ad accettare o rifiutare i cookies.
Questi “biscotti” digitali hanno specifiche funzioni e si distinguono in diverse tipologie, ognuna con una propria finalità.
Ma cosa succede quando si accettano i cookies? E a cosa serve il consenso?
Vediamolo insieme!
Cosa sono i cookies
Sono piccoli file di testo, formati unicamente da
- lettere;
- numeri;
- segni di punteggiatura;
- codici.
Lo scopo è quello di memorizzare una serie di informazioni mentre l’utente naviga sul web, come la lingua impostata per leggere un sito o la lista di prodotti inseriti nel carrello degli acquisti di un e-commerce.
I cookies hanno iniziato ad essere chiamati in questo modo a partire dagli anni '80. La definizione tecnica è HTTP Cookie e si attivano tutte le volte che si visita un sito web, tramite banner appositi recanti la scritta “Accetta tutti i cookies o rifiuta” o simile.
Che succede se accettiamo i cookies
I cookies, proprio come i biscotti, si dividono in varie tipologie, ognuna delle quali assolve a una funzione specifica.
In particolare distinguiamo questi file di testo in
- cookies tecnici: come disposto dall’art.122 del Codice Privacy (D.Lgs. n.196/2003) si tratta dei cookies che permettono a un sito di operare, agevolandone le varie funzioni. Per questa ragione vengono definiti “cookies strettamente necessari” e nei banner l’utente può trovarli già selezionati. Anche se all'apparenza accettare questi cookies può sembrare qualcosa di forzato, il loro unico fine è quello di consentire la navigazione ottimizzandola. Ecco perché non c’è bisogno del consenso dell’utente e vengono automaticamente installati sul suo computer dal sito che sta visitando. Un classico esempio è costituito dai prodotti che si aggiungono sul carrello virtuale di un e-commerce: grazie ai cookies tecnici gli acquisti rimangono memorizzati, consentendo all’utente di cambiare pagina o anche uscire dal sito senza che vadano perduti. Stesso discorso per le aree riservate degli home banking: in questi casi i cookies tecnici mantengono memorizzate le credenziali del login (password e nome utente) fino alla fine dell’operazione.
- cookies analitici: anche questi file assolvono a diverse funzioni, come la possibilità di tenere il conto del numero di visitatori sul sito, la loro area geografica oppure servono a valutare l’efficacia di un servizio fornito dal proprietario del sito web;
- cookies di profilazione: questi cookies servono invece per finalità di marketing, ossia per tracciare un profilo dell’utente in base alle ricerche che effettua. Sarà quindi possibile targetizzare le pubblicità che gli compariranno durante la navigazione, rendendole il più vicino possibile ai suoi gusti, preferenze e necessità;
Affinché questi cookies possano raccogliere i vari dati, il proprietario del sito sarà obbligato a chiedere preventivamente il consenso all’utente. Non trattandosi di cookies necessari, le persone devono essere messe nella condizione di poter accettare o rifiutare il trattamento dei propri dati; - cookies di terze parti: si tratta di quei cookies che vengono installati da un soggetto terzo, proprietario di un sito web diverso da quello su cui si trova l’utente. Il soggetto terzo potrà quindi raccogliere informazioni sul visitatore in base alle azioni che ha compiuto, ad esempio cliccando sul video inserito in un articolo di giornale o lasciando un “mi piace” a un post sponsorizzato su un social.
Le terze parti possono quindi utilizzare le informazioni ricavate per finalità di marketing.
Ecco perché il sito è obbligato non solo a informare chi vi accede circa la presenza di cookies di terze parti ma dovrà anche chiedere previamente il consenso prima che la profilazione abbia inizio.
Cosa succede se non accettiamo i cookies
Alla luce di quanto detto, non accettare i cookies di profilazione o di terze parti permette all’utente di rifiutare la raccolta dei dati e delle proprie preferenze da parte delle aziende.
Nel caso in cui invece vengano rifiutati i cookies tecnici non ci sono particolari conseguenze, se non che in alcuni casi l’utente potrebbe trovarsi costretto a reinserire le proprie credenziali o le proprie impostazioni personalizzate ad ogni nuova apertura del browser.
Quali sono gli obblighi per i siti che usano i cookies
I siti che utilizzano i cookies devono
- mostrare l’apposito banner. Nel caso dei cookies tecnici il banner potrà essere omesso purché venga predisposta una cookie policy in cui vengano indicati il tipo di cookies tecnici usati e le loro finalità;
- impostare una cookie policy;
- non permettere ai cookie analitici e di profilazione di raccogliere i dati degli utenti senza che questi abbiano previamente fornito il proprio consenso;
- permettere sempre all’utente di revocare il consenso e/o comunque poter modificare le proprie scelte attraverso un comando apposito.
L’informativa
È perciò fondamentale che venga adottata un’informativa, ossia quel documento che spiega agli utenti in che modo e per quali finalità verranno raccolti i loro dati.
L’informativa deve essere di due tipi:
- breve: viene inserita direttamente nel banner e spiega in che modo l’azienda utilizzerà i dati raccolti con i cookies;
- estesa: si tratta di un documento a parte, inserito in un’apposita sezione del sito e descrive più dettagliatamente tutti gli scopi per cui l’azienda sta raccogliendo i dati.
I cookies e la privacy degli utenti
L’utilizzo dei cookies è quindi inevitabilmente legato al tema della privacy online degli utenti. Accettare i cookies significa fornire alle azienda una serie di dati utili alla profilazione delle persone sul web. Ecco perché è fondamentale che i titolari dei vari siti rispettino le regole sul consenso.
I due punti di riferimento principali sono quindi il GDPR ossia il Regolamento generale sulla protezione dei dati personali n. 679 del 2016 e la Cookie law.
Si tratta di normative molto estese di cui vogliamo evidenziare un tematica in particolare, indispensabile per l’utilizzo dei cookies: il consenso dell’utente.
Questo consenso deve infatti presentare le seguenti caratteristiche per essere ritenuto valido. Dovrà essere
- preventivo: ossia deve essere fornito prima che i dati vengano raccolti;
- libero: quindi l’utente deve poterlo dare senza imposizioni esterne più o meno esplicite. Ad esempio il consenso non sarà considerato “libero” se appena si accede a un sito compare un banner centrale che non permette di proseguire la navigazione a meno che non vengano accettati tutti i cookies. O ancora, quando il button “rifiuta” è nascosto o mimetizzato in modo strategico;
- informato tramite la lettura dell’informativa;
- inequivocabile: l’utente dovrà aver compreso e accettato quelle condizioni, opzionando l’apposita spunta.
Ecco perché il consenso non è valido nel caso di
- silenzio dell’utente: ad esempio se la persona non ha accettato nulla, pur continuando a scorrere sulla pagina;
- preselezione delle caselle da parte dei gestori del sito web.
Cosa succede se non rispetto la normativa sui cookies
I proprietari di siti web che utilizzino i cookies senza rispettare la normativa possono incorrere in sanzioni molto salate.
In particolare se l’informativa manca o è incompleta, la sanzione pecuniaria sarà tra i 6.000 e i 36.000 euro; se invece i cookies vengono installati senza il consenso degli utenti allora i proprietari del sito dovranno pagare tra i 10.000 a 120.000 euro.
Google eliminerà i cookies di terze parti
Google ha annunciato l'eliminazione dei cookies di terze parti a partire dal 2024.
Dai primi di gennaio è infatti in corso una fase di test iniziale che coinvolge l’1%, quindi circa 30 milioni, degli utenti che utilizza Chrome come browser.
Lo scopo è quello di tutelare la privacy delle persone che navigano online, creando degli strumenti appositi che permetteranno di raccogliere le loro preferenze per finalità di marketing ma mantenendone nascosta l’identità.
Questo permetterà quindi di eliminare, almeno in parte, i cookies di terze parti che risultano essere i più problematici e che spesso riescono a bypassare le regole.