Parlando di privacy, il tema dei cookies è uno di quelli più complessi e sconosciuti che ci troviamo ad affrontare.
Infatti cosa sono i cookies e come funzionano rappresenta un qualcosa di molto oscuro e che ha a che vedere con linguaggi di programmazione che sono comprensibili solo a programmatori o tecnici informatici; quindi chi non si occupa di questa materia, e non è addetto ai lavori, incontra delle difficoltà a capire come funzionano e come sono strutturati. Proviamo allora a fare un pò di chiarezza, senza la pretesa di entrare nel dettaglio su materie tecnico-informatiche che non mi competono.
Cosa sono i Cookies?
I cookies sono dei piccoli file di testo che si installano sul browser di navigazione (Safari, Explorer o altro) quando l’utente visita un determinato sito.
Si tratta di un’installazione silenziosa, tanto che l’utente non si accorge nemmeno di quanto sta accadendo.
I cookies sono di vari tipi e variano a seconda della provenienza, della durata e dello scopo.
Quanti tipi di cookies esistono?
I cookies si possono raggruppare in 3 categorie principali.
Originariamente sono nati come Cookies tecnici, ovvero con lo scopo di migliorare l’esperienza di navigazione dell’utente permettendogli di poter accedere alle varie pagine di un sito in modo fluido e senza rallentamenti.
Poi questi piccoli files (non sono altro che dei programmini) sono diventati sempre più sofisticati, tanto da diventare dei potentissimi strumenti per effettuare analisi e statistiche del sito (Cookies statistici), utili per offrire al gestore del sito una panoramica delle pagine, degli articoli o delle foto più visualizzate col fine di fornire contenuti sempre più interessanti per il suo pubblico.
Infine la grande sofisticazione si è evoluta ancor di più nei Cookies di Profilazione, creati appositamente per tracciare le attività svolte dal navigatore, attribuendogli un indirizzo IP (una sorta di bandierina) per tenere traccia dei suoi comportamenti e per creare un profilo dell’utente.
Per fare un esempio, se un sito di cucina contiene 3 articoli su 3 argomenti diversi (ad esempio cucina vegana, cucina senza glutine e cucina senza lattosio) con i Cookies di profilazione il gestore potrebbe rivolgere offerte mirate di prodotti vegani, senza glutine o senza lattosio rispettivamente agli utenti che si sono soffermati di più su uno o più di questi articoli.
Questo esempio consiste in un caso molto semplice ma, nella realtà, le cose sono molto più complesse e i livelli raggiunti dalla raccolta di dati di massa (big data) sono in sorprendente e rapida evoluzione.
Cos’è una cookie policy?
La cookie policy è un’informativa che ogni gestore di un sito deve predisporre e mettere a disposizione degli utenti che vi atterrano, per informarli di quali cookies quel sito dispone e spiegare loro quali funzioni ricopre ciascun singolo cookie chiedendo il consenso per la loro installazione.
I cookies tecnici ed i cookies statistici (in forma aggregata, cioè anonimizzati) non richiedono alcun consenso, poiché non comportano il trattamento di alcun dato personale dell’utente.
E’ tuttavia buona norma indicarli ed elencarli con precisione, in modo da essere sempre chiari e trasparenti con i propri utenti.
Per i cookies di profilazione, che invece trattano dati personali, occorre chiedere ed ottenere un consenso che abbia tutte le caratteristiche richieste dal GDPR, cioè deve essere un consenso volontario, consapevole, specifico ed inequivocabile, mediante azione positiva.
Il consenso, anche se precedentemente conferito, deve essere sempre revocabile in qualsiasi momento.
Cos’è il cookie banner?
Il Cookie banner è un rettangolo di testo che deve apparire all’apertura di qualsiasi sito, che contiene una sintesi minima del contenuto della Cookie Policy, assieme ad un link per poter accedere a tutte le informazioni complete.
Questo rettangolo di testo deve essere sufficientemente visibile al visitatore, senza però interferire troppo con la fluidità della navigazione.
Il testo del banner deve riassumere esattamente quali tipi di cookies utilizza quel sito web, per offrire una panoramica rapida ma trasparente all’utente navigatore.
Cosa deve fare il cookie banner
Il cookie banner non è solo un rettangolo di testo che contiene alcune informazioni sintetiche, ma è molto di più.
Il provvedimento del nostro Garante in materia, risalente al 8 maggio 2014, prescriveva alcune regole che sono tutt’oggi valide ma, a ben guardare, dopo l’avvento del GDPR, il consenso dato implicitamente, mediante lo scorrimento della pagina, sembra non essere più sufficiente.
Il GDPR non tratta specificatamente dei cookies, ma si occupa di regolamentare, in via generale, tutti i trattamenti di dati, in qualsiasi forma e modo esso avvenga (sia con strumenti analogici, che digitali); non a caso GDPR significa General Data Protection Regulation (Regolamento Generale per la Protezione dei Dati).
Quindi, in qualità di regolamentazione generale, influenza anche il tema dei cookies, laddove attraverso tali strumenti si raccolgano dati personali e, a maggior ragione, si effettui una profilazione degli utenti.
Con queste nuove regole, quindi, il consenso al trattamento dei dati deve essere “provato” dal titolare e il trattamento non può iniziare prima di avere raccolto lo stesso sulla base di una puntuale informativa.
Questo comporta, come conseguenza, che atterrando su un sito web nessun cookie che raccoglie dati deve potersi installare nel browser dell’utente, finché quest’ultimo non abbia espresso il proprio consenso.
Allora il cookie banner non è più soltanto un rettangolo di testo, ma deve essere qualcosa di più raffinato che permetta non solo di effettuare la scelta e bloccare i cookie di conseguenza, ma che consenta anche al gestore del sito (titolare o responsabile del trattamento) di tenere traccia dei consensi e delle successive revoche, al fine di provarne la sussistenza in caso di necessità.
Questo vale naturalmente solo per i cookie di profilazione! Se, al contrario, un sito contiene solamente cookie tecnici o statistici in forma aggregata, sarà sufficiente dare solo queste informazioni, senza bisogno di ricercare soluzioni più sofisticate.
Ma attenzione ai Cookie di terze parti!
Cosa sono i cookie di terze parti?
I cookies di terze parti sono oggetto di un grande dibattito, perché gli interrogativi su questo tema sono davvero moltissimi.
Questi sono cookies che non appartengono al gestore del sito che stiamo visitando, ma sono comunque installati su quel sito.
Ad esempio incorporare un video di YouTube nel proprio sito comporta l’installazione di cookies che questo portale utilizza per tracciare i comportamenti degli utenti.
Inserire una mappa, un suono, un’immagine o link di pagine di altri domini può comportare la presenza di cookies da parte di domini terzi.
Quali responsabilità per i cookies di terze parti?
L’interrogativo che ci si pone è il seguente: quale responsabilità può avere il gestore del sito per i Cookies di terze parti?
Il provvedimento del nostro garante, risalente all’ 8 maggio 2014, aveva sancito il principio secondo il quale il gestore di un sito non poteva essere chiamato a fornire l’informativa ed a raccogliere il consenso all’installazione dei cookies nel proprio sito anche per quelli di terze parti.
Ma una recente sentenza della Corte di Giustizia dell’Unione Europea (sentenza 29 luglio 2019 causa C 40/17) ha affrontato il tema delle implicazioni della presenza del pulsante “Mi piace” di Facebook all’interno dei siti internet.
Nel corso dell’istruttoria è emerso che la presenza di quel pulsante su un sito implicherebbe l’installazione dei relativi cookies di profilazione anche se l’utente non lo preme ed anche se non è affatto iscritto a Facebook.
Considerando che il gestore del sito, in concreto (anche se in forma completamente automatica) raccoglie e trasmette i dati degli utenti a Facebook, per questo tipo di trattamenti egli è responsabile (limitatamente a quel trattamento) e ne risponde come tale.
Quindi è necessario che l’informativa sui Cookies contenga spiegazioni relative a questo tipo di trattamento. Per tutto il resto, naturalmente, risponderà Facebook in base alla modalità di trattamento dei dati fornitegli da quel sito.
I cookie Wall
Recentemente si è diffuso, su alcuni siti, lo stratagemma di consentire la visione dei contenuti del sito stesso solo a condizione di accettare tutti i cookies (compresi quelli di profilazione).
In buona sostanza il gestore del sito permette di vederne i contenuti solo alle persone che accettano di essere profilate.
Naturalmente si tratta di siti che contengono informazioni di valore, come video di approfondimento, articoli di blog etc.
Insomma il messaggio è: “se vuoi vedere i miei contenuti, accetta tutti i cookies. Altrimenti, amici come prima e arrivederci”.
Sul punto sono già intervenute varie autorità garanti europee, esprimendo il loro parere contrario all’uso di questi sistemi, in quanto definiti “estorsivi” del consenso.
Personalmente comprendo che si tratti di una pratica “non compliance” per coloro che applicano il GDPR con rigore. Ma, allo stesso tempo, è lecito chiedersi se davvero il consenso sia estorto o se, semplicemente, sia una condizione imposta dal gestore del sito che l’utente è libero o meno di accettare, senza alcuna costrizione.
Se si tratta di servizi non di prima necessità, personalmente non vedo il problema.
E’ un pò come quella notizia risalente qualche settimane fa, relativa al negoziante di calzature nel ferrarese, che ha imposto il pagamento di € 10,00 per provare le scarpe senza poi acquistarle (al fine di evitare la triste pratica di provarsi i modelli di calzature in negozio per poi acquistarle online).
Il fatto è di certo provocatorio e discutibile sotto molti profili, però la questione di fondo è che, se opportunamente informati e previamente avvertiti, i consumatori hanno la possibilità di scegliere liberamente se accettare o se rivolgersi altrove.
A quanto pare già esiste qualche pronuncia giurisprudenziale che, a determinate condizioni, ritiene lecito utilizzare il sistema del Cookie Wall.
Ad ogni modo, al momento e finché non si forma un orientamento consolidato, è consigliabile non ricorrere ad un Cookie Wall, lasciando che gli utenti siano liberi di scegliere e di fruire dei contenuti indipendentemente dalla scelta effettuata sui cookie.
In conclusione
Dal mio punto di vista, se conosco un professionista o un brand che mi interessa e che mi piace, non ho problemi a dare il consenso a ricevere dei messaggi promozionali personalizzati sui loro prodotti o servizi (a patto che non vengano inviati “a mitraglia”).
Quindi la strategia migliore, a mio parere, per “vincere” la sfida di abbinare sapientemente le esigenze di marketing e le esigenze di tutela dei diritti fondamentali delle persone legate ai loro dati personali, sta proprio nel saper dosare con cura l’alternanza di informazioni e contenuti di valore da offrire con scopo conoscitivo ed i messaggi promozionali finalizzati alla promozione dei propri prodotti o servizi a chi lo desidera e lo ha espresso chiaramente.
Per approfondire, ho preparato una guida gratuita che è a tua disposizione
Scoprila cliccando sul bottone qui sotto