Essenziali per il funzionamento della pagina web, spesso utili per l’utente, talvolta invasivi, si sono guadagnati un posto di rilievo nella disciplina europea e nazionale.
Quando un dispositivo accede per la prima volta ad un sito web, quest’ultimo gli invia un cookie, un piccolo file di testo memorizzato sul dispositivo stesso che ne consente l’identificazione negli accessi successivi.
Questi codici svolgono spesso funzioni utili per il navigatore, permettendo di memorizzare alcune informazioni che possono agevolare l’utente online, come la posizione geografica e la valuta del luogo in cui è stato effettuato l’accesso, gli articoli nel carrello o i precedenti acquisti nel caso in cui si tratti di un sito di e-commerce o, ancora, la password e i dati di accesso alla pagina web.
Tuttavia, poiché utilizzati per tracciare i dati personali degli utenti, i cookie possono creare numerosi rischi per la privacy. Occorre dunque analizzarne il rapporto con il regolamento europeo in materia di protezione dei dati personali, che integra, corregge e sostituisce la direttiva ePrivacy, conosciuta anche come “Cookie Law”, successivamente modificata dalla direttiva comunitaria del 2009 numero 136.
Le varie tipologie di cookie
Possiamo distinguere, in base alla funzione, fra cookie tecnici, necessari al corretto funzionamento di alcune sezioni del sito e che non generano problematiche per la privacy, e cookie di profilazione, utilizzati per ricostruire il profilo dell’utente al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate all’interno delle pagine del sito. Ci sono infine i Cookie analitici, utilizzati per raccogliere informazioni sull’uso del sito allo scopo di effettuare analisi statistiche anonime per migliorarne l’utilizzo e rendere i contenuti più interessanti e attinenti ai desideri dei navigatori.
I cookie possono poi essere di sessione, se vengono eliminati ogni volta che il browser viene chiuso, o persistenti, se rimangono memorizzati anche dopo la chiusura della pagina web.
Inoltre, se è il sito che si sta consultando a generare i cookie e a inviarli sul browser dell’utente, questi saranno detti originali, diversi da quelli gestiti da un soggetto terzo, chiamati appunto di terze parti e spesso oggetto di compravendita di dati.
La regolamentazione in materia
La normativa europea e italiana prevede due strumenti essenziali a tutela dell’utente.
Ogni sito deve pubblicare un banner informativo sulla presenza di cookie che, secondo un provvedimento del Garante per la protezione dei dati personali, deve essere ben visibile e indicare chiaramente l’eventuale utilizzo di cookie di profilazione, per inviare messaggi pubblicitari mirati, o di cookie di terze parti. È inoltre necessario che vi sia un link che rimandi a un’informativa estesa, dove è possibile negare il consenso all’installazione dei cookie. L’obbligo di utilizzare il banner non sussiste per i siti che utilizzino solo cookie tecnici che, come abbiamo visto, non incidono sulla privacy dell’utente, ma sono comunque necessari per il funzionamento della pagina web.
É poi indispensabile il consenso dell’utente, il quale, secondo il Considerando 32 del GDPR, deve essere “espresso mediante un atto positivo inequivocabile”. Questo, come stabilito da una sentenza della Corte di Giustizia dell’Unione Europea nel 2017, deve consistere in un comportamento attivo, e non potrà limitarsi nella mera attività di scorrimento della pagina.
Il consenso, secondo il testo del GDPR, dovrà essere volontario, quindi il navigatore deve avere l’opportunità di revocarlo; specifico, ovvero collegato alle finalità previste dal banner; preventivo, dunque deve pervenire prima che i cookie vengano memorizzati nel dispositivo; libero, per cui è necessario che l’utente abbia una reale possibilità di scelta: l’alternativa accettare i cookie o abbandonare il sito non è considerata legittima.
Il futuro dei cookie
La regolamentazione in materia subirà, con ogni probabilità, un’importante modifica con l’arrivo del nuovo Regolamento ePrivacy. Questo integrerà il GDPR con regole specifiche che si applicano al settore delle comunicazioni elettroniche, e affronterà anche il problema del consenso legato ai cookie che risulta, agli addetti ai lavori della commissione europea, non ancora pienamente risolto. Il Regolamento, come appare dalle bozze, vuole rendere più trasparente e efficiente l’avviso della presenza di cookie nel sito consultato, ribandendo innanzitutto il rispetto dei principi sul consenso previsti dal GDPR (volontario, specifico, preventivo e libero) e dovrà informare l’utente tramite un linguaggio chiaro e semplice. Vuole inoltre estendere la disciplina anche al c.d. fingerprinting del browser, ovvero l’attività di elaborazione remota di informazioni che permette di identificare completamente o parzialmente l’utente o il dispositivo, anche quando i cookie sono disattivati.
Infine, i browser dovranno consentire agli utenti di controllare le impostazioni dei cookie, tenendo conto del fatto che questa attività non consterebbe in una manifestazione di consenso da parte del navigatore.
Daniele Dhoor Singh