Cookie: questi sconosciuti

Cookie nel mondo web

Nella navigazione quotidiana sul web ci imbattiamo in continuazione in messaggi inerenti all’utilizzo dei cookie sui siti dove stiamo navigando. Questi messaggi sono presenti nei cookie banner, ossia delle sezioni dedicate a spiegarci che sono presenti dei cookie e possono richiedere o meno il consenso per il loro utilizzo.

Cookie: cosa sono

Partiamo dal principio: I cookie sono informazioni, sotto forma di file di testo, immesse sul tuo browser quando visiti un sito web con il tuo pc, smartphone o tablet. Inoltre contengono un codice identificativo unico (ID) per etichettare e riconoscere il dispositivo collegato e vengono creati dal server al momento della connessione. Quando il cookie viene scambiato tra dispositivo e server quest’ultimo legge l’ID e sa quali informazioni fornire specificamente al dispositivo dell’utente.

Ogni cookie può contenere diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc..

I cookie banner solitamente scelgono di dividere i cookie secondo le finalità nelle seguenti categorie:

  • Cookie funzionali che garantiscono la navigazione, l’accesso e la fruizione del web in maniera corretta e rapida. Questi gestiscono le funzionalità del sito, il riconoscimento quando si effettua il login per l’utilizzo dei servizi, la memorizzazione delle preferenze che permettono la gestione di una serie di impostazioni configurabili per utente come la lingua, i permessi del cookie banner, la personalizzazione dell’interfaccia utente e altri criteri vari. Negli ecommerce possono tenere traccia degli articoli consultati, delle ricerche svolte e garantire la conservazione degli articoli nel carrello;
  • Cookie di marketing in grado di studiare i movimenti e le abitudini di consultazione del sito web, comprese le pagine e i prodotti visualizzati, per consentire suggerimenti inerenti elementi che potrebbero interessare l’utente e mostrare pubblicità di servizi mirati e personalizzati. Nel tempo si viene a creare un profilo in base alla navigazione di un utente (profilazione);
  • Cookie statistici possono essere utilizzati dai gestori dei siti web per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, analizzare, monitorare nel tempo e quindi elaborare statistiche generali sul servizio e sul suo utilizzo.

Non essendoci una lista ufficiale queste categorie possono essere diverse tra vari siti web, l’importante è considerare che queste liste si basano sulle finalità dei cookie per dividerli. Vista l’impossibilità di elencarli tutti vedremo di concentrarci su queste tre categorie che sono le più ricorrenti.

Per altre tipologie di cookie non trattate in questo articolo come per esempio quelle di tracciamento, automazione e profilazione si potrà fare riferimento alle linee guida dei cookie di marketing tenendo presente che meriterebbero un ulteriore approfondimento.

Cookie banner del sito web Privacy Design
Esempio cookie banner di Privacy Design. Viene richiesto il consenso per l’utilizzo di tutti i cookie

Le tipologie di cookie si possono inoltre catalogare per la loro durata in:

  • Cookie di sessione che al termine della sessione vengono automaticamente cancellati.
  • Cookie persistenti che rimangono su un dispositivo per un tempo prestabilito (i siti web dovrebbero sempre specificare tale durata nella cookie policy) e tali informazioni verranno trasmesse al server dove risiede il sito web durante la navigazione.

Cookie statistici e di marketing sono per loro natura persistenti, quelli funzionali possono essere di sessione o persistenti.

I cookie possono essere di prime parti, ossia cookie del gestore del sito web che si sta visitando, oppure di terze parti.

Esempio di un cookie

Prendiamo come esempio proprio questo sito privacydesign.it. Il cookie happylocaltimezone è un cookie di WeDevs generato dal plugin di WordPress HappyAddons: si occupa di controllare l’ora locale degli utenti per mostrare/nascondere sezioni, widget e colonne. È un cookie funzionale di sessione, quindi non conserva informazioni al termine della navigazione. Le sue finalità sono legate alla funzionalità del portale in quanto permette di gestire le condizioni di visualizzazione di determinati elementi delle pagine web secondo l’orario.

Se volessimo riassumerlo a punti:

  • Happylocaltimezone tiene memorizzata l’ora locale dell’utente (il valore GMT, ossia il fuso orario);
  • E’ sempre attivo durante la navigazione sul portale privacydesign.it in quanto è un cookie funzionale;
  • I dati vengono conservati sul browser dell’utente, NON sul portale privacydesign.it;
  • Questi dati non vengono condivisi e sono in possesso solo dell’utente, essendo un cookie di sessione non permane al termine della navigazione;
  • Non tratta dati personali ed è un cookie funzionale per cui per questo cookie non è richiesto il consenso.

E’ necessario elencare ogni cookie per nome, di chi sono (prima o terza parte), valore associato (dato raccolto), durata e finalità.

happylocaltimezone esempio cookie
Si può vedere il cookie di sessione con nome HappyLocalTimeZone e il valore che registra: in questo esempio GMT +0200 per calcolare l’orario locale dell’utente

Il consenso nel cookie banner

Una volta che la lista è definita viene da chiedersi quando è richiesto il nostro consenso per l’utilizzo di determinati cookie. Le categorie secondo le finalità dei cookie ci aiutano a fare questa valutazione:

  • Per i cookie funzionali non è richiesto il consenso. Vedere la sezione successiva per una piccola parentesi su un caso particolare.
  • I cookie di marketing devono sempre richiedere il consenso per la natura del servizio.
  • I cookie statistici presentano casistiche diverse e vanno valutati secondo l’uso e la configurazione effettuata. Se dovessimo generalizzare si potrebbe dire che i cookie statistici in forma anonima non richiedono il consenso, tuttavia viste le numerose configurazioni errate riscontrate nelle nostre analisi a tal proposito sarà bene fare luce su tale argomento dedicando il giusto spazio. Affronteremo in futuro l’argomento prendendo in esame uno dei più famosi cookie statistici: Google Analytics.

Il consenso deve essere differenziato qualora abbia più finalità, per esempio se sono presenti cookie di marketing e statistici l’utente deve essere in grado di decidere quali consentire.

Il banner non deve avere i consensi già attivi di default, questi devono essere abilitati dall’utente.

Una piccola nota sui cookie funzionali: visto che la divisione dei cookie per finalità non ha uno standard fisso vediamo di fare una breve menzione di una casistica alternativa comune. Su determinati siti i cookie funzionali vengono divisi in cookie tecnici (necessari) e funzionali (per le preferenze). I primi sono assolutamente necessari per la navigazione e permettono anche la facilitazione dell’autenticazione per l’accesso dell’utente e la gestione delle credenziali. I secondi sono più legati alla memorizzazione delle preferenze come la lingua.

Questa distinzione viene fatta per permettere di disabilitare i cookie funzionali e dare un maggiore controllo all’utente. I rischi sono che determinati servizi del sito non funzionino correttamente e che non sia ben definita la distinzione cookie tecnici e funzionali visto che possono essere menzionati con diversi nomi e non essere rilevanti a livello di GDPR (per esempio la scelta della preferenza della lingua non è un dato personale, la suddivisione tra cookie tecnici e funzionali in questo può comportare confusione nell’utente).

Le difficoltà di un sistema eterogeneo

Abbiamo visto come in mancanza di uno standard le informazioni a disposizione degli utenti possano essere presentate in maniera molto diversa e senza una coerenza collettiva durante la navigazione tra più portali web. Se aggiungiamo l’esperienza quotidiana di siti web che non presentano la lista dei cookie, non hanno un cookie banner anche se questi sono presenti, non richiedono il consenso quando dovrebbero (o gli script che dovrebbero bloccarli non funzionano come dovrebbero),i consensi sono già abilitati senza l’iterazione dell’utente (o sono disattivabili solo con molteplici interazioni col banner rendendo complesso il diniego del consenso) il quadro generale che ne scaturisce non è propriamente incoraggiante.

Questo parlando solo di cookie e cookie banner: è importante tenere presente che sono presenti anche l’informativa privacy, la cookie policy, i protocolli ssl e la sicurezza in generale per la tutela della privacy.

Un approccio pratico

Per concludere vorremmo riepilogare, per quanto possibile, in pochi e semplici passaggi i punti da prendere in esame per una corretta gestione dei cookie e delle informazioni necessarie per il rispetto del GDPR:

  • Il cookie banner serve se sono presenti cookie;
  • Il consenso del cookie banner deve essere presente se ci sono cookie di marketing e/o statistici che non raccolgono i dati in forma anonima (argomento che tratteremo nell’articolo dedicato a Google Analytics), se sono presenti entrambe le tipologie servono consensi differenziati;
  • Il banner non deve avere i consensi già attivi di default, questi devono essere abilitati dall’utente;
  • E’ sempre necessario elencare ogni cookie per nome, di chi sono (prima o terza parte), valore associato (dato raccolto), durata e finalità nell’informativa cookie (la cookie policy).

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su