Cosa sono i cookies, come funzionano e cosa cambia con il GDPR

I cookies sono piccoli file che vengono memorizzati sui dispositivi utilizzati per navigare su internet, siano essi computer, cellulari o tablet. Quando un utente naviga su un sito web, solitamente scarica dei cookies presenti su quel sito. Questi piccoli pezzi di codice svolgono certamente delle funzioni importanti ed utili per lo stesso visitatore, ma ve ne sono alcuni più intrusivi che tengono traccia della navigazione effettuata sui vari siti internet. L’Unione Europea ha deciso di regolamentarli con la direttiva sulla protezione dei dati elettronici del 2002, a cui è seguita la famosa Cookie Law, entrata in vigore nel 2015. Le cose cambieranno ulteriormente con il nuovo GDPR, entrato in vigore nel 2016 e che ha dato tempo per adeguarsi fino al 25 maggio 2018. Vale la pena quindi riassumere cosa sono i cookie, come funzionano e cosa fare per adeguare i siti alla nuova normativa.

Cosa sono i cookies e come distinguerli

I cookie sono stati inventati nel 1994 da Lou Montulli che li ha implementati per la prima volta all’interno del browser Netscape Navigator. Come ho detto, i cookies possono eseguire numerose funzioni all’interno di un sito internet, alcune necessarie al funzionamento del sito stesso, altre utili per una migliore personalizzazione della pagina web. Una prima distinzione tra cookies, che riguarda la loro durata, è la seguente:

  • cookie di sessione. È il tipo più comune e la sua durata è limitata: viene attivato quando l’utente arriva su un sito web e viene cancellato quando l’utente abbandona il sito. Il suo scopo è quello di riconoscere l’utente che naviga tra una pagina e l’altra del sito, in modo che il sistema sappia che si tratta sempre della stessa persona. Questo vale sopratutto per i siti in cui l’utente ha la possibilità di registrarsi: dopo avere effettuato l’accesso, l’utente può navigare tra una pagina a l’altra senza che ad ogni cambio di pagina gli venga richiesto di accedere nuovamente. Come puoi immaginare, questo tipo di cookie è molto utile per il navigatore, che ad esempio può navigare su un sito e-commerce, aggiungere gli articoli nel carrello e continuare a navigare alla ricerca di nuovi prodotti, senza che il carrello venga svuotato. Questi cookies non causano alcun problema alla privacy dell’utente, in quanto vengono cancellati appena questo abbandona il sito o chiude la finestra del browser;
  • cookie persistente. È un cookie che si cancella dal dispositivo utilizzato dall’utente soltanto dopo un certo periodo di tempo, che può durare anche anni. Finchè esso è attivo, viene riconosciuto dal sistema per cui si può capire che il navigatore è tornato sul sito visitato in precedenza. Di conseguenza, è possibile personalizzare la pagina web, ad esempio con un messaggio di benvenuto, oppure visualizzando messaggi pubblicitari che richiamano gli stessi prodotti visualizzati in precedenza, per invogliare l’utente all’acquisto.

Un’altra distinzione riguarda la provenienza dei cookie, infatti questi possono essere:

  • Cookies originali, o first party cookies, che sono i cookie inviati al browser direttamente dal sito che si sta visitando. Possono essere sia di sessione che persistenti e sono gestiti direttamente dal responsabile del sito web;
  • Cookies di terze parti, che vengono gestiti da un soggetto terzo rispetto al responsabile del sito web. Affinchè questo sia possibile, è necessario che tra il soggetto terzo ed il responsabile del sito vi sia un accordo che permette di acquisire queste informazioni, per poi essere utilizzate per scopi diversi, come l’invio di pubblicità mirata.

Ulteriore distinzione da fare, e che ci riguarda da vicino, è quella che riguarda la funzione svolta dai cookie, che possono essere:

  • cookie tecnici, che sono i cookie necessari alla corretta navigazione di un sito, e corrispondono sostanzialmente ai cookie di sessione ci cui abbiamo parlato prima;
  • cookie di profilazione, che hanno lo scopo di memorizzare la navigazione effettuata dall’utente sui vari siti internet. In questo modo è possibile determinare un profilo dell’utente, i suoi gusti e le sue abitudini allo scopo di proporgli degli annunci pubblicitari in linea con le sue preferenze.

Cookies ed effetti sulla privacy

L’Unione europea, nella direttiva sulla protezione dei dati elettronici del 2002, ha rilevato che i cookies  possono contenere dati personali. In linea generale, affinchè il loro utilizzo non sia illegale è necessario che si verifichino alcune condizioni:

  • il cookie non deve conservare informazioni personali, se non in forma cifrata;
  • è necessario che venga fornita un’adeguata informativa al navigatore, prima della loro installazione;
  • l’informativa deve informare il navigatore che le informazioni contenute nei cookie potrebbero essere comunicate a soggetti terzi;
  • i cookie devono avere una data di cancellazione automatica e non troppo lontana nel tempo.

La c.d. Cookie Law, basata su un provvedimento del Garante per la protezione dei dati personali del maggio 2014, ha stabilito che entro il 2 giugno 2015 tutti i siti web dovessero essere in regola. Questa norma ha introdotto alcuni obblighi per i responsabili dei siti web che fanno uso di cookie. In particolare ha stabilito il divieto di installare cookie di profilazione sul dipositivo dell’utente prima del suo consenso. A tale scopo ha previsto una informativa breve ed un’informativa estesa:

  • l’informativa breve doveva apparire al primo accesso al sito web da parte dell’utente e doveva spiegare che il sito faceva uso di cookie. Per semplificare l’applicazione della norma è stato introdotto il principio del tacito consenso, se l’utente avesse continuato a navigare sul sito, anche scrollando la pagina, avrebbe dato un consenso tacito all’uso dei cookie. Tuttavia fino a quando l’utente non avesse dato il proprio consenso, anche tacito, il sito web non avrebbe potuto installare cookie di profilazione sul dispositivo dell’utente. L’informativa breve doveva anche contenere un link all’informativa estesa;
  • l’informativa estesa doveva menzionare i cookies presenti nel sito e dare la possibilità all’utente di negare il consenso per ciascun cookie di profilazione. Una volta revocato il consenso i cookie interessati dovevano essere cancellati. Nel caso in cui i cookie di profilazione fossero di terze parti, non era necessario inserire la possibilità di deselezionarli,  ma occorreva inserire i link aggiornati alle informative e ai moduli di consenso delle terze parti.

Cookies e GDPR: cosa cambia a maggio 2018

GDPR è l’acronimo inglese di Regolamento Generale sulla protezione dei dati n. 679 del 27 aprile 2016. Il nuovo regolamento prevede una disciplina molto meno tollerante rispetto al passato, che incide su tutta la gestione dei dati personali da parte di aziende e pubbliche amministrazioni. La norma incide anche sui dati personali acquisiti tramite app o siti web, ad esempio attraverso form di contatto in cui inserire il proprio nome o l’email. Poichè anche le informazioni contenute nei cookie sono considerate dati personali, occorre modificare ancora una volta la loro gestione. Vediamo come:

  • Per prima cosa scompare il concetto di consenso tacito. Non basta più scrollare la pagina, il consenso deve essere dato con un’azione affermativa, come un click su una casella di testo ed il rifiuto dei cookie deve essere un’opzione facile da selezionare;
  • L’utente deve potere ritirare il proprio consenso. Il sito deve avere un’apposita pagina che consenta all’utente di ritirare il consenso dato in precedenza;
  • La possibilità di scelta non deve influire sulla navigabilità del sito, che deve continuare a funzionare regolarmente anche se è stato negato il consenso;
  • Il consenso deve essere richiesto ogni dodici mesi, e sopratutto i consensi devono essere memorizzati come documentazione. In altre parole occorre che ciascun consenso sia registrato in un database, in modo da essere utilizzato come prova in caso di controlli.

Per questi motivi, le informative finora utilizzate nei siti web sotto forma di banner non saranno più in regola con la normativa sulla privacy. Esse dovranno essere sostituite con delle informative che consentano sin da subito di dare o negare il consenso ai vari tipi di cookies presenti sul sito.

Come adeguare i siti WordPress al GDPR

Nel momento in cui scrivo, gli sviluppatori di WordPress stanno lavorando alla versione 4.9.6 che introduce alcuni strumenti utili alla gestione della privacy. Per maggiori info puoi consultare questo articolo del blog di WordPress.org dove vengono annunciate le principali novità.

Nel frattempo altri sviluppatori hanno creato appositi plugin per adeguarsi alla normativa. Io non li ho ancora testati a fondo perchè voglio aspettare le novità che WordPress metterà a disposizione con la nuova versione, ma se vuoi cominciare a provarli indico qui sotto i link di due plugin che mi sembrano molto promettenti:

  • Cookiebot. Questo plugin consente un uso gratuito per i siti che contengono fino a 100 pagine. Se il tuo sito ne ha più di 100 sei costretto a passare alla versione a pagamento, il cui costo aumenta a seconda del numero di pagine. Il plugin è molto semplice da implementare ed effettua automaticamente una scansione dei cookies presenti sul sito, per poi riportarli all’interno dell’informativa.
  • GDPR. Questo plugin è gratuito e sembra essere perfettamente in regola con la normativa. Prevede delle estensioni a pagamento per l’implementazione su servizi come Mailchimp, Hubspot ed altri. La cosa negativa è che non prevede automatismi nella ricerca dei cookies, devi essere tu a controllare tutte le pagine del sito, prendere nota dei cookies esistenti e riportarli all’interno dell’informativa. Poi per ciascuno di questi devi impostare la casella di spunta.

Siamo arrivati alla fine dell’articolo, se hai dubbi o considerazioni scrivi pure un commento. Se pensi che possa essere utile ai tuoi contatti condividilo!