Cosa sono i cookies, come funzionano e cosa cambia con il GDPR

I cookies sono piccoli file che vengono memorizzati sui dispositivi utilizzati per navigare su internet, siano essi computer, cellulari o tablet. Quando un utente naviga su un sito web, solitamente scarica dei cookies presenti su quel sito. Questi piccoli pezzi di codice svolgono certamente delle funzioni importanti ed utili per lo stesso visitatore, ma ve ne sono alcuni più intrusivi che tengono traccia della navigazione effettuata sui vari siti internet. L’Unione Europea ha deciso di regolamentarli con la direttiva sulla protezione dei dati elettronici del 2002, a cui è seguita la famosa Cookie Law, entrata in vigore nel 2015. Le cose cambieranno ulteriormente con il nuovo GDPR, entrato in vigore nel 2016 e che ha dato tempo per adeguarsi fino al 25 maggio 2018. Vale la pena quindi riassumere cosa sono i cookie, come funzionano e cosa fare per adeguare i siti alla nuova normativa.

Cosa sono i cookies e come distinguerli

I cookie sono stati inventati nel 1994 da Lou Montulli che li ha implementati per la prima volta all’interno del browser Netscape Navigator. Come ho detto, i cookies possono eseguire numerose funzioni all’interno di un sito internet, alcune necessarie al funzionamento del sito stesso, altre utili per una migliore personalizzazione della pagina web. Una prima distinzione tra cookies, che riguarda la loro durata, è la seguente:

  • cookie di sessione. È il tipo più comune e la sua durata è limitata: viene attivato quando l’utente arriva su un sito web e viene cancellato quando l’utente abbandona il sito. Il suo scopo è quello di riconoscere l’utente che naviga tra una pagina e l’altra del sito, in modo che il sistema sappia che si tratta sempre della stessa persona. Questo vale sopratutto per i siti in cui l’utente ha la possibilità di registrarsi: dopo avere effettuato l’accesso, l’utente può navigare tra una pagina a l’altra senza che ad ogni cambio di pagina gli venga richiesto di accedere nuovamente. Come puoi immaginare, questo tipo di cookie è molto utile per il navigatore, che ad esempio può navigare su un sito e-commerce, aggiungere gli articoli nel carrello e continuare a navigare alla ricerca di nuovi prodotti, senza che il carrello venga svuotato. Questi cookies non causano alcun problema alla privacy dell’utente, in quanto vengono cancellati appena questo abbandona il sito o chiude la finestra del browser;
  • cookie persistente. È un cookie che si cancella dal dispositivo utilizzato dall’utente soltanto dopo un certo periodo di tempo, che può durare anche anni. Finchè esso è attivo, viene riconosciuto dal sistema per cui si può capire che il navigatore è tornato sul sito visitato in precedenza. Di conseguenza, è possibile personalizzare la pagina web, ad esempio con un messaggio di benvenuto, oppure visualizzando messaggi pubblicitari che richiamano gli stessi prodotti visualizzati in precedenza, per invogliare l’utente all’acquisto.

Un’altra distinzione riguarda la provenienza dei cookie, infatti questi possono essere:

  • Cookies originali, o first party cookies, che sono i cookie inviati al browser direttamente dal sito che si sta visitando. Possono essere sia di sessione che persistenti e sono gestiti direttamente dal responsabile del sito web;
  • Cookies di terze parti, che vengono gestiti da un soggetto terzo rispetto al responsabile del sito web. Affinchè questo sia possibile, è necessario che tra il soggetto terzo ed il responsabile del sito vi sia un accordo che permette di acquisire queste informazioni, per poi essere utilizzate per scopi diversi, come l’invio di pubblicità mirata.

Ulteriore distinzione da fare, e che ci riguarda da vicino, è quella che riguarda la funzione svolta dai cookie, che possono essere:

  • cookie tecnici, che sono i cookie necessari alla corretta navigazione di un sito, e corrispondono sostanzialmente ai cookie di sessione ci cui abbiamo parlato prima;
  • cookie di profilazione, che hanno lo scopo di memorizzare la navigazione effettuata dall’utente sui vari siti internet. In questo modo è possibile determinare un profilo dell’utente, i suoi gusti e le sue abitudini allo scopo di proporgli degli annunci pubblicitari in linea con le sue preferenze.

Cookies ed effetti sulla privacy

L’Unione europea, nella direttiva sulla protezione dei dati elettronici del 2002, ha rilevato che i cookies  possono contenere dati personali. In linea generale, affinchè il loro utilizzo non sia illegale è necessario che si verifichino alcune condizioni:

  • il cookie non deve conservare informazioni personali, se non in forma cifrata;
  • è necessario che venga fornita un’adeguata informativa al navigatore, prima della loro installazione;
  • l’informativa deve informare il navigatore che le informazioni contenute nei cookie potrebbero essere comunicate a soggetti terzi;
  • i cookie devono avere una data di cancellazione automatica e non troppo lontana nel tempo.

La c.d. Cookie Law, basata su un provvedimento del Garante per la protezione dei dati personali del maggio 2014, ha stabilito che entro il 2 giugno 2015 tutti i siti web dovessero essere in regola. Questa norma ha introdotto alcuni obblighi per i responsabili dei siti web che fanno uso di cookie. In particolare ha stabilito il divieto di installare cookie di profilazione sul dipositivo dell’utente prima del suo consenso. A tale scopo ha previsto una informativa breve ed un’informativa estesa:

  • l’informativa breve doveva apparire al primo accesso al sito web da parte dell’utente e doveva spiegare che il sito faceva uso di cookie. Per semplificare l’applicazione della norma è stato introdotto il principio del tacito consenso, se l’utente avesse continuato a navigare sul sito, anche scrollando la pagina, avrebbe dato un consenso tacito all’uso dei cookie. Tuttavia fino a quando l’utente non avesse dato il proprio consenso, anche tacito, il sito web non avrebbe potuto installare cookie di profilazione sul dispositivo dell’utente. L’informativa breve doveva anche contenere un link all’informativa estesa;
  • l’informativa estesa doveva menzionare i cookies presenti nel sito e dare la possibilità all’utente di negare il consenso per ciascun cookie di profilazione. Una volta revocato il consenso i cookie interessati dovevano essere cancellati. Nel caso in cui i cookie di profilazione fossero di terze parti, non era necessario inserire la possibilità di deselezionarli,  ma occorreva inserire i link aggiornati alle informative e ai moduli di consenso delle terze parti.

Cookies e GDPR: cosa cambia a maggio 2018

GDPR è l’acronimo inglese di Regolamento Generale sulla protezione dei dati n. 679 del 27 aprile 2016. Il nuovo regolamento prevede una disciplina molto meno tollerante rispetto al passato, che incide su tutta la gestione dei dati personali da parte di aziende e pubbliche amministrazioni. La norma incide anche sui dati personali acquisiti tramite app o siti web, ad esempio attraverso form di contatto in cui inserire il proprio nome o l’email. I cookies non vengono menzionati in modo specifico dalla nuova normativa, tuttavia è l’impostazione stessa del GDPR ad influire indirettamente su di essi. Vediamo come:

  • Per prima cosa scompare il concetto di consenso tacito. Non basta più scrollare la pagina, il consenso deve essere dato con un’azione affermativa, come un click su una casella di testo ed il rifiuto dei cookie deve essere un’opzione facile da selezionare;
  • L’utente deve potere ritirare il proprio consenso. Il sito deve avere un’apposita sezione che consenta all’utente di ritirare il consenso dato in precedenza;
  • La possibilità di scelta non deve influire sulla navigabilità del sito, che deve continuare a funzionare regolarmente anche se è stato negato il consenso;
  • Il consenso deve essere richiesto ogni dodici mesi, e sopratutto i consensi devono essere memorizzati come documentazione. In altre parole occorre che ciascun consenso sia registrato in un database, in modo da essere utilizzato come prova in caso di controlli.

Come adeguare i siti WordPress al GDPR

Gli sviluppatori di WordPress a partire dalla versione 4.9.6 hanno introdotto alcuni strumenti utili alla gestione della privacy. Per maggiori info puoi consultare questo articolo del blog di WordPress.org dove vengono annunciate le principali novità.

Per quanto riguarda i plugin di terze parti per la gestione del consenso dei cookies, per questo sito mi sono affidato a Smart Cookie Kit di Nicola Modugno. Con più di 3000 installazioni attive, svolge bene il suo lavoro ed è molto facile da customizzare.  Come richiesto dal GDPR, archivia i consensi nel database ed in qualsiasi momento l’utente può modificare la scelta iniziale.