Biscotti 101

Image of Carlo Cilento

Pubblicato il 9 apr 2024 e modificato il 2 apr 2025 da Carlo Cilento

Quando si parla di privacy online, si parla sempre di cookie. Ma come funzionano i cookie e quali regole si applicano?

Si potrebbe pensare che i cookie necessitino di un consenso. Dopo tutto, molti siti web vi infastidiscono con i banner dei cookie! Ma le regole sono più complesse e non tutti i cookie sono trattati allo stesso modo dalla legge. Vediamo quindi di fare un po' di chiarezza sui cookie e sui loro requisiti legali nell'UE.

  1. Cosa sono i cookie e a cosa servono?
  2. Come sono regolamentati i cookie in Europa?
  3. Quali tipi di cookie esistono?
    1. Di prima parte o di terza parte
    2. Essenziali e non essenziali
    3. Unico vs. non unico
  4. Come sono regolamentati i cookie?
    1. I cookie non essenziali richiedono il consenso...
    2. ... ma i cookie essenziali no
    3. Possono essere applicate regole aggiuntive rispetto al GDPR
    4. Cosa succede se utilizzo i cookie per più scopi?
    5. Il consenso è opt-in
  5. E le app?
  6. I cookie sono utili per l'analisi del web?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Cosa sono i cookie e a cosa servono?

I cookie sono piccoli file memorizzati all'interno del browser che scambiano informazioni con il server ogni volta che si naviga su un sito web.

Sebbene i cookie siano spesso associati all'analisi del web, vengono utilizzati per gli scopi più disparati. Molti siti web utilizzano i cookie per la lotta alle frodi, la sicurezza web e il login automatico. Lo scopo dei cookie è importante perché non tutti i cookie sono trattati allo stesso modo ai sensi della legislazione dell'UE, come vedremo più avanti.

Come sono regolamentati i cookie in Europa?

Le regole sui cookie sono piuttosto complesse nell'UE, quindi ecco un breve riassunto per rendere il tutto meno confuso:

  • Se i cookie sono essenziali per il funzionamento del sito web, non è necessario il consenso.
  • Se i cookie non sono essenziali, è necessario il consenso per il loro utilizzo. In genere ciò significa visualizzare un banner sui cookie.
  • Se il vostro cookie ha un identificatore unico, avete alcuni obblighi ai sensi del GDPR. Potreste comunque essere in grado di inserire questi cookie senza consenso, se sono essenziali.

Anche in questo blog si farà riferimento solo alla legislazione dell'UE. Le diverse legislazioni regolano i cookie in modo diverso: ad esempio, il Regno Unito e il Brasile sono strettamente allineati alle leggi europee, mentre le normative statunitensi sono tipicamente più permissive.

Quali tipi di cookie esistono?

Sebbene tutti i cookie funzionino in modo simile, esistono alcune distinzioni tra di essi, alcune delle quali rilevanti ai fini della legge.

Di prima parte o di terza parte

I cookie di prima parte possono essere letti solo dal dominio che li ha scritti nel browser, mentre quelli di terza parte possono essere letti anche da domini diversi.

Ad esempio, se visitate Facebook e accettate i cookie di terze parti di Meta, anche altri siti web saranno in grado di leggere tali cookie. Ciò consente a Meta di "personalizzare la vostra esperienza" (leggi: proporre pubblicità mirate basate su una profilazione invasiva, sia su Facebook che sulla navigazione di altri siti web che si affidano a Meta per la pubblicazione di annunci).

D'altra parte, se accettate i cookie di prima parte di www.coolwebsite.com, il sito sarà in grado di leggerli, ma un dominio diverso come _www.awesomewebsite.com\_ non lo farà.

I cookie di terze parti sono altamente invasivi. Questo è il motivo per cui molti utenti di Internet fanno di tutto per installare i blocchi degli annunci pubblicitari e per cui molti browser bloccano i cookie di terze parti o limitano lo snooping in altri modi (come i vasi dei cookie di Mozilla Firefox). Questa reazione generale contro i cookie è stata definita il più grande boicottaggio della storia umana e sta rendendo i cookie di terze parti sempre più inefficaci come strumento di retargeting.

Essenziali e non essenziali

I cookie essenziali sono quelli di cui un'applicazione e un sito web hanno bisogno per funzionare correttamente. Ad esempio, i cookie utilizzati per prevenire gli attacchi DoS contro i siti web sono essenziali, mentre i cookie analitici del web sono non essenziali.

Questa è la distinzione principale dal punto di vista legale, perché i cookie non essenziali richiedono sempre il consenso ai sensi della legislazione dell'UE (per maggiori informazioni si veda più avanti). In effetti, i cookie non essenziali sono talvolta definiti facoltativi, a causa della loro regolamentazione generalmente più rigorosa ai sensi della legge.

Unico vs. non unico

Infine, diamo un'occhiata a una terza distinzione, spesso trascurata. Alcuni cookie includono un identificatore univoco, ossia una stringa di numeri che identifica un singolo utente (o più esattamente il suo browser). Questo identificatore consente a un sito web di monitorare un singolo utente perché non esistono due cookie uguali.

I comuni strumenti di analisi web, come Google Analytics e Adobe Analytics, utilizzano i cookie identificativi per tracciare le persone su Internet e profilarle in base alle loro abitudini di navigazione. Si tratta quindi del tipo di cookie di cui si lamentano (giustamente) i sostenitori della privacy. Ma i cookie identificativi hanno anche usi diversi e meno invasivi: ad esempio, molti siti web li utilizzano per la lotta alle frodi e le piattaforme di e-commerce li usano spesso per tracciare i prodotti nel carrello.

Gli identificatori univoci sono rilevanti dal punto di vista legale, perché sono considerati dati personali. Pertanto, i cookie con identificatori univoci sono sempre dati personali e rientrano nel GDPR, mentre i cookie senza identificatori univoci non lo sono.

Come sono regolamentati i cookie?

Le norme sui cookie sono contenute principalmente in due fonti giuridiche: il GDPR e la Direttiva ePrivacy. La regolamentazione dei cookie è alquanto complicata perché le due leggi differiscono in termini di criteri, terminologia e ambito di applicazione.

Come abbiamo anticipato nel nostro td;dr:

  • I cookie non essenziali richiedono sempre il consenso opt-in.
  • I cookie non essenziali non richiedono alcun consenso.
  • Alcuni cookie sono soggetti ad altri requisiti ai sensi del GDPR, indipendentemente dal fatto che siano essenziali o meno.

Vediamo di suddividere queste regole un po' alla volta.

I cookie non essenziali richiedono il consenso...

La Direttiva ePrivacy (più precisamente, l'articolo 5(3)) richiede il consenso per accedere ai dati memorizzati sull'apparecchiatura terminale dell'utente. Ciò significa che i cookie possono essere utilizzati solo con il consenso - ma ci sono delle eccezioni, come vedremo -.

L'articolo si applica anche a tecnologie diverse dai cookie, perché è formulato in modo molto ampio. Ad esempio, anche i tracker integrati nelle app mobili richiedono il consenso, così come gli identificatori pubblicitari per i dispositivi mobili, come l'AAID di Google o l'IDFA di Apple.

Questa regola del consenso obbligatorio è più severa di quella prevista dal GDPR. L'idea che il GDPR riguardi solo il consenso è fuorviante, poiché esistono modi assolutamente legittimi per raccogliere dati senza consenso(come abbiamo spiegato qui).

... ma i cookie essenziali no

La direttiva prevede un'esclusione per i dati "strettamente necessari per fornire un servizio della società dell'informazione" su richiesta dell'utente.

Questa esclusione è interpretata in modo piuttosto ampio dalle autorità di regolamentazione e copre tutti i dati di cui siti web e app hanno bisogno per funzionare. Per questo motivo i cookie essenziali non richiedono il consenso, come avevamo anticipato.

Per esempio, supponiamo di visitare un sito web di e-commerce e di cambiare la lingua in spagnolo. La vostra preferenza linguistica è probabilmente memorizzata attraverso un cookie. Si tratta di un cookie essenziale: per poter navigare sul sito web, è necessario che il sito visualizzi i suoi contenuti in una lingua comprensibile all'utente. Pertanto, il sito web non ha bisogno del vostro consenso per poterlo fare.

Ma se lo stesso sito web vuole utilizzare i cookie di Google Analytics, ha bisogno del vostro consenso. Questo perché l'analisi del web e il retargeting sono cose extra che il sito web vuole ma non deve fare.

(A margine, la Direttiva ePrivacy prevede una seconda esclusione per i dati strettamente necessari a rendere possibile la comunicazione. Questa esclusione non si applica tipicamente ai cookie, ma vale comunque la pena di menzionarla).

Possono essere applicate regole aggiuntive rispetto al GDPR

Il GDPR e la Direttiva ePrivacy non hanno lo stesso campo di applicazione: il GDPR si applica ai dati personali, mentre la Direttiva ePrivacy (e in particolare l'articolo 5) si applica a tutti i dati di comunicazione, siano essi dati personali o meno. Questo complica un po' le cose, perché alcuni cookie rientrano sia nella Direttiva ePrivacy che nel GDPR, mentre altri rientrano solo nella Direttiva ePrivacy.

Spiegare tutto nel dettaglio renderebbe questo blog troppo lungo, ma in poche parole:

  • I cookie che rientrano nel GDPR sono, ancora una volta, quelli che contengono un identificatore unico.
  • Se si applica il GDPR, si applicano anche alcune regole generali (ad esempio, basi giuridiche, obblighi di informazione, diritto di accesso ai dati e così via). Il fatto che si applichi il GDPR non significa che sia necessario il consenso! I cookie con ID univoco possono ancora essere utilizzati senza consenso se sono essenziali. Nell'esempio precedente, i cookie univoci utilizzati dai siti di e-commerce per tenere traccia degli articoli nel carrello sono cookie essenziali e sono esenti dall'obbligo di consenso.

Cosa succede se utilizzo i cookie per più scopi?

A volte i cookie vengono utilizzati per più scopi. Ad esempio, è possibile che lo stesso cookie venga utilizzato sia per la lotta alle frodi che per l' analisi del web.

Si può capire perché i cookie per scopi multipli sono problematici. I cookie non essenziali richiedono il consenso, mentre quelli essenziali non lo richiedono. Che dire dei cookie che soddisfano sia finalità essenziali che non essenziali?

Fortunatamente, il Comitato europeo per la protezione dei dati è intervenuto qualche tempo fa: fintanto che ogni singolo scopo non è essenziale, il cookie richiede il consenso. Questo importante chiarimento chiude pericolose scappatoie che altrimenti consentirebbero il tracciamento non consensuale.

La conseguenza pratica è evitare di utilizzare gli stessi cookie per scopi essenziali e non essenziali. Ciò consente di rispettare la scelta dell'utente e di poter scrivere tutti i cookie essenziali che fanno funzionare il vostro sito web.

Il consenso è opt-in

Il consenso è un argomento complesso. In questa sede possiamo solo sfiorare la superficie, ma vale la pena sottolineare che è valido solo il consenso attivo, opt-in. Non esiste un consenso implicito o opt-out ai sensi del GDPR!

La regola del consenso opt-in ha importanti conseguenze per la web analytics:

  • Il vostro banner sui cookie deve utilizzare una formulazione affermativa come "Accetto i cookie" o "Acconsento all'uso dei cookie". Evitate un linguaggio ambiguo come il riconoscimento dell' uso dei cookie.
  • Il vostro sito web non deve scrivere i cookie non essenziali finché l'utente non fa una scelta. Ignorare il banner dei cookie e continuare a scorrere non è una scelta, e lo stesso vale per il clic su un pulsante "chiudi/X/disattiva".

C'è molto altro da dire sul consenso e sui cookie, soprattutto per quanto riguarda la web analytics, e potremmo tornare presto sull'argomento.

E le app?

Il tracciamento delle app è diverso da quello basato sui cookie in quanto i tracker sono in genere integrati direttamente nell'app. Tuttavia, l'articolo 5 della Direttiva ePrivacy è formulato in modo molto ampio e i tracker comunemente presenti nelle app rientrano nel suo campo di applicazione.

Per farla breve, la regola è la stessa: se il tracciamento non è strettamente necessario, è necessario il consenso.

Ma questo requisito viene ampiamente ignorato. La maggior parte dell'industria delle app utilizza kit di sviluppo software (SDK) di terze parti che sono pieni di tracker. Questi kit raccolgono dati a vantaggio dello sviluppatore del kit e spesso ignorano o aggirano le norme sul consenso. Il risultato finale è un tracciamento illegale su scala planetaria.

Come se non bastasse, l'utente ha meno controllo sulle app rispetto ai siti web che visita, perché non può installare un blocco degli annunci o controllare ed eliminare i tracker come farebbe con i cookie del browser. Questo è il motivo per cui ogni azienda sotto il sole cerca di imporvi un'app scadente.

Tl;dr: le app seguono le stesse regole dei cookie, ma le aziende fanno finta di niente.

I cookie sono utili per l'analisi del web?

Dipende. I servizi di analisi basati sui cookie, come Google Analytics e Adobe Analytics, sono in grado di raccogliere dati a grana fine, ma questi dati hanno un costo per la privacy degli utenti. Si tratta di una questione etica che può diventare un problema pratico in giurisdizioni con requisiti di consenso severi, come l'UE, perché i banner dei cookie portano a tassi di opt-out elevati e ad analisi imprecise.

Simple Analytics può risolvere il problema. Costruiamo il nostro servizio per fornirvi tutte le informazioni di cui avete bisogno senza utilizzare i cookie e senza raccogliere dati personali. Simple Analytics è un'ottima alternativa a Google Analytics, incentrata sulla privacy, nonché un complemento perfetto per mitigare la perdita di dati causata dai cookie banner.

Se siete curiosi, non esitate a provarci!

GA4 è complesso. Prova Simple Analytics

GA4 è come essere seduti nella cabina di pilotaggio di un aereo senza licenza di pilota

Inizia gratis ora