[GDPR e Cookies] Un focus sulle modalità di categorizzazione

Come definito nel precedente contributo [GDPR e Cookies] Una procedura operativa, a seguito dell’analisi del sito e dell’individuazione dei cookies che il gestore intende utilizzare, sarà necessario provvedere ad una loro categorizzazione, attraverso l’identificazione delle funzioni e della durata di ogni singolo cookie che si intende installare tramite il sito.
In questo modo sarà possibile definire correttamente il cookie, identificandone le tre caratteristiche principali: funzione, parte e durata:

FUNZIONE

Con funzione si intende l’attività del cookie durante la navigazione dell’utente.

Cookie necessari: servono per garantire la corretta navigazione nel sito visitato dall’utente e non trattato i suoi dati personali

Cookies tecnici: permettono un miglior funzionamento del sito (ad esempio, mantenendo l’elenco dei prodotti selezionati dall’utente all’interno della sezione “Carrello” di un E- commerce)

Cookies analitici: forniscono dati statistici, per esempio indicando il numero di visitatori per un certo arco temporale di una determinata pagina web

Cookies di profilazione e tracciamento: creano profili sull’utente ricostruendo tutte le sue attività svolte nel browser e tale profilazione sarà utilizzata a scopo prevalentemente commerciale

Cookies di marketing: sono utilizzati per fornire ai visitatori annunci pertinenti e precise campagne di marketing, focalizzandosi sull’attività svolta nel web dall’utente

PARTE

Con parte si intende il soggetto che installa il cookie.

Cookies di prime parti: sono creati dal web server del sito internet visitato dall’utente e per questo hanno il medesimo dominio; solitamente sono utilizzati per personalizzare la navigazione, per esempio permettendo il login automatico dell’utente

Cookies di terze parti: sono creati da un dominio diverso da quello del sito web che sta visitando l’utente e vengono utilizzati principalmente per fornire pubblicità personalizzata

DURATA

Con durata si intende il tempo di permanenza dell’installazione del cookie nel dispositivo dell’utente.

Cookies di sessione: sono conservati per la sola durata della sessione del browser e permettono di collegare tra loro le azioni dell’utente.

Cookie permanenti: sono conservati nel device dell’utente e conservano le azioni o le preferenze di un utente rispetto ad un sito anche per molto tempo 

L’operazione, valida poi ai fini della corretta costruzione del banner e della cookie policy, non potrà prescindere dall’analisi delle funzioni di ogni singolo cookie individuato.
In questo senso, il gestore del sito web dovrà fornire all’utente precise informazioni sui cookies utilizzati, indicando la categoria di riferimento, le finalità e la durata di conservazione. Inoltre, qualora i cookies rientrino nella categoria di “terze parti”, dovrà essere reso noto anche chi li gestisce insieme ad un link di rimando della relativa privacy policy e cookie policy.
Solo attraverso una corretta e attenta analisi dei cookies utilizzati sarà possibile fornire agli utenti indicazioni precise, tali da ottenere –qualora necessario- un loro consenso informato ed esplicitamente prestato, che dovrà essere registrato prima della memorizzazione dei cookies sul device dell’utente.

Gli strumenti automatizzati per la categorizzazione: la necessità del doppio controllo

Sia l’analisi che la definizione di appartenenza ad una delle categorie citate, oggi, vengono facilitate dall’uso di strumenti tecnici automatizzati che permettono di individuare le tecnologie traccianti installate, di definirne le funzioni e di stabilire la loro categoria di appartenenza.
Questi strumenti, però, non sono infallibili, e ciò per una ragione molto semplice: ad oggi, non esiste una libreria formale e standardizzata riferita a tali strumenti, i quali sono peraltro in costante aumento. Il rischio, quindi, che gli strumenti automatizzati inseriscano erroneamente un cookie in una categoria, che per le funzioni svolte, non gli appartiene, non è così remoto.

La fase di categorizzazione dovrà quindi essere gestita in modo ordinato e controllato, al fine di poter produrre un banner e una cookie policy che evitino di trarre in inganno o di confondere l’utente. A tal proposito, le Linee Guida CNIL (già richiamate nel primo articolo della serie) prevedono come l’uso di cookie diversi per ciascuna finalità distinta consentirebbe all’utente di distinguerli e garantire il rispetto sia del proprio consenso, sia del principio di trasparenza.
La Commissione raccomanda inoltre, come buona prassi, che i nomi dei tracker utilizzati siano espliciti e, per quanto possibile, standardizzati indipendentemente dall’attore che li ha impostati, sempre per permettere una facile comprensione da parte dell’utente.

Un esempio pratico di categorizzazione

Come potrebbe configurarsi quindi, la categorizzazione dei cookies di un sito web?
Di seguito, abbiamo provveduto ad individuare 3 cookies specifici indicandone le caratteristiche fondamentali per garantire la massima trasparenza in favore dell’utente, con una tabella che riporta un esempio di categorizzazione ordinata, che potrà poi essere ripresa per la corretta gestione del banner e della cookie policy.

Cookie: _ga
Funzione: Analytics (consente a un servizio di memorizzare e contare le visualizzazioni di una pagina)
Durata: 2 anni
Parte: Terza parte

Cookie: _fbp
Funzione: Marketing/Profilazione (permette di tenere traccia delle visite nei siti web per fornire una serie di prodotti pubblicitari, come le offerte in tempo reale di inserzionisti di terze parti)
Durata: 3 mesi
Parte: Terza parte

Cookie: CONSENT
Funzione: Tecnico (consente di memorizzare il consenso prestato) 
Durata: sessione
Parte: Prima parte

Valentina De Nicola

Valentina De Nicola

Nata a Venezia, si è laureata presso l’Università degli studi di Padova presentando una tesi in diritto penale d’impresa dal titolo “Gruppo d’impresa e D.Lgs. 231/2001: problemi e prospettive”. Dopo la laurea ha svolto il praticantato ed è stata abilitata al patrocinio, continuando ad approfondire il tema dei modelli organizzativi che l’hanno progressivamente avvicinata alla materia della data protection. È stata privacy consultant presso una primaria società di consulenza, sviluppando progetti di compliance per società private e pubbliche amministrazioni. È stata abilitata alla professione forense nel 2019, ed è iscritta all'Albo degli Avvocati di Venezia dal 2021, è certificata privacy specialist secondo la norma UNI ISO 11697:2017 presso AICQ SICEV, e sta continuando il suo percorso di specializzazione ultimando il Master di II livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università di Roma Tre; è interessata allo sviluppo di sistemi di gestione aziendali e nel tempo libero si dedica alla musica e alla lettura.