Guida ai Cookie: cosa sono, come si usano e perché se ne parla

24 June 2021 / Di Denise Ronconi / 0 Comments

Siamo circondati da cookie, acquisizione consenso, banner e informative privacy. Quando navighiamo su Internet e vistiamo un sito web, ogni nostro click e interazione può trasformarsi tecnicamente in cookie.

Nell’ultimo anno i “biscottini” più famosi del web sono stati fortemente discussi, in seguito alla decisione presa dai diversi browser (Google Chrome su tutti) di far scomparire quelli di terze parti a partire dal 2023.

Ma sappiamo esattamente cosa sono questi cookie? Sappiamo come funzionano, come si usano e perché – all’occorrenza – possono rappresentare un pericolo per la privacy degli gli utenti? Vediamo tutto quello che bisogna sapere.

 

Cosa sono i Cookie

I cookie (letteralmente "biscotti") possono essere definiti come veri e propri tracker del web: sono piccoli file di testo trasmessi sui dispositivi di navigazione degli utenti, che consentono a chi li ha realizzati e installati (il gestore del sito o terze parti) di memorizzare una serie di dati sui comportamenti e sulle preferenze degli utenti.

Poiché i cookie sono leggibili solo dal server web che li crea, ad ogni utente possono essere associati più cookie e questo ha portato alla nascita di milioni di “biscottini”.

Se andiamo su un sito di e-commerce, selezioniamo gli articoli da acquistare, interrompiamo il processo di acquisto e riapriamo il sito dopo qualche giorno, troviamo ancora il nostro carrello compilato. Questo è possibile proprio grazie alle informazioni raccolte dai cookie.

Non è chiaro l’accostamento terminologico tra il concetto di biscotto e quello di cookie informatici. Più chiara è invece la loro origine: nati circa 25 anni fa, conosciuti anche come cookie HTTP, i cookie prendono il nome da una tecnica informatica degli anni ’80 detta appunto “magic cookie” e molto nota in ambiente UNIX (un sistema operativo portabile dell’epoca).

A cosa servono i Cookie

I cookie sono usati per differenti finalità. In sostanza, lo scopo principale è quello di memorizzare piccole quantità di informazioni sulla navigazione degli utenti per offrire esperienze personalizzate. 

Da un lato permettono ai siti web di personalizzare i propri contenuti in base agli interessi degli utenti tramite il monitoraggio delle sessioni e la memorizzazione delle preferenze. Lato utente, agevolano le operazioni di login e la fruizione dei contenuti on line. Aiutano ad esempio a tenere traccia degli articoli in un carrello e-commerce o delle informazioni per la compilazione di un form.

In un’ottica di marketing, i cookie possono essere impiegati per profilare l’utente, cioè per "osservarne" i comportamenti, ad esempio al fine di inviare pubblicità mirate, (come nel caso del Programmatic Advertising) misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. Si parla in questo caso di cookie di profilazione, tipologia che approfondiremo in questa guida.

I Cookie sono pericolosi per la Privacy?

Ma se i cookie sono così utili, perché negli ultimi anni si sente dire che sono pericolosi? I cookie in sé non costituiscono un rischio, ma il modo in cui possono essere utilizzati può essere dannoso in termini di privacy degli utenti, un tema sempre più rilevante nel mondo del web e non solo (basti pensare ai cambiamenti introdotti negli ultimi anni dal GDPR).

La Cookie Law, che fornisce le principali definizioni e obblighi in tema di acquisizione del consenso per l’uso dei cookie, si è resa necessaria proprio per regolare la tutela della privacy degli utenti web. Nel corso dell’articolo ritorneremo sul tema della Cookie Law più volte. Qui ci basta chiarire la regola di fondo: per l'invio e l'accesso ai cookie occorre il consenso libero e inequivocabile degli utenti. Questo significa che l’utente deve essere prima informato sul trattamento dei suoi dati personali, per poi poter manifestare il suo interesse ad accettare quel particolare trattamento.

Il titolare del trattamento, in tal senso, è tenuto a rispettare diversi obblighi e una precisa cookie policy. In particolare deve rendere evidente sulla sua pagina web un banner per il consenso e un link all’informativa estesa. Tutti aspetti che approfondiremo nella sezione della guida dedicata alla normativa e alla Cookie Law.

 

Il nuovo scenario dei Cookie: le prospettive per la profilazione e la misurazione

Scopri il Report

 

Tipologie di Cookie utilizzabili

La Cookie Law definisce i cookie come "stringhe di testo di piccole dimensioni che i siti visitati dall´utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l´utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando".

Il testo della legge comunitaria, oltre a definire una volta per tutte il funzionamento dei cookie, ci fornisce alcune importanti distinzioni all’interno della stessa famiglia dei cookie. Innanzitutto a seconda del lasso di tempo per cui un tracker opera sul dispositivo di un utente. In questo caso si distingue tra:

  • cookie di sessione, i quali durano finché non viene chiuso il browser;
  • cookie permanenti, che invece continuano ad operare anche dopo la chiusura del browser.

È possibile, inoltre, andare a più fondo e classificare le “piccole stringhe di testo” memorizzate nei nostri dispositivi anche in funzione di quella che è la loro finalità di utilizzo e la loro proprietà.

 

Cookie in base alla finalità

In base alle finalità perseguite da chi utilizza i cookie, essi possono essere classificati in tre categorie: cookie tecnici, cookie analitici e cookie di profilazione.

1. Cookie tecnici

I cookie tecnici, installati direttamente dal titolare o gestore del sito web, permettono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, ma anche memorizzare alcune informazioni (ad esempio gli articoli in un carrello eCommerce). Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure (attività di home banking, per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili).

Includono cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (es. per realizzare un acquisto o accedere ad aree riservate), e cookie di funzionalità, che permettono all’utente di navigare secondo alcuni criteri selezionati (es. lingua) al fine di migliorare il servizio reso.

2. Cookie analitici

I cookie analitici possono essere realizzati e installati dal gestore del sito o da terze parti e servono a monitorare l’uso del sito da parte degli utenti. Vengono talvolta anche definiti “statistici” vista la loro specifica funzione di analisi e monitoraggio.

All’interno del testo normativo, i cookie analitici figurano come una particolare categoria di cookie tecnici quando raccolgono dati anonimi in forma aggregata, usati solo dal gestore del sito per finalità di ottimizzazione e studio delle pagine visitate. Possono verificarsi in realtà situazioni di cookie ibridi, in cui i dati sono raccolti per finalità di analisi, ma attraverso uno strumento terzo (è il caso di Google Analytics o altri software di monitoraggio web).

3. Cookie di profilazione

I cookie di profilazione servono a tracciare la navigazione dell’utente, analizzare il suo comportamento per finalità di marketing e creare profili in base ai suoi gusti/abitudini, in modo da proporre messaggi pubblicitari mirati in linea con i suoi interessi e con le sue preferenze manifestate durante la navigazione, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali.

 

Cookie di prima parte vs Cookie di terze parti

Esistono due tipologie di cookie anche in base al soggetto che li installa sul dispositivo dell’utente: i first party cookies e i third party cookies.

I cookie di prima parte sono creati e impostati dai proprietari del dominio del sito web che l’utente sta visitando, solitamente si tratta di cookie tecnici utili per il funzionamento del sito.

I cookie di terze parti, invece, creati da domini differenti da quello in cui l’utente sta navigando, sono utilizzati per il tracciamento cross-site, il retargeting, la profilazione degli utenti e il matching degli ID degli utenti tra diverse piattaforme.

Negli ultimi anni sempre più operatori, come vedremo nel corso della guida, hanno deciso di eliminare i cookie di terze parti per il tracciamento degli utenti online dai propri browser. Si attende la deciso di Google che posticipato al 2023 il blocco dei cookie di terze parti dal suo browser Chrome, inizialmente previsto per il 2022.

Questa decisione potrebbe portare verso la fine dell’era dei cookie come oggi noi la conosciamo generando importanti conseguenze per tutto l’ecosistema di marketing e comunicazione, che negli ultimi anni ne ha fatto larghissimo utilizzo. Quando si parla di un futuro cookieless, pertanto, è proprio ai cookie di terze parti a cui si fa riferimento. Per il momento i cookie di prima parte potranno ancora essere utilizzati all’interno dei principali browser (ad eccezione di Safari).

 

Normativa Cookie: legge e linee guida per l'uso dei Cookie

Come già ampiamente descritto, i cookie possono rappresentare un rischio concreto per la privacy degli utenti. Per tale motivo l’utilizzo di questi tracker è sempre più soggetto a normative e ad autoregolamentazioni delle grandi società tecnologiche - in ultimo Google Chrome - con l’obiettivo di tutelare la privacy.

Cookie Law in Italia

La Cookie Law, promulgata dal Parlamento Europeo nel maggio del 2011, prevede che i siti web chiedano agli utenti il permesso di registrare i loro cookie durante la navigazione sul sito stesso. Il primo provvedimento italiano sulle modalità di utilizzo dei cookie da parte degli operatori Internet è stato emanato nel maggio 2014 dal Garante per la Protezione dei Dati Personali, recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

La regolamentazione prende spunto dalla normativa italiana vigente in materia di trattamento dei dati personali (articolo 122 del Codice della Privacy). L’obiettivo del Garante è quello di consentire agli utenti di esprimere scelte realmente consapevoli sull´installazione dei cookie mediante la manifestazione di un consenso espresso e specifico, senza penalizzare l’esperienza di navigazione degli stessi utenti.

La normativa è stata recentemente aggiornata dal Garante nel giugno 2021, attraverso l’emanazione di nuove linee guida.

Cosa prevedono le nuove linee guida sui Cookie

Il Garante per la protezione dei dati personali ha approvato le nuove linee guida sui cookie del 10 giugno 2021 e applicabili dal 10 gennaio 2022, ad aggiornamento delle precedenti disposizioni datate 2014. L'obiettivo del Garante è quello di rafforzare il potere decisionale degli utenti riguardo all’uso dei loro dati personali quando navigano online.

Le linee guida del Garante normano la modalità di raccolta dei consensi, in particolare per quanto concerne i cookie di profilazione, siano essi di prima parte o terze parti. Alla base delle nuove linee guida si colloca la necessità di predisporre un quadro rafforzato di tutele per rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo utente.

Le regole per il consenso ai Cookie

L'utente deve poter rifiutare il consenso con la stessa facilità con la quale può accettare. Inoltre, a seguito del rifiuto il sito non dovrebbe ripetere ogni volta la richiesta di consenso, ma conservare la scelta per almeno 6 mesi. In sintesi, il meccanismo di acquisizione del consenso online prescritto dal Garante si fonda su questi 4 obblighi fondamentali.

  1. Obbligo di non installare alcun tipo di cookie diverso dai cookie tecnici
    Il titolare del sito web deve garantire che, per impostazione predefinita, al momento del primo accesso ad un sito, nessun cookie o altro strumento diverso da quelli “tecnici” venga posizionato all’interno del dispositivo dell’utente, e che non venga utilizzata un'altra modalità di tracciamento.
  2. Obbligo di informativa breve - Cookie o Consent Banner
    Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve comparire immediatamente un banner contenente una prima informativa "breve", la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più "estesa". Inoltre, se un utente cliccherà sulla “X” del banner (o sul tasto "rifiuta tutti i tracciamenti" o qualcosa di equivalente) esprimerà la decisione di non essere tracciato e tale scelta rimarrà valida per sei mesi durante i quali gli operatori non potranno utilizzare le sue informazioni.
  3. Obbligo di informativa estesa - Cookie Policy
    In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali specifici cookie autorizzare.
  4. Notifica del trattamento al Garante per la Protezione dei dati Personali

Questi obblighi valgono sempre per l’installazione dei cookie di profilazione, mentre non sono richiesti per i cookie tecnici e analitici, per i quali è comunque sempre necessario fornire l’informativa estesa. È il titolare del sito web che installa i cookie di profilazione a dover fornire l’informativa e richiedere il consenso.

 

Come realizzare un Cookie banner

Secondo il Garante, un cookie banner conforme deve essere visibile fin quando l’utente non esprime la sua preferenza e contenere una serie di tasti e indicazioni essenziali:

  • Un tasto per rifiutare i cookie di profilazione già nel primo livello autorizzativo (es. una “X” in alto a destra);
  • Un’informativa breve con indicazioni sulle tipologie di cookie utilizzati;
  • L’indicazione che i cookie di profilazione, se utilizzati, saranno installati solo previo consenso dell’utente;
  • Un link all’informativa privacy in versione estesa, che sia accessibile con un solo click;
  • Un link per la gestione delle preferenze, dove selezionare le funzionalità, le terze parti (il cui elenco deve essere regolarmente aggiornato) e i cookie al cui utilizzo l’utente decide di acconsentire;
  • Un comando per esprimere il proprio consenso (es. un tasto “Accetto”), accettando il posizionamento di tutti i cookie.

Più in generale, non possono invece ritenersi conformi alla normativa i banner che influenzino le scelte degli utenti, ad esempio “nascondendo” il pulsante per il rifiuto dei cookie di profilazione in un’altra area o pagina, dato che spesso gli utenti, per evitare la c.d. “banner fatigue”, preferiscono accettare tutti i cookie subito pur di non effettuare ulteriori click.

Il banner non deve riproporsi costantemente ad ogni accesso: l'utente che accede allo stesso sito dopo aver fatto la sua scelta (accettazione o rifiuto ai cookie) non dovrebbe rivedere il banner per almeno sei mesi. Tuttavia, deve sempre essere presente un link di Impostazione Cookie che consenta agli utenti di rivedere i consensi eventualmente concessi.

Cosa deve contenere la Cookie policy

La cookie policy, raggiungibile dunque da link in banner, contiene l’informativa estesa con cui vengono descritte nel dettaglio le caratteristiche e le finalità dei cookie installati dal sito.

L´informativa estesa deve contenere tutti gli elementi previsti dall´art.13 del GDPR in materia di informativa privacy e consentire all´utente di selezionare/deselezionare i singoli cookie.

 

Come impostare un cookie banner e una cookie policy in maniera conforme al GDPR e alle nuove linee guida?

Guarda il Webinar

 

Le restrizioni all'uso dei Cookie

Non è soltanto la normativa a limitare l’utilizzo dei biscottini. La crescente richiesta degli utenti di una maggiore trasparenza sull’utilizzo dei loro dati sul web ha spinto i player del settore a correre ai ripari. Uno dei principali fenomeni che ha fatto scaturire questa nuova consapevolezza negli utenti è stato lo scandalo Facebook-Cambridge Analytica del 2018, quando fu rivelato che Cambridge Analytica aveva raccolto i dati personali di 87 milioni di utenti Facebook senza il loro consenso per fare propaganda politica.

In questo contesto i browser – alcuni già da qualche anno – hanno dovuto prendere importanti decisioni per limitare l’utilizzo dei cookie.

Le limitazioni dei browser

Nel 2017 Safari ha bloccato di default i cookie di terze parti e imposto limitazioni ai cookie di prima parte, utilizzando un sistema di ITP (Intelligent tracking prevention) basato su algoritmi che identificano i comportamenti di tracciamento. Nel 2019 Firefox ha imposto il blocco dei cookie di terze parti, mentre da gennaio 2020 Edge permette agli utenti di scegliere fra tre livelli di protezione, con la possibilità di gestire quindi in autonomia le autorizzazioni concesse ai siti.

Ma il browser che fa realmente la differenza è Google Chrome. Il colosso di Mountain View ha dichiarato che eliminerà il tracciamento dei cookie di terze parti entro il 2022, scadenza poi rinviata al 2023. Google Chrome sarà quindi solo l’ultimo dei principali browser a eliminare i third party cookie, ma è la sua mossa a preoccupare maggiormente l’industry pubblicitaria in quanto detiene la quota di mercato maggiore pari al 70%.

 

I Cookie nella Pubblicità

Per oltre un quarto di secolo, l’advertising online ha basato le proprie attività data-driven sull’utilizzo dei cookie. Nel corso del tempo questi tracker del web hanno permesso ai siti di acquisire una quantità sempre più ampia di informazioni sugli utenti e sulle attività che compiono all’interno delle pagine online.

L'eliminazione dei cookie di terze parti apre uno scenario (che possiamo definire cookieless) ancora tutto da decifrare, ma che potrebbe essere problematico per diversi protagonisti della filiera pubblicitaria.

Tra gli operatori del settore digital advertising, i player di terze parti – principalmente Data Management Platform (DMP) e Data Company – saranno gli attori più coinvolti. Infatti, le DMP basano le loro attività proprio sul cookie sync (mappatura degli utenti tramite ID univoci da un sistema all’altro), mentre per le Data Company i cookie di terze parti sono una delle fonti principali per la raccolta dati.

Saranno colpiti dal blocco dei cookie anche gli investitori pubblicitari che non potranno più contare su tracciamenti al di fuori del primo dominio di appartenenza. per le varie campagne di retargeting o prospecting. E che cosa accadrà agli editori? Anche loro saranno interessati dal cambiamento, dato che le loro entrate online provengono principalmente da collaborazioni con attori di terze parti che raccolgono dati tramite le loro piattaforme.

Anche gli Over The Top, i grandi player internazionali che trainano la filiera dell’advertising online, devono fare i conti con i "biscottini". Ad oggi gli ecosistemi degli OTT sono considerati walled garden, ossia ambienti chiusi dove i dati possono essere utilizzati in trasparenza per numerosi servizi offerti dalla stessa piattaforma e spesso correlati tra loro. Ma questo non significa che le limitazioni sui cookie non potrebbero avere impatti negativi anche su questi operatori: Amazon potrebbe avere difficoltà nel tracciamento cross-site per la pianificazione di campagne comportamentali, mentre Facebook potrebbe riscontrare difficoltà sul tracciamento in App. Data la loro leadership di settore, tuttavia, è presumibile che questi attori sapranno reagire adeguatamente e vedranno anzi – almeno in una prima fase – un rafforzamento del loro ruolo nell’ecosistema pubblicitario, grazie alla loro disponibilità di dati di qualità e su ampia scala.

E ancora una volta si distingue Google, che potrebbe invece trarre beneficio dall’eliminazione dei third party cookie: infatti, fornendo servizi full-stack lungo l’intera filiera, ha una visione completa sul percorso online degli utenti.

 

Internet senza Cookie? La "ricetta" dell'Osservatorio Internet Media

È possibile immaginare un Internet senza Cookie? La risposta è (quasi) affermativa. Non mancano infatti le soluzioni alternative ai cookie di terze parti.

L'Osservatorio Internet Media, infatti, ha recentemente individuato le diverse possibilità alternative ai cookie per gli obiettivi di profilazione utenti, tracciamento e misurazione. Possiamo classificarle in tre macro-categorie: soluzioni di identità, contextual advertising e altre soluzioni AI-based. Tutte soluzioni che abbiamo approfondito nella nostra guida al mondo cookieless.

In generale, l’eliminazione dei cookie di terze parti porterà gli operatori della filiera pubblicitaria a dover contare su una minore quantità di dati, che dovranno invece essere di maggiore qualità. In seguito a questo fenomeno si delinea un contesto in cui le aziende sono sempre più propense a sviluppare una vera e propria cultura del dato, in modo da non farsi trovare impreparate in un futuro in cui grandi quantità di dati sugli utenti non saranno più accessibili.

 

Vuoi approfondire come cambiano le strategie di marketing nell'era cookieless?

Guarda il Webinar