Profili tecnologici dei cookie

La profilazione, come precedentemente detto, consiste nell’attività tramite cui specifici programmi elaborano una massiccia quantità di dati relativa ai clienti, col fine di delineare gruppi omogenei di utenti, sulla base di specifiche caratteristiche, a cui poter rivolgere iniziative pubblicitarie e promozionali mirate.

La spinta a fornire servizi sempre più ritagliati sulle preferenze del singolo cliente ha infatti indotto ad affinare le tecniche di digital marketing, che hanno trovato nella digitalizzazione e nella diffusione dell’utilizzo della rete Internet un importante fattore di sviluppo90.

Dunque, per ottenere le informazioni necessarie, il fornitore di servizi potrà osservare e monitorare il comportamento del cliente, studiare le sue abitudini d’acquisto e di consumo, valutare quali sono i prodotti e/o servizi che sceglie più frequentemente, etc; tuttavia, mentre precedentemente ciò avveniva osservando il comportamento dei clienti nel negozio, ad esempio ponendo attenzione al tempo trascorso davanti a taluni prodotti o esaminando il passaggio del cliente tra gli scaffali, oggi il medesimo studio può essere condotto utilizzando i cookie ed altri strumenti automatizzati di controllo.

“Come ben noto, un utilizzo sapiente dei cookie, da parte dell’operatore commerciale, può rendere possibile il monitoraggio della navigazione dell’utente in modo tale da consentire, come si è detto, la ricostruzione di un accurato profilo personale”91

.

Occorre innanzitutto evidenziare che la profilazione può essere di due tipi:

 profilazione esplicita, conseguita mediante un procedimento di registrazione, che comporta l’invio da parte dell’utente di un modulo contenente i dati

90 _{In tal senso Turow J., Niche Envy: Marketing Discrimination in the Digital Age, MIT Press,}

Cambridge, 2006.

91

59 personali. Tali dati saranno registrati in un database e saranno impiegati per segmentare in gruppi omogenei gli utenti sulla base di specifici parametri.

 profilazione implicita, consiste nel tracciare il comportamento di utenti anonimi durante le loro visite ad una pagina web. In tal caso il tracciamento può essere effettuato attraverso IP o mediante cookie. Dal complesso delle azioni attuate nel corso della navigazione si costituisce un database, dal quale con specifici programmi si possono evidenziare correlazioni ed associazioni, segmentando di conseguenza gli utenti in gruppi omogenei.

I cookie, così come definiti dal Garante nel Provvedimento 8 maggio 2014, sono stringhe di testo di piccole dimensioni che i siti internet visitati dall’utente inviano al suo terminale, col fine di registrare l’accesso ed ulteriori dati, in modo tale che sia possibile riconoscere l’utente durante le successive visite. Dunque, “un cookie è una sorta di richiamo che viene trasmesso, attraverso il browser, dal sito internet che l’utente sta visitando alla memoria del computer, e consente al server di riconoscere l’utente ogni volta che accede alla rete telematica e, quindi, permette anche di conoscere i comportamenti del navigatore”92

. Si può quindi affermare che i cookie sono una specie di memoria tramite cui un sito identifica un determinato utente e gli associa specifiche informazioni.

Dal momento che il cookie, inteso come file con alcune righe di codice, è immagazzinato e custodito dal browser ed inviato al server ogni qualvolta che l’utente visiti la medesima pagina, ad ogni successiva richiesta di quest’ultima il server trasmetterà un nuovo cookie o aggiornerà quello già esistente.

“Tecnicamente un cookie è una riga di testo normalmente composta dal nome del server da cui il cookie è stato inviato, da un valore costituito generalmente da un numero generato a caso dal computer, dal dominio (url di riferimento), dalla data di creazione e di scadenza. Il server del sito web che trasferisce il cookie utilizza questo valore (numero) per riconoscere l’utente quando torna a visitare il sito. Solo il server che ha inviato un cookie può leggere e quindi utilizzare quel cookie”93. Pertanto, il cookie è associato con il nome del server che lo ha generato e permette di identificare ciascun

92 _{Panetta R., Libera circolazione e protezione dei dati personali, cit., pag. 431.} 93

60 utente conferendogli un codice id di sessione univoco, quindi “ i cookie creati da un certo dominio sono rispediti solo a quel dominio”94

I cookie, al giorno d’oggi sono ampiamente utilizzati in quanto consentono l’autenticazione automatica, la memorizzazione di diverse informazioni relative alle preferenze o a specifici aspetti dell’utente, il suo tracciamento, permettono all’utente di fruire di una navigazione piacevole, scorrevole e personalizzata. La natura stessa dei

cookie implica che questi, trascorso un determinato periodo di tempo scadano,

comportando una nuova comunicazione tra server e cliente, ed in tal modo si ha la possibilità di ottenere informazioni sempre aggiornate.

Infatti, in relazione alla durata i cookie possono essere:

 di sessione, ove la relativa scadenza corrisponde al termine della sessione di navigazione, quindi alla chiusura del browser. Sono utilizzati per acquisire i dati di navigazione di un’unica sessione e per analizzare lo svolgimento della visita dell’utente ad una pagina web. Non è necessario citarli nell’informativa breve.

 persistenti, i quali sono inviati dal server al browser dell’utente e perdurano anche dopo la fine della navigazione, fino alla loro data di scadenza prevista o alla relativa cancellazione da parte dell’utente. Necessitano di citazione nell’informativa estesa.

Inoltre, in base alla provenienza, quindi ponendo attenzione al soggetto che trasmette i

cookie al terminale dell’utente, questi possono essere distinti in:

 cookie di prima parte, sono quelli inviati direttamente dal gestore del sito web visitato al browser.

 cookie di terza parte, sono quelli trasmessi al browser da ulteriori siti differenti rispetto a quello che si sta visitando; dunque sono trasmessi da società terze che si trovano all'interno della pagina visitata attraverso specifici codici, che sono stati inseriti col fine di aggiungere a tale pagina altre funzionalità. Così, il cookie installato nel device di un utente entra in contatto con il fornitore di rete pubblicitaria e ciò indipendentemente dal fatto che l’utente stia visitando un sito

94 _{Sartor G., L’informatica giuridica e le tecnologie dell’informazione: corso di informatica giuridica,}

61 collegato al fornitore di rete pubblicitaria; infatti, basta che la pubblicità venga spedita negli spazi lasciati liberi dagli editori (proprio rispetto a quest’ultimi si configura la terzietà) per far in modo che il fornitore di rete possa dialogare con il device dell’utente95.

Solitamente i cookie che destano maggiore preoccupazione sono quelli di terze parti poiché sono ampiamente utilizzati e spesso non sono sotto il diretto controllo e gestione del titolare della pagina web, il quale a volte è addirittura all’oscuro della loro esistenza e delle loro finalità.

I cookie di terze parti generalmente sono impiegati per reperire informazioni circa le preferenze dell’utente ed acquisire dati utili allo svolgimento delle ricerche di mercato, al fine di identificare un target specifico a cui rivolgersi. In riferimento a tali cookie vi sono delle incertezze connesse alla tutela della privacy, tuttavia tali perplessità non dovrebbero sussistere in quanto “all’interno dei cookie sono registrate informazioni relative alle abitudini di navigazione ed i cookie non sono mai associati a dati personali e sensibili”96

.

In tal senso, il Gruppo dei Garanti Europei con il Parere 04/201297 sancisce che “in un’ottica di browser, la nozione di terzi è definita unicamente dall’analisi della struttura dell’URL riportata nella barra degli indirizzi del browser. In questo caso i cookie di terzi sono cookie predisposti dai siti web che appartengono a un dominio98 distinto da quello del sito web visitato dall’utente che appare nella barra degli indirizzi del browser, a prescindere in ogni caso dal fatto che il soggetto sia distinto o meno dal responsabile del trattamento dei dati. Benché spesso coincidano, questi due approcci non sono sempre equivalenti”. Perciò, l’espressione cookie di terzi sarà utilizzata per designare i cookie predisposti da responsabili del trattamento dei dati che non gestiscono il sito web attualmente visitato dall’utente. Per contro, sarà utilizzata la locuzione cookie di prima

95 _{Ferrari F. G., La tutela dei dati personali in Italia 15 anni dopo. Tempi di bilanci e di bilanciamenti,}

Egea, Milano, 2012, pag. 154.

96

Si veda Semoli A., Marketing Automation: Guida completa per automatizzare il tuo business online, Hoepli, Milano, 2015.

97 _{Article 29 Data Protection Working Party, Parere 04/2012 relativo all’esenzione dal consenso per}

l’uso di cookie, WP n. 194, 7 giugno 2012, in www.ec.europa.eu.

98 _{Il dominio su internet è un insieme di simboli alfanumerici che vanno a comporre un nome ed identifica}

in maniera precisa il nome di un privato, ente o azienda, ovvero organizzazione su internet. Si tratta dell’elemento di un sito che consente all’utilizzatore di raggiungere un determinato indirizzo, cui corrisponde uno specifico sito web, digitando il nome alfanumerico attraverso il motore di ricerca. In tal senso Visconti R. M., La valutazione dei nomi a dominio su internet, in Il diritto industriale, 2015, pag. 33.

62 parte per fare riferimento a un cookie predisposto dal responsabile del trattamento dei dati (o da uno degli incaricati del trattamento) che gestisce il sito web visitato dall’utente.

È bene ricordare che i cookie possono avere differenti finalità e pertanto possono distinguersi in tecnici e non tecnici. Per quanto riguarda i cookie tecnici sono quei

cookie che permettono all’utente di navigare su un sito web o di usufruire di un servizio,

ad esempio fanno parte di tale categoria i cookie che semplificano le operazioni di acquisto online o quelli che individuano automaticamente la lingua usata dall’utente. Inoltre, i cookie tecnici possono essere:

 di navigazione, i quali sono fondamentali per assicurare una regolare fruizione della pagina web e dei relativi servizi, infatti ad esempio consentono l’autentificazione ad aree riservate. Nel caso in cui tale cookie venga bloccato, il sito web non funzionerà in maniera corretta. Una sottocategoria di tale tipo di

cookie sono quelli di sicurezza, i quali consentono agli utenti di autenticarsi ed

impediscono l'utilizzo fraudolento delle credenziali di accesso.

 di funzionalità, i quali consentono una migliore fruizione del sito poiché permettono agli utenti di manifestare le loro preferenze in riferimento a taluni aspetti della navigazione, per esempio salvare all’interno di un sito e-commerce alcuni prodotti come preferiti. Nell’ipotesi in cui l’utente blocchi tale cookie, la navigazione risulterà essere meno pratica, tuttavia non sarà impedita.

 analytics di prima parte o di terza parte con mascheratura IP senza incrocio dati, questi sono utili per i gestori dei siti per la raccolta di informazioni, in modo aggregato, e per riprodurre delle statistiche in merito al numero di utenti che usano il sito e al modo di navigazione degli stessi, quindi raccolgono informazioni diverse da quelle di fruibilità99. Dunque, se utilizzati per tali fini e per ottimizzare il funzionamento del sito, questa tipologia di cookie può essere assimilata a quella dei cookie tecnici, per cui varranno le medesime disposizioni in ambito di informativa e consenso.

99 _{Cazzanti R., Open data e nativi digitali: Per un uso intelligente delle tecnologie, Libreriauniversitaria,}

63 Nel caso di cookie tecnici non è necessario ottenere il preventivo consenso dell’utente, ciò nonostante il gestore del sito è tenuto a fornire all’utente l’informativa ai sensi dell’art.13 del Codice, mediante le modalità che ritiene più opportune.

Per quanto riguarda i cookie non tecnici, questi possono essere distinti in:

 cookie analytic di terza parte senza mascheratura IP senza incrocio dati, utilizzati per reperire informazioni e riprodurre delle statistiche relativamente all’uso del sito, con la possibilità di identificare e tracciare l’utente, in modo da capire il suo comportamento. In tal caso, come specificato dal Garante in una nota di chiarimento, il gestore del sito non è obbligato a fornire notificazione e

banner all’utente se adotta tutti gli strumenti idonei a ridurre il potere

identificativo dei cookie analitici adoperati (per esempio tramite il mascheramento di porzioni significative dell'indirizzo IP).

Inoltre, l’utilizzo di detti cookie deve essere subordinato a vincoli contrattuali tra siti e terze parti, in cui la terza parte si impegna ad impiegarli esclusivamente per fornire il servizio, a mantenerli separati e a non arricchirli o incrociarli con ulteriori informazioni che ha a disposizione.

 cookie di profilazione, come definiti dal Garante, “sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”. Data l’invasività di tali cookie circa la sfera privata dell’utente, è necessario che questo sia previamente ed adeguatamente informato circa il loro uso e che questo possa manifestare il proprio valido consenso (opt-in100) prima che tali cookie possano essere installati nel suo terminale.

Il Garante ha voluto precisare101 che in materia di responsabilità dei gestori dei siti prima parte circa l’installazione dei cookie di profilazione provenienti da domini terze parti, detti soggetti hanno un ruolo di semplice intermediario tecnico rispetto all’installazione di tali cookie. Poiché il sito prima parte è comunque implicato in tale processo, è necessario che l’utilizzo dei cookie terze parti sia anticipato dalla presenza

100 _{In tale senso si veda Bassan F., Diritto delle comunicazioni elettroniche, Giuffrè Editore, Milano,}

2010, pag. 264.

101 _{Garante per la protezione dei dati personali, Chiarimenti in merito all'attuazione della normativa in}

64 del banner, che consente di rendere il consenso documentabile (a carico della prima parte) e dalla presenza di link aggiornati ai siti gestiti dalle terze parti, nei quali l’utente potrà manifestare le proprie decisioni relativamente alle categorie ed ai soggetti da cui ricevere cookie di profilazione.

Ovviamente nel caso in cui sul sito sono presenti banner pubblicitari o collegamenti con i social network che sono meri link a siti terze parti che non installano cookie di profilazione, non è necessario fornire l’informativa e ottenere il consenso. Così il Garante ribadisce che “l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti”.

Inoltre, la sola mascheratura dell’indirizzo IP non è un’azione idonea per esulare il gestore del sito dal non fornire notificazione al Garante e banner all’utente, infatti l’Autorità al punto 2 delle note di chiarimento del 5 giugno 2015, prescrive un altro requisito, affermando che “l’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non arricchirli o a non incrociarli con altre informazioni di cui esse dispongano”.

Si possono identificare ulteriori tipologie di cookie, quali:

 Secure cookie, un cookie con il secure flag si può trasmette solamente su una connessione crittografata HTTPS. Pertanto, i browser che supportano tale flag, trasmetteranno solo i cookie con il secure flag nel momento in cui è richiesta una pagina HTTPS. Dunque, il browser non trasmetterà un cookie con secure

flag su una connessione non crittografata HTTP.

 HttpOnly cookie, sono cookie con flag HttpOnly che possono essere impiegati soltanto se vengono inviati via HTTP (o HTTPS). Pertanto, questi non saranno accessibili tramite non-HTTP API come JavaScript.

 super cookie, sono un tipo di cookie per browser ideati per essere memorizzati in maniera permanente nel terminale. Questo tipo di cookie è più difficile da individuare e rimuovere dai dispositivi dell’utente, tanto che sono nascosti in

65 una parte remota dell’header102

e solamente pochi esperti riescono ad

individuarli, inoltre sono utilizzati senza aver ottenuto il relativo consenso e non gli è assegnato un dominio specifico come accade per i cookie tradizionali, perciò sono trasmessi a qualsiasi sito a cui l’utente fa visita. I super cookie possono reperire informazioni circa la cronologia della navigazione, dati inerenti l’autenticazione ad aree riservate e dunque hanno la stessa funzione dei cookie tradizionali, tuttavia si contraddistinguono da questi per l’archiviazione permanente e per la difficoltà riscontrata nel rimuoverli. Sono ampiamente utilizzati per effettuare pubblicità online.

 zombie cookie103, sono cookie che si ricreano in modo automatico dopo che l’utente li ha eliminati. Ciò si verifica mediante la memorizzazione dei contenuti del cookie in svariate posizioni, perciò nel momento in cui si evidenzia la mancanza del cookie, quest’ultimo è ricreato impiegando i dati precedentemente immagazzinati.

Si precisa che un sito web può impostare un cookie sul browser dell’utente solamente nel caso in cui quest’ultimo abbia manifestato il consenso per l’utilizzo ed inoltre un

browser può permettere ad un certo sito web di accedere soltanto ai cookie da esso

impostati e non a quelli impostati da altri siti web, in virtù del fatto che il cookie è uno strumento di collegamento tra un determinato sito web ed un certo utente. Inoltre, i

cookie sono un dispositivo necessario affinché vi sia una buona e corretta funzionalità

dei siti web. Tuttavia, in virtù della pervasività di tali strumenti, è necessario adottare misure idonee allo svolgimento del trattamento dei dati.