Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
09/03/2022
Se gestisci un sito web o un ecommerce ti sarai forse chiesto per quali cookie serve il consenso.
Sapere per quali categorie di cookie non serve il consenso dell’utente è molto utile ai fini della corretta redazione della informativa cookie, per rispettare il GDPR e per aumentare le user experience dell’utente che visita il tuo sito web o e-commerce.
Infatti, molti siti web chiedono il consenso al rilascio dei cookie anche quando non serve. Ciò accade perchè qualificano come cookie di profilazione quelli che invece sono cookie tecnici (per i quali, come vedremo tra poco, non serve il consenso).
Qualificare correttamente i cookie richiede conoscenze sia informatiche che legali (ovviamente stiamo parlando di avvocati esperti in privacy).
Infatti, se rientra nel ruolo della web agency sapere quali cookie vengono rilasciati dal sito, è compito dell'avvocato qualificare correttamente i cookie ai fini della esenzione o meno del consenso e della redazione della cookie privacy.
In questo articolo offriremo delle utili e concrete indicazioni su come riconosce i cookie ai fini della esenzione del consenso dell’utente, ovviamente sempre dal punto di vista dei merchant (come vuole la tradizione degli articolo del nostro blog).
NOTA: leggi il nostro approfondimento su quando è obbligatorio avere il banner cookie.
SOMMARIO
Cosa sono i cookie e come si differenziano
Il parere sulla esenzione del consenso ai cookie
Cookie con i dati compilati dagli utenti
Cookie per l'autenticazione
Cookie per la pubblicità di terze parti
Sintesi su cookie e consenso
Con LegalBlink rispetti il GDPR
I cookie si differenziano, dal punto di vista di chi li installa tramite il sito, in cookie “di prima parte” e “di terza parte”.
I cookie di prima parte sono piccoli file di testo alfanumerico che i siti visitati dai clienti inviano ai loro terminali, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.
I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l´utente sta visitando.
Questo perché su ogni sito di un merchant possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato. Tipiche società che possono installare questo genere di cookie sono Facebook, Google, Criteo etc (l’elenco è sterminato).
Dal punto di vista della funzionalità, invece, i cookie si differenziano in cookie tecnici e cookie di profilazione.
I cookie tecnici servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente.
Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse; si pensi alla possibilità di “ricordare” i prodotti inseriti nel carrello del cliente o la lingua scelte per navigare sul sito, tutte operazioni per le quali i cookie, che consentono di effettuare e mantenere l´identificazione dell´utente nell´ambito della sessione, risultano indispensabili.
I cookie di profilazione, invece, sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
In conclusione, un sito web può rilasciare :
Nella prassi, però i cookie di terza parte sono quasi sempre di profilazione, mentre i cookie rilasciati dal sito di ecommerce (e quindi di prima parte) sono tecnici e, solo raramente, di profilazione.
NOTA: leggi il nostro approfondimento sui tool di scansione automatica dei cookie (cookie scanner).
In questo ambito non possiamo fare a meno di citare il parere relativo all’esenzione del consenso per l’uso dei cookie redatto dal Gruppo Articolo 29 in data 7 giugno 2012. (il Gruppo Articolo 29 era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione. Con l’entrata in vigore del GDPR è stato sostituito dal Comitato europeo per la protezione dei dati).
Il parere ha un contento molto tecnico, pertanto abbiamo estrapolato alcune delle casistiche più importanti, in modo che sia più facile capire per quali categorie di cookie non serve il consenso dell’utente.
L’espressione “cookie con dati compilati dall’utente” (o cookie con “user input”) può essere impiegata a titolo generico per descrivere i cookie di sessione utilizzati per tenere traccia dei dati compilati dall’utente nel corso della sua navigazione sul sito.
I cookie di sessione di prima parte con dati compilati dall’utente sono generalmente impiegati dal merchant per tenere traccia dei dati forniti dall’utente nella compilazione di moduli online di alcune pagine, oppure come nel caso del carrello della spesa, per ricordare degli articoli che l’utente ha selezionato cliccando su un pulsante (ad esempio “aggiungi al carrello”).
Questi cookie sono chiaramente necessari per il funzionamento del sito ecommerce e assolvono a funzioni specificatamente richieste dall’utente. Per questa categoria di cookie, quindi, non server ottenere il previo consenso per il loro rilascio.
I cookie per l’autenticazione sono utilizzati per identificare l’utente dopo il login.
Tali cookie sono necessari per consentire agli utenti di autenticarsi alle visite successive al sito ecommerce e accedere eventualmente ai servizi riservati agli utenti registrati. I cookie per l’autenticazione sono solitamente cookie di sessione.
È possibile anche l’uso di cookie persistenti ma non devono essere considerati alla stessa stregua.
Quando un utente effettua il login, chiede esplicitamente l’accesso al contenuto o alla funzionalità cui è autorizzato. Senza l’impiego di un sistema per l’autenticazione archiviato in un cookie l’utente dovrebbe fornire il nome utente e la password per ciascuna pagina aperta. Pertanto, questa funzionalità di autenticazione è un servizio essenziale del sito ecommerce e per il suo rilascio non serve ottenere il consenso.
È importante osservare, tuttavia, che l’utente ha solamente richiesto l’accesso al sito e alla funzionalità specifica per svolgere il compito necessario.
L’atto di autenticazione non deve costituire un’opportunità per utilizzare il cookie ad altri fini secondari, quali il monitoraggio comportamentale o la pubblicità senza consenso.
NOTA BENE: I cookie persistenti relativi al login che archiviano la chiave di autenticazione da una sessione del browser all’altra non sono esenti dall’obbligo di ottenere il previo consenso dell’utente.
È questa una distinzione importante perché l’utente potrebbe non essere immediatamente consapevole del fatto che la chiusura del browser non cancellerà le impostazioni di autenticazione. Potrebbe ritornare al sito web nella convinzione di essere anonimo mentre di fatto il login al servizio è ancora attivo.
Il metodo diffuso che consiste nel riportare una casella da barrare e una semplice nota informativa come “ricordati di me (utilizza cookie)” in prossimità del modulo di presentazione sarebbe uno strumento adeguato per ottenere il consenso, ovviando così alla necessità di applicare un’esenzione in questo caso.
I cookie di terzi utilizzati per la pubblicità comportamentale non sono esenti dal consenso.
Questo obbligo di consenso si estende naturalmente a tutti i connessi cookie operativi di terzi che vengono utilizzati a fini pubblicitari, compresi quelli impiegati allo scopo di limitare la frequenza, rilevare dati per scopi finanziari, ottenere affiliazioni pubblicitarie, individuare frodi di click, condurre indagini e analisi di mercato, migliorare i prodotti e risolvere problemi informatici, poiché nessuna di queste finalità può essere considerata essenziale per l’uso del sito di ecommerce.
Dal parere del Gruppo Articolo 29, si evince che per i seguenti cookie possono essere esenti dal consenso informato a determinate condizioni, purché non siano utilizzati per finalità aggiuntive:
Con il supporto dei nostri avvocati esperti in privacy, LegalBlink ha tutti gli strumenti per pubblicare una cookie policy a norma, rispettando la cookie law e il GDPR.
Infatti, con LegalBlink ottieni: