Gestione cookie web

Cosa sono i cookie

I cookie sono piccoli file di testo che vengono immessi nel browser dell’utente mentre naviga in internet, o meglio, al momento dell’apertura di una pagina web, di un sito o di un social network. Essi vengono poi memorizzati sui devices (pc, tablet, smartphone, …) usati per la navigazione per essere poi ritrasmessi agli stessi siti alla visita successiva.

Ogni cookie contiene/raccoglie diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.

Da un punto di vista più informatico, accade che i server inviano i cookie nella risposta HTTP al client, a quel punto i web browser salvano e inviano i cookie al server ogni qual volta in cui sono eseguite richieste aggiuntive al web server.

Tale riconoscimento permette di realizzare meccanismi di autenticazione usati ad esempio nelle fasi di login; permette inoltre di memorizzare dati utili alla sessione di navigazione, come le preferenze sull'aspetto grafico o linguistico del sito; di tracciare la navigazione dell'utente, ad esempio per fini statistici o pubblicitari; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico.

I cookie quindi sono frammenti di codice che vengono installati-memorizzati al dispositivo del visitatore di una pagina web con uno scopo specifico in base alla loro tipologia.

A cosa servono i cookie

Come abbiamo appena visto, i cookie possono avere diverse funzioni in base alla loro tipologia.

Possono quindi essere usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.

Classificazione e tipologie

La grande varietà esistente di cookie rende difficile una loro classificazione univoca ma è comunque possibile immaginare una classificazione basata su criteri generali:

Criterio temporale

• Cookie di sessione: questi cookie non vengono memorizzati in modo persistente sul dispositivo dell'utente e vengono cancellati alla chiusura del browser. A differenza di altri cookie, i cookie di sessione non hanno una data di scadenza, ed in base a questo il browser riesce ad identificarli come tali.
• Cookie persistenti: invece di svanire alla chiusura del browser i cookie persistenti scadono ad una data specifica o dopo un determinato periodo di tempo. Ciò significa che, per l'intera durata di vita del cookie (che può essere lunga o breve a seconda della data di scadenza decisa dai suoi creatori), le sue informazioni verranno trasmesse al server ogni volta che l'utente visita il sito web, o ogni volta che l'utente visualizza una risorsa appartenente a tale sito da un altro sito (ad esempio un annuncio pubblicitario). Per questo motivo, i cookie persistenti possono essere utilizzati dagli inserzionisti per registrare le informazioni sulle abitudini di navigazione web di un utente per un periodo prolungato di tempo. Tuttavia, essi sono utilizzati anche per motivi "legittimi" (come ad esempio mantenere gli utenti registrati nel loro account sui siti web, al fine di evitare, ad ogni visita, l'inserimento delle credenziali per l'accesso ai siti web).

Criterio della provenienza

• Cookie di prima parte: normalmente, l'attributo di dominio di un cookie corrisponderà al dominio che viene visualizzato nella barra degli indirizzi del browser web; sono i cookie inviati al browser direttamente dal sito che si sta visitando. Possono essere sia persistenti sia di sessione; sono gestiti direttamente dal proprietario e/o responsabile del sito e vengono utilizzati, ad esempio, per garantirne il funzionamento tecnico o tenere traccia di preferenze espresse in merito all'uso del sito stesso.
• Cookie di terza parte: essi appartengono a domini diversi da quello mostrato nella barra degli indirizzi (tra i più famosi cookie di Google). Questi tipi di cookie appaiono in genere quando le pagine web sono dotate di contenuti, come ad esempio banner pubblicitari, da siti web esterni. Questo implica la possibilità di monitoraggio della cronologia di navigazione dell'utente, ed è spesso usato dagli inserzionisti, nel tentativo di servire annunci rilevanti e personalizzati per ciascun utente. Per esempio, supponiamo che un utente visiti www.viaggi.it. Questo sito web contiene un annuncio da scarpe.com, che, una volta scaricato, imposta un cookie che appartiene al dominio della pubblicità (scarpe.com). Quindi, l'utente visita un altro sito web, www.libri.com, che contiene anche un annuncio di scarpe.com, e che stabilisce anche un cookie appartenente a quel dominio (scarpe.com). Alla fine, entrambi questi cookie saranno inviati al venditore quando si caricano le loro pubblicità o visitando il loro sito web. L'inserzionista può quindi utilizzare questi cookie per costruire una cronologia di navigazione degli utenti in tutti i siti che hanno gli annunci di questo inserzionista. La maggior parte dei moderni browser web contengono delle impostazioni di privacy che sono in grado di bloccare i cookie di terze parti.

Criterio dell’utilizzo

• Cookie tecnici: servono per la navigazione (in quanto funzionalmente necessari per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio) e per facilitare l'accesso e la fruizione del sito da parte dell'utente. Rientrano in questa categoria anche i cookie che memorizzano le nostre preferenze come la lingua, i dati di login per accedere ad esempio a Google o a Facebook senza doversi loggare a tutte le sessioni.
• Cookie statistici/analitici: vengono utilizzati a fini di ottimizzazione del sito.
  Se utilizzati SOLO per ottimizzare il sito e direttamente dal titolare del sito stesso, ad esempio per raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito, allora per questi cookie valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici (cfr. provvedimento del Garante per la protezione dei dati dell´8 maggio 2014).
  I cookie analitici di terza parte sono considerati dal Garante come cookie tecnici solo se vengono adottati strumenti idonei a ridurre il potere identificativo esempio mediante mascheramento dell’IP.

• Cookie di profilazione: utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, (…).  Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione on-line. Come vedremo, in questi casi sarà sempre necessario raccogliere il preventivo consenso informato dell’utente. Inoltre, prima dell’implementazione di tali cookie, il titolare del trattamento dovrebbe procedere con l’analisi d’impatto (PIA) al fine di esaminare quale impatto avrebbe questa tecnologia sul trattamento dei dati dell’utente.
  All’interno di questa categoria potremmo inserire anche delle tipologie particolari ma molto diffuse di cookie come ad esempio: Cookie di marketing e profilazione (pubblicitari): questi cookie hanno lo scopo di fornire spazi pubblicitari. Essi possono essere installati, dal titolare del sito oppure da terze parti. Alcuni servono a riconoscere i singoli messaggi pubblicitari e sapere quali sono stati selezionati e quando. Altri cookie pubblicitari vengono utilizzati per ipotizzare un “profilo” di navigazione dell'utente, in modo da poter proporre messaggi pubblicitari in linea al suo comportamento e interessi nella rete. Tale “profilo” è anonimo e le informazioni raccolte tramite questi cookie non consentono di risalire all'identità dell'utente. In questo caso il cookie presiede uno dei sistemi per pilotare la cosiddetta “pubblicità comportamentale”. Cookie di social network: si tratta dei cookie che consentono di condividere anche con altri utenti i contenuti del sito che si sta visitando. Sono i cookie tipicamente utilizzati per attivare le funzioni “Mi piace” o “Segui” delle reti sociali quali Facebook e Twitter, solo per citarne alcuni. Queste funzioni consentono alle reti sociali di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.
  

Disciplina dei cookie tecnici

Ferma la regola generale che pone divieto di archiviazione o consultazione d’informazioni raccolte dalle apparecchiature, troviamo una prima eccezione in relazione ai cookie tecnici cosiddetti di trasmissione; ossia utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice Privacy).

Per questa tipologia di cookie non è richiesta l’acquisizione del consenso dell’interessato/utente, anche se vanno comunque indicati nell’informativa.

Ciò significa che non è necessario inserire uno specifico cookie-banner che compare al momento dell’accesso alla pagina web, ma sarà sufficiente indicare la loro presenza e tipologia all’interno della cookie policy del sito.

Un esempio di questi cookie di trasmissione sono i cosiddetti load-balancing cookie, cioè i cookie necessari a reindirizzare gli accessi tra i server.

All’interno di questa categoria, possiamo poi incontrare cookies strettamente necessari all’erogazione del servizio; in questo caso però ci si riferisce a servizi espressamente richiesti dall’utente, ossia egli ha richiesto l’applicazione di quel cookie il quale dev’essere strettamente necessario all’erogazione di quel servizio. È essenziale che se disabilito o cancello quel cookie il servizio non funzionerà più.

Alcuni esempi di questi cookie sono: la scelta della lingua, che viene mantenuta per tutte le pagine successive, la memorizzazione dei dati di login o il c.d. «carrello» che memorizza i prodotti che seleziono.

L’altra eccezione al divieto generale di utilizzo dei cookie è che l’utente/interessato esprima il proprio consenso all’utilizzo/installazione dei cookie.

In linea generale infatti, l’art. 5 della direttiva e Privacy (al moneto della redazione del presente documento sono già in corso lavori di aggiornamento di tale direttiva), prevede il divieto di archiviazione d’informazioni o che l’accesso ad esse dopo che l’apparecchiatura le ha raccolte, sia consentito unicamente a condizione che l’utente abbia preliminarmente espresso il proprio consenso (informato); medesimo conetto ripreso anche dall’art. 122 del codice privacy.

Disciplina dei cookie analytics e di profilazione

In relazione a queste tipologie di cookie è dove si riscontrano i principali interventi del Garante per la protezione dei dati personali.

Cronologicamente si sono susseguiti diversi interventi normativi in quest’ambito, tra i principali possiamo ricordare:
‍

• Gruppo di lavoro Articolo 29 - Opinion 04/2012 on Cookie Consent Exemption - 7 giugno2012;
• Garante per la protezione dei dati personali - Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014;
• Garante per la protezione dei dati personali - Linee guida in materia di trattamento di dati personali per profilazione on line - 9 marzo 2015;
• Garante per la protezione dei dati personali - Chiarimenti in merito all’attuazione della normativa in materia di cookie - 6 maggio 2015;
• Corte di giustizia dell’Unione europea - Sentenza nella causa C-673/17 Bundesverbandder Verbraucherzentralen und Verbraucherverbände ̶ VerbraucherzentraleBundesverband eV / Planet49 GmbH - Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet. Una casella di spunta preselezionata è pertanto insufficiente - 1ottobre 2019;

Per arrivare all’ultimo intervento, ossia la pubblicazione datata 9 luglio 2021 delle Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021.

Suddette linee guida introducono rilevanti cambiamenti che potremmo così riassumere:

• In relazione al cookie banner (cosiddetta informativa sintetica): esso deve avere nuove caratteristiche relative all’informativa, ai pulsanti e alle preferenze che gli utenti possono esprimere prima di accedere al sito.
• È sempre essenziale che i cookie non vengano attivati prima di avere ottenuto il consenso;
• l’informativa (estesa) o cookie policy: l’utente dovrà sempre poter accedere alla sezione privacy che dovrà prevedere al suo interno la privacy policy e la cookie policy (che ricordiamo sin d’ora sono due documenti distinti), oltreché un’area dove poter modificare le preferenze di tracciamento espresse in precedenza;
• In relazione alle modalità di acquisizione del consenso: è stato chiarito, laddove vi fossero ancora dubbi, che lo scrolling o scroll down non è una modalità idonea alla raccolta del consenso dell’utente;
• In merito alla riacquisizione del consenso: le nuove linee guida prevedono che gli utenti debbano esprimere la loro volontà solo al primo accesso alla pagina web e non più ad ogni accesso successivo. Potrà essere chiesto nuovamente di prestare il consenso solo indeterminate circostanze, ben descritte dal Garante (rilevanti variazioni delle policy, decorsi 6 mesi dalla prima dichiarazione,…);
• Tracciamento del consenso: il titolare del trattamento dovrà essere in grado di dimostrare di aver ottenuto il consenso secondo gli standard del GDPR (prova del consenso e registro dei consensi);
• Con riferimento ai cosiddetti cookie wall: sulla base delle ultime indicazioni del Garante i cookie wall sono illegittimi, salvo che il sito web offra all’utente la possibilità di accedere a un contenuto o a un servizio equivalenti senza dover prestare il proprio consenso (da valutare caso per caso);
• Sui cookie statistici sono state delineate linee guida chiare che meritano un’attenzione tutta particolare.

Passiamo ora ad un esame più completo dei singoli punti.

Cookie Banner

Il cookie banner si configura quale avviso che compare al momento dell’apertura di una pagina web, di un sito o di un’app alla prima visita dell’utente. Lo scopo è quello di informare gli utenti in merito alla presenza di eventuali cookie, dei loro diritti a riguardo e di chiederne il consenso all’installazione degli stessi.

Non è sufficiente la mera presenza di un cookie banner e di una cookie policy ma è anche necessario bloccare l’attivazione dei cookie fintanto ché l’utente non ha espresso il suo consenso.

Sino ad ora abbiamo assistito alle più fantasiose e intraprendenti soluzioni proposte dalle varie web-house circa l’implementazione dei cookie banner. Il più delle volte essi riportano solo il tasto “ok” circa l’accettazione dei cookie o risulta sufficiente continuare la navigazione all’interno della pagina affinché tale banner sparisca implicando, il più delle volte, l’installazione automatica dei cookie.

L’ultimo intervento legislativo in materia quindi chiarisce in modo inequivocabile come queste, ed altre condotte affini, non siano ammesse né valide al fine di raccogliere il consenso.

Con particolare riferimento poi allo scrolling o scroll-down, il Garante precisa che il semplice spostamento in basso del cursore (scroll-down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Il cookie banner deve:

• contenere l’indicazione di quali cookie s’intende attivare, essi dovranno essere suddivisi in base alla loro tipologia di classificazione corredata da breve spiegazione delle finalità;
• generare una discontinuità nella navigazione del sito in modo tale da essere ben evidente;
• contenere un link ad una cookie policy che illustri in dettaglio le finalità, l’utilizzo e le attività delle terze parti correlate ai cookie;
• permanere fintantoché l’utente non esprimerà una scelta in relazione ai cookie.

Con specifico riferimento a quest’ultimo punto poi, le nuove linee guida definiscono anche quelli che dovranno essere i tasti di gestione del banner.

In sostanza dovranno essere tre:

• “X”, la ormai consueta X che si trova in alto e che equivale al comando di chiusura (ciò vale per l’ambiente di lavoro windows), dovrà comportare la chiusura del cookie banner senza prestare il consenso all’uso dei cookie o altri strumenti analoghi (eccetto quelli meramente tecnici);
• “Accetta tutti i cookie” (o altra formula analoga), in questo caso, il clic dell’utente sul questo tasto equivale all’accettazione di tutti i cookie (o strumenti analoghi) che il titolare intende utilizzare; in quanto l’utente ha espresso il suo consenso;
• “Personalizza” (o altra formula analoga), qualora l’utente dovesse optare per questa soluzione dovrà essere reindirizzato ad un’area nella quale poter scegliere quali cookie accettare.

Fermo quanto sopra, è sempre necessario consentire all’utente di modificare in ogni momento l’utilizzo dei cookies; pertanto il sito web dovrà garantire questa possibilità all’utente ad esempio mediante un link presente nel footer di ogni pagina del dominio che consenta l’eventuale modifica delle preferenze espresse.

Il cookie banner dovrà inoltre contenere un link alla privacy policy, ovvero ad una informativa estesa che dovrà essere caricata sul sito ed accessibile mediante un semplice click un apposito link.

Cookie policy

Quello che abbiamo visto poc’anzi è il cookie banner ossia un’informativa sintetica relativa al trattamento dei dati personali raccolti dal sito che l’utente sta visitando.

Quest’informativa è poi strettamente connessa con la Cookie policy, ossia la cosiddetta informativa estesa, che va appunto a completare ed integrare il cookie banner.

Se da un lato infatti il cookie banner deve avere caratteristiche di immediatezza e semplicità nel fornire subito chiare informazioni, dall’altro troviamo la cookie policy il cui scopo è quello di descrivere in modo analitico e specifico le caratteristiche e le finalità dei cookie installati in quel sito.

La cookie policy deve quindi avere tutti gli elementi previsti dall’art. 13 del GDPR al fine di garantire la trasparenza nel trattamento dei dati personali raccolti.

È buona prassi quindi prevedere all’interno del sito una sezione privacy la quale andrà a contenere appunto la cookie policy oltre ad un ulteriore e distinto documento ossia la privacy policy.

Per completezza, chiariamo che la cookie policy riguarderà il trattamento dei dati raccolti mediante i cookie (o strumenti analoghi), mentre la privacy policy fornisce all’interessato le informazioni relative ai dati che il titolare raccoglie mediante specifici moduli, ad esempio la sezione “lavora con noi", l’iscrizione alla newsletter, la sezione “contattaci”, (…).

Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Consenso

In relazione alla tematica inerente all’espressione del consenso, in particolare con riferimento ai cookie, la normativa italiana si è sempre orientata verso quello che viene definito sistema dell’OPT-IN. Tale meccanismo, che sta ad indicare “mettersi dentro” vuole rendere esplicito il fatto che sia l’interessato a decidere di accettare un qualche trattamento dei sui dati personali. Ciò significa che, laddove l’interessato non dovesse compiere nessuna espressione di consenso, egli non deve essere coinvolto nel trattamento dati.

Di segno analogo ma di verso opposto è il cosiddetto meccanismo dell’OPT-OUT in base al quale è l’interessato a doversi “mettere fuori”, in questo modo è l’interessato che deve chiedere l’interruzione di un trattamento dati, fintantoché infatti egli non ponga in essere alcuna condotta espressiva della sua volontà il trattamento potrà proseguire.

Volendo fare degli esempi molto sintetici, troviamo il sistema dell’OPT-OUT con riferimento al Registro delle opposizioni a cui l’interessato è chiamato ad iscriversi qual ora non voglia ricevere telefonate commerciali; troviamo invece in meccanismo dell’OPT-IN in relazione ai servizi di newsletter, in questi casi infatti è l’interessato che desidera rimanere aggiornato/informato che esprime il proprio consenso iscrivendosi appunto alla newsletter.

Come già anticipato in precedenza quindi, prima di poter procedere con l’attivazione dei cookie è necessario raccogliere il consenso dell’utente.

Al riguardo, occorre prendere in considerazione il rapporto tra titolare (del trattamento) e interessato (utente) anche alla luce delle innovazioni introdotte dal GDPR ed in particolare dall’art. 25 il quale dispone, al secondo paragrafo, che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità …”.

Alla luce di ciò, il titolare dovrà garantire che, per impostazione predefinita (privacy by default), siano trattati solo i dati personali strettamente necessari e conservati per il minor tempo possibile; ne consegue che il trattamento dovrà essere limitato inizialmente limitato al minimo indispensabile per consentirne la fruizione e che sia rimesso interamente all’interessato un effettivo, concreto potere di scelta in ordine alla possibilità di consentire o meno un utilizzo eventualmente più ampio dei suoi dati.

Essendo questo un adempimento espressamente previsto dalle norme, ciò implica che eventuali comportamenti o meglio impostazioni informatiche che non dovessero tenere in giusta considerazione tali aspetti possono portatore all’erogazione di sanzioni da parte dell’autorità competente.

In sintesi quindi, la regola generale è che per impostazione di default non dev’essere attivato alcun cookie (esclusi quelli meramente tecnici) pertanto, se l’utente si limita a chiudere il banner mediante l’apposito comando contraddistinto dalla X ciò equivale alla negazione del consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento. Le modalità di prosecuzione nella navigazione senza prestare alcun consenso dovranno, in altre parole, essere immediate, usabili e accessibili quanto quelle previste per la prestazione del consenso ed ovviamente non dovranno comportare pregiudizi nella navigazione.

In altri termini, il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal Regolamento.

Altro elemento essenziale introdotto dalle nuove linee guida è la non reiterazione delle richieste.

Quindi, una volta che l’utente ha espresso il suo rifiuto all’applicazione dei cookie (o strumenti analoghi) cliccando sulla X è vietatala ripresentazione del relativo banner in occasione degli accessi successivi dell’utente (fatte salve le eccezioni di seguito indicate).

Sarà infatti possibile chiedere all’utente una nuova espressione di volontà in relazione all’attivazione dei cookie solo in 3 casi:

• se sono intervenute rilevanti novità in relazione agli stessi, mutano cioè significativamente le condizioni del trattamento;
• laddove, per il sito, sia impossibile sapere se un cookie è già stato memorizzato nel dispositivo;
• se sono decorsi almeno 6 mesi dalla precedente comparsa del banner.

Ulteriore elemento cardine è la tematica della tracciabilità.

Partendo infatti da quanto espresso nelle ultime Line e guida, in base alle quali i consensi raccolti in precedenza mantengono la loro validità a condizione che:

1. siano conformi alle caratteristiche richieste dal GDPR e
2. siano stati registrati; siano quindi documentabili.

Il Titolare del trattamento avrà quindi l’onere di prevedere ed implementare un meccanismo che tanga traccia di tutte queste azioni che esprimono la volontà dell’utente.

Con riferimento poi ai cosiddetti cookie wall, ossia quel meccanismo che prevede all’apertura della pagina web la comparsa di un cookie banner che impedisce la fruizione del sito fintantoché gli utenti non prestano il loro consenso (sistema molto utilizzato dai siti che monetizzano tramite inserzioni per evitare che gli utenti possano accedere senza essere profilati), essi sono da ritenersi illegittimi.

Il Garante infatti ha rilevato come mediante il meccanismo di questi cookie wall gli utenti siano obbligati ad esprime il consenso che a questo punto non è più un consenso libero ed autentico.

L’unica eccezione, da valutare comunque caso per caso, è rintracciabile nel caso in cui il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

Fingerprinting (identificatori passivi)

Poc’anzi abbiamo accennato ai Fingerprinting (identificatori passivi), ma cosa sono?

Questa tecnica permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

Il “profilo” che si viene a costituire resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza.

Questa tecnica viene dunque utilizzata per finalità di profilazione e, il più delle volte, è finalizzata alla visualizzazione di pubblicità comportamentale personalizzata nonché all’analisi ed al monitoraggio dei comportamenti degli utenti che visitano i siti web.

A questo punto possiamo quindi distinguere due tecniche di tracciamento:

• quelle attive, poste in essere tramite i cookie;
• quelle passive, realizzate appunto mediante strumenti analoghi ai Fingerprinting.

Tra queste due tecniche sussistono differenze assolutamente rilevanti in ambito privacy.

Se in relazione alle tecniche attive infatti, l’utente che non vuole essere profilato ha:

• la possibilità di esprimere la propria volontà e quindi rifiutare il consenso all’applicazione dei cookie;
• la facoltà di ricorrere alle tutele di carattere giuridico connesse all’esercizio dei propri diritti riconosciuti dal GDPR;
• il potere di rimuovere direttamente i cookie dal momento che sono presenti sul suo device.

La scelta di una di queste opzioni non esclude le altre, ben potendo quindi l’interessato attivarle anche tutte contemporaneamente.

È invece radicalmente diversa la situazione in riferimento agli indicatori passivi e al fingerprinting. In questi casi infatti l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare dal momento che queste tecniche non implicano l’archiviazione di informazioni all’interno del device dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo così identificabile.

Eliminazione cookie

Una volta che si è impostato il browser perché accetti i cookie, essi sono archiviati in una speciale cartella del sistema, solitamente nel percorso dell'utente. Il percorso ove materialmente sono memorizzati i file corrispondenti dipende dalla combinazione tipologia dispositivo/sistema operativo/browser. Si possono facilmente cancellare sia agendo sui comandi previsti dal browser (i medesimi che permettono di cancellare la cronologia, la cache, le informazioni di login, i dati di compilazione dei moduli, ecc.) oppure utilizzando uno dei tanti "pulitori" di terze parti, quali ad esempio CCleaner, Spybot- Search& Destroy. Oltre alla eliminazione massiva si può ricorrere a quella dei singoli file ma allora occorre riconoscerli agendo (nella cartella relativa) sugli specifici cookie di interesse.

Una volta eseguita l'eliminazione dei cookie, è normale che il browser e i vari siti web si ripresentino con delle richieste, rispettivamente, di personalizzazione impostazione e di accettazione cookie oppure la navigazione su siti abituali sia leggermente e inizialmente un poco più lenta: questo è dovuto, appunto, alla pulizia eseguita.