Come è noto, i cookie sono file di dati di piccole dimensioni inviati dal server di un sito al browser durante la connessione al sito e salvati localmente nel computer dell’utente. I cookie contengono informazioni sulle operazioni eseguite all’interno del sito e le preferenze di navigazione, e possono consentire il riconoscimento dell’utente all’accesso successivo.
Ne ho già parlato in Termini in evidenza: il nome è un esempio di terminologizzazione che ha origine nei [fortune] cookie serviti nei ristoranti cinesi in America alla fine dei pasti. Sono biscotti di forma particolare, visti spesso nei film, che all’interno hanno un foglietto con una massima o un messaggio augurale, come i dati “nascosti” all’interno dei pacchetti di dati a cui inizialmente avevano dato il nome.
In questi giorni i cookie sono al centro dell’attenzione perché oggi è entrato in vigore un provvedimento del Garante per la protezione dei dati personali che obbliga ogni sito a fornire un’informativa sull’uso dei cookie.
Tipi di cookie
Esistono diversi tipi di cookie, ad es. in base alla loro durata i cookie possono essere distinti in persistenti o permanenti, se rimangono nel computer dell’utente tra una sessione e l’altra, e in cookie di sessione o temporanei, se invece vengono eliminati alla fine della sessione del browser.
Nel provvedimento del Garante i cookie vengono invece differenziati in tecnici e di profilazione, in base alla necessità che agli utenti venga richiesto il consenso al loro uso, e sono ulteriormente suddivisi in altre categorie:
«I cookie tecnici sono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio. Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso. Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti.»
«I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.» [fonte]
A seconda dei soggetti coinvolti il Garante distingue tra editori (quando i cookie sono installati dallo stesso gestore del sito che l’utente sta visitando) e terze parti (quando un sito diverso “installa cookie per il tramite del primo”: è il caso, ad esempio, dei pulsanti di condivisione sui social media o dei servizi di Google Analytics non anonimizzati).
La distinzione del Garante tra cookie tecnici e di profilazione sembra essere specifica per l’Italia: in inglese prevale la distinzione tra persistent e session cookie (durata) e tra first-party [tracking] cookie e third-party [tracking] cookie (stesso o diverso dominio).
Anche in spagnolo (esempio) si differenzia tra cookies propias e cookies de terceros e tra cookies de sesión e cookies persistentes. In base alla finalità dei dati raccolti si distingue tra cookies técnicas, c. de personalización, c. de análisis, c. publicitarias e c. de publicidad comportamental.
Tra tutti gli altri tipi di cookie, che non elencherò qui perché non riguardano le nuove norme, quello con il nome più curioso è sicuramente zombie cookie, un cookie che “torna in vita” subito dopo essere stato rimosso. Esiste anche il cookie poisoning,un processo che consiste nel modificare (“avvelenare”) i dati di un cookie a scopi fraudolenti.