Categorie di cookie: come classificare i cookie per il consenso
Il consenso ai cookie non è una decisione del tipo tutto o niente. Le normative sulla privacy richiedono che gli utenti possano compiere scelte granulari su quali tipologie di cookie accettare. Per rendere ciò possibile, i cookie vengono organizzati in categorie — gruppi basati sulla loro finalità, ciascuno con i propri requisiti di consenso.
Impostare correttamente la categorizzazione è fondamentale. Classificare erroneamente un cookie di marketing come "strettamente necessario" non è solo un errore tecnico: è una violazione della conformità che le autorità di controllo cercano attivamente e sanzionano.
Perché la categorizzazione è importante
Il GDPR richiede che il consenso sia "specifico" (articolo 4, paragrafo 11). Il Gruppo di lavoro Articolo 29 (oggi EDPB) ha chiarito che ciò significa che il consenso deve essere prestato separatamente per ogni distinta finalità. Raggruppare tutti i cookie in un unico "accetta tutto" senza offrire una scelta per categoria non soddisfa questo standard.
In pratica, ciò significa che il tuo meccanismo di consenso ai cookie deve presentare i cookie raggruppati per finalità e consentire agli utenti di accettare o rifiutare ciascuna categoria in modo indipendente. Lo standard affermatosi nel settore — e che le autorità di controllo si aspettano — prevede quattro categorie.
Le quattro categorie standard di cookie
1. Cookie strettamente necessari
Questi cookie sono essenziali per il funzionamento di base del sito web. Senza di essi non è possibile fornire il servizio esplicitamente richiesto dall'utente.
Consenso richiesto: No. I cookie strettamente necessari sono esenti dall'obbligo di consenso ai sensi dell'articolo 5, paragrafo 3, della Direttiva ePrivacy, che stabilisce che il consenso non è necessario per i cookie "strettamente necessari al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente per erogare tale servizio".
Esempi di cookie strettamente necessari:
- Cookie di sessione che mantengono lo stato di login
- Cookie del carrello su un sito e-commerce
- Token di protezione CSRF (cross-site request forgery)
- Cookie di bilanciamento del carico che distribuiscono il traffico tra i server
- Cookie di preferenza del consenso ai cookie (il cookie che ricorda la tua scelta di consenso)
- Cookie di sicurezza che rilevano abusi dell'autenticazione
Cosa NON è strettamente necessario:
- Cookie di analisi — anche quelli di prima parte. Misurare il traffico è utile per il gestore del sito, ma non è necessario per fornire il servizio richiesto dall'utente.
- Plugin dei social media — i pulsanti di condivisione e i feed incorporati servono gli interessi del proprietario del sito, non una funzione esplicitamente richiesta dall'utente.
- Cookie pubblicitari — per definizione, servono una finalità che va oltre il servizio a cui l'utente sta accedendo.
- Cookie di A/B testing — servono agli obiettivi di ottimizzazione del gestore del sito, non alla richiesta esplicita dell'utente.
Il criterio chiave è la prospettiva: necessario per chi? Se il cookie serve gli interessi del gestore del sito anziché una funzione esplicitamente richiesta dall'utente, non è strettamente necessario — indipendentemente da quanto possa essere importante per l'attività.
2. Cookie di analisi / statistica
Questi cookie raccolgono informazioni su come i visitatori utilizzano il sito web: quali pagine vengono visitate, quanto tempo restano gli utenti, da dove provengono e dove abbandonano. I dati vengono generalmente aggregati e utilizzati per migliorare il sito.
Consenso richiesto: Sì, nella maggior parte delle giurisdizioni. Tuttavia, alcune autorità per la protezione dei dati (in particolare la CNIL francese e l'AP olandese) hanno indicato che determinati strumenti di analisi di prima parte possono beneficiare di un'esenzione limitata, a condizione che siano soddisfatti requisiti specifici (vedi la nostra sezione su quando è richiesto il consenso).
Cookie di analisi più comuni:
| Cookie | Servizio | Finalità | Durata predefinita |
|---|---|---|---|
_ga |
Google Analytics | Distingue gli utenti univoci | 2 anni |
_ga_* |
Google Analytics 4 | Mantiene lo stato della sessione | 2 anni |
_gid |
Google Analytics | Distingue gli utenti (24h) | 24 ore |
_pk_id.* |
Matomo | ID visitatore | 13 mesi |
_pk_ses.* |
Matomo | Tracciamento della sessione | 30 minuti |
_hjSessionUser_* |
Hotjar | Identificatore utente | 1 anno |
Da notare che i cookie di Google Analytics sono di natura terza parte anche se possono apparire come cookie di prima parte — perché Google elabora i dati sui propri server e può utilizzarli per le proprie finalità. Questa distinzione è stata rilevante in diverse azioni sanzionatorie europee.
3. Cookie di marketing / pubblicità
Questi cookie tracciano i visitatori tra diversi siti web per costruire un profilo del loro comportamento di navigazione. Tale profilo viene utilizzato per erogare pubblicità mirata, misurare l'efficacia delle campagne pubblicitarie e limitare il numero di volte in cui un utente vede un determinato annuncio.
Consenso richiesto: Sempre. Non esiste alcuna eccezione per i cookie pubblicitari in nessuna interpretazione della Direttiva ePrivacy o del GDPR.
Cookie di marketing più comuni:
| Cookie | Servizio | Finalità | Durata predefinita |
|---|---|---|---|
_fbp |
Meta (Facebook) | Traccia le visite per la profilazione pubblicitaria | 3 mesi |
_gcl_au |
Google Ads | Tracciamento delle conversioni | 3 mesi |
IDE |
Google DoubleClick | Retargeting ed erogazione di annunci | 13 mesi |
_uetsid |
Microsoft Advertising | Tracciamento delle conversioni | 1 giorno |
li_fat_id |
Identificatore indiretto del membro | 30 giorni |
I cookie di marketing sono quasi sempre di terza parte. Rappresentano il più elevato rischio per la privacy e sono la categoria più fortemente regolamentata. Qualsiasi meccanismo di consenso che renda più facile accettare i cookie di marketing rispetto a rifiutarli rischia un'azione sanzionatoria.
4. Cookie di preferenza / funzionalità
Questi cookie abilitano funzionalità avanzate e personalizzazioni che vanno oltre lo strettamente necessario. Ricordano le scelte compiute dall'utente ma non sono indispensabili al funzionamento del servizio di base.
Consenso richiesto: Sì, anche se il livello di rischio è inferiore rispetto ai cookie di analisi o marketing. Alcune autorità di controllo trattano i cookie di preferenza con maggiore indulgenza, ma la posizione giuridica è che il consenso è comunque richiesto.
Esempi:
- Preferenza della lingua (quando il sito funziona anche senza, impostando semplicemente un'altra lingua predefinita)
- Selezione della regione o della valuta
- Precompilazione del nome utente nei moduli di login
- Preferenze del lettore video (volume, qualità)
- Stato del widget di chat (aperto/chiuso, cronologia della conversazione)
- Dimensione del carattere o preferenze di accessibilità
La distinzione tra "strettamente necessario" e "preferenza" può essere sottile. Un cookie di lingua su un sito monolingue è privo di significato. Un cookie di lingua su un sito multilingue che, senza di esso, imposta una lingua funzionale predefinita è una preferenza. Un cookie di lingua su un sito che non può funzionare affatto senza di esso — perché i contenuti non si caricano senza una selezione della lingua — potrebbe plausibilmente essere strettamente necessario. Il contesto conta.
Come categorizzare correttamente i tuoi cookie
Segui questo processo per ogni cookie presente sul tuo sito web:
- Identifica il cookie. Qual è il suo nome, chi lo imposta (prima parte o terza parte) e quanto dura?
- Determina la sua finalità. Perché esiste questo cookie? Cosa succede se viene rimosso?
- Applica il criterio dello strettamente necessario. Questo cookie è essenziale per una funzione esplicitamente richiesta dall'utente? Se l'utente ha chiesto di effettuare l'accesso, un cookie di sessione è necessario. Se vuoi tracciare il suo comportamento, si tratta di una tua esigenza, non della sua.
- Assegna la categoria. Se non è strettamente necessario, classificalo in base alla sua finalità principale: analisi, marketing o preferenze.
- Documenta le tue motivazioni. Per ogni cookie, registra il motivo per cui lo hai categorizzato in quel modo. Questa documentazione è preziosa se un'autorità di controllo dovesse mai richiederla.
Errori comuni di categorizzazione
Sulla base delle azioni sanzionatorie e dei risultati degli audit, questi sono gli errori più comuni:
- Classificare Google Analytics come strettamente necessario. È l'errore in assoluto più comune. GA è uno strumento di analisi. Non è mai strettamente necessario per fornire un servizio all'utente. Diverse autorità garanti l'hanno segnalato in modo specifico.
- Inserire tutti i cookie di terza parte nella "funzionalità". I video di YouTube incorporati, i pulsanti di condivisione social e i widget di chat non sono strettamente necessari e i loro cookie servono generalmente finalità di analisi o marketing che vanno oltre la funzionalità visibile.
- Ignorare i cookie impostati da plugin e integrazioni. Un sito WordPress con 20 plugin può impostare decine di cookie di cui il gestore del sito non è nemmeno a conoscenza. Sei comunque responsabile di tutti.
- Trattare i cookie di marketing come cookie di analisi. Il Facebook Pixel e il tracciamento delle conversioni di Google Ads sono cookie di marketing, non di analisi — la loro finalità principale è la pubblicità, anche se utilizzi i dati a scopo analitico.
- Categorizzare erroneamente i cookie di A/B testing. Strumenti come Optimizely e VWO impostano cookie per assegnare gli utenti ai gruppi di test. Questi non sono strettamente necessari e dovrebbero essere categorizzati come analisi o preferenze.
Automatizza il processo
Gli audit manuali dei cookie richiedono molto tempo e sono soggetti a errori. I siti web cambiano continuamente — un nuovo plugin, uno script aggiornato, un team di marketing che aggiunge un pixel di tracciamento — e ogni modifica può introdurre nuovi cookie da categorizzare.
Passiro esegue automaticamente la scansione e la categorizzazione di tutti i cookie presenti sul tuo sito web, rileva i nuovi cookie quando compaiono e segnala potenziali errori di categorizzazione. Questo garantisce che il tuo meccanismo di consenso ai cookie rifletta sempre i cookie effettivamente utilizzati dal tuo sito — non solo quelli di cui eri a conoscenza all'ultimo controllo.
Ora che abbiamo compreso le categorie, vediamo cosa significa effettivamente il consenso ai cookie dal punto di vista giuridico — i requisiti sono più specifici di quanto la maggior parte delle persone immagini.
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis