Skip to main content

Risorse e glossario sulla conformità dei cookie

La conformità dei cookie prevede un vocabolario specializzato che deriva dalla normativa UE, dal diritto sulla protezione dei dati e dalla tecnologia web. Questo glossario definisce i termini chiave che incontrerai, seguiti da una raccolta curata di risorse ufficiali e riferimenti autorevoli per approfondire.

Glossario dei termini chiave

A–C

CMP (Consent Management Platform): uno strumento o servizio software che gestisce la raccolta, la conservazione e l'applicazione del consenso degli utenti relativo ai cookie e ad altre tecnologie di tracciamento. Una CMP fornisce in genere l'interfaccia del banner dei cookie, conserva i registri del consenso e controlla quali script possono essere eseguiti in base alle scelte dell'utente. Alcuni esempi sono Cookiebot, OneTrust, Usercentrics e soluzioni open-source come Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): l'Autorità francese per la protezione dei dati. La CNIL è stata l'autorità di regolamentazione europea più attiva nell'applicazione delle norme sui cookie, avendo comminato le sanzioni più elevate in materia e pubblicato le linee guida più dettagliate sulla conformità dei cookie. Le sue interpretazioni e le sue azioni di enforcement fissano spesso lo standard seguito dalle altre autorità di controllo.

Consenso: nel contesto del GDPR, una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, espressa mediante un'azione positiva chiara. Per i cookie, ciò significa che l'utente deve scegliere attivamente di consentire i cookie non essenziali attraverso un'azione deliberata, come cliccare su un pulsante "Accetta". Il silenzio, le caselle preselezionate, l'inattività e la continuazione della navigazione non costituiscono un consenso valido.

Cookie: un piccolo file di testo collocato sul dispositivo dell'utente da un sito web. I cookie vengono utilizzati per un'ampia gamma di finalità, dal mantenimento delle sessioni di accesso (strettamente necessari) al tracciamento del comportamento di navigazione sul web (pubblicità). Tecnicamente, un cookie è una coppia nome-valore con metadati associati, tra cui dominio, percorso, scadenza e flag di sicurezza.

Banner dei cookie: l'elemento dell'interfaccia utente (in genere una barra, una finestra modale o un popup) che appare quando un utente visita per la prima volta un sito web, informandolo sull'uso dei cookie da parte del sito e richiedendone il consenso. Un banner dei cookie conforme fornisce informazioni chiare, offre scelte reali (accetta, rifiuta, personalizza) e non imposta cookie non essenziali finché l'utente non risponde.

Cookie policy: un documento (in genere una pagina web dedicata o una sezione dell'informativa sulla privacy) che fornisce informazioni dettagliate su tutti i cookie utilizzati su un sito web, inclusi nomi, finalità, tipologie, durate e i fornitori terzi che li impostano. La cookie policy adempie agli obblighi di trasparenza del GDPR e al requisito della Direttiva ePrivacy relativo alle "informazioni chiare e complete".

Cookie wall: un meccanismo che blocca l'accesso ai contenuti del sito web a meno che l'utente non acconsenta a tutti i cookie. I cookie wall sono controversi e la loro liceità varia a seconda della giurisdizione. L'EDPB ha dichiarato che i cookie wall compromettono il requisito del consenso "liberamente prestato", poiché l'utente si trova di fronte a una scelta del tipo "prendere o lasciare". Alcune autorità di controllo nazionali (in particolare il Conseil d'Etat francese) hanno consentito i cookie wall a condizioni limitate, laddove l'utente disponga di un mezzo alternativo reale per accedere al contenuto.

D–E

Dark pattern: una scelta di progettazione dell'interfaccia utente che manipola gli utenti spingendoli a prendere decisioni che altrimenti non prenderebbero. Nel contesto dei cookie, i dark pattern includono: rendere il pulsante "Accetta" visivamente predominante nascondendo al contempo l'opzione "Rifiuta", utilizzare un linguaggio confuso, richiedere più clic per rifiutare che per accettare e impiegare tattiche di confirm-shaming. Nel febbraio 2023 l'EDPB ha pubblicato linee guida specifiche sui dark pattern nelle interfacce di protezione dei dati.

Titolare del trattamento: il soggetto che determina le finalità e i mezzi del trattamento dei dati personali. Per i cookie impostati da un sito web, il gestore del sito è in genere il titolare del trattamento. Per i cookie di terze parti può sussistere una contitolarità tra il gestore del sito e la terza parte, a seconda del grado in cui ciascuna parte influisce sulle finalità e sui mezzi della raccolta dei dati.

Responsabile del trattamento: un soggetto che tratta i dati personali per conto di un titolare del trattamento, seguendone le istruzioni. Un fornitore di hosting o un fornitore di CMP che agisce esclusivamente in base alle istruzioni del gestore del sito è un responsabile del trattamento. La distinzione è rilevante perché i titolari hanno la responsabilità primaria della conformità, mentre i responsabili devono attenersi alle istruzioni del titolare e ai termini di un accordo sul trattamento dei dati.

Interessato: una persona fisica i cui dati personali sono oggetto di trattamento. Nel contesto dei cookie, gli interessati sono i visitatori del sito web i cui dati vengono raccolti tramite i cookie. Gli interessati godono di diritti ai sensi del GDPR, tra cui il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di portabilità dei dati e di opposizione.

DPA (Autorità di protezione dei dati): l'autorità pubblica indipendente incaricata di vigilare sull'applicazione del diritto in materia di protezione dei dati in ciascuno Stato membro dell'UE. Le autorità di controllo hanno il potere di indagare sui reclami, condurre audit, emanare orientamenti e comminare sanzioni. Ogni Stato membro dispone di almeno un'autorità (la Germania ne ha diverse, una per ciascun Land oltre al BfDI federale). Esempi: CNIL (Francia), Garante (Italia), ICO (Regno Unito), Datatilsynet (Danimarca/Norvegia).

DPO (Responsabile della protezione dei dati): una persona designata da un titolare o da un responsabile del trattamento per sovrintendere alla conformità al GDPR. Il GDPR impone a determinate organizzazioni di nominare un DPO, comprese le autorità pubbliche e le organizzazioni le cui attività principali comportano il monitoraggio su larga scala degli interessati. Pur non essendo direttamente correlato ai cookie, il DPO supervisiona in genere il programma di conformità dei cookie dell'organizzazione.

EDPB (Comitato europeo per la protezione dei dati): l'organo indipendente dell'UE che garantisce l'applicazione coerente del GDPR e promuove la cooperazione tra le autorità di controllo nazionali. L'EDPB (che ha sostituito il Gruppo di lavoro Articolo 29) emana linee guida, raccomandazioni e decisioni vincolanti. Le sue linee guida sul consenso (Linee guida 05/2020) e sui dark pattern sono riferimenti chiave per la conformità dei cookie.

Direttiva ePrivacy (Direttiva 2002/58/CE): la direttiva UE che disciplina la privacy nelle comunicazioni elettroniche, incluso l'uso dei cookie. L'articolo 5, paragrafo 3, costituisce la base giuridica principale del requisito del consenso ai cookie. In quanto direttiva, deve essere recepita nella legislazione nazionale da ciascuno Stato membro, il che comporta variazioni nell'attuazione. È destinata a essere sostituita dal Regolamento ePrivacy, ancora in fase di negoziazione.

F–G

Cookie di prima parte: un cookie impostato dal dominio che l'utente sta visitando. Ad esempio, se un utente visita example.com ed example.com imposta un cookie, si tratta di un cookie di prima parte. I cookie di prima parte sono in genere utilizzati per funzioni essenziali (sessioni, preferenze) e per le analisi di prima parte. Sono generalmente considerati meno invasivi dei cookie di terze parti perché non possono tracciare gli utenti su siti web diversi.

GDPR (Regolamento generale sulla protezione dei dati): il Regolamento (UE) 2016/679, la normativa UE completa in materia di protezione dei dati in vigore dal 25 maggio 2018. Il GDPR fornisce il quadro giuridico che definisce cosa costituisce un consenso valido (applicato ai cookie tramite il rinvio contenuto nella Direttiva ePrivacy), i diritti degli interessati, gli obblighi dei titolari e dei responsabili del trattamento e il regime sanzionatorio, che prevede multe fino al 4% del fatturato annuo globale o 20 milioni di euro.

GPC (Global Privacy Control): un segnale a livello di browser che comunica la preferenza di un utente di rinunciare alla vendita o alla condivisione delle proprie informazioni personali. A differenza del vecchio segnale Do Not Track (DNT), il GPC gode di riconoscimento giuridico ai sensi del CCPA/CPRA e di diverse altre leggi statali statunitensi sulla privacy. Quando un utente attiva il GPC nel proprio browser, i siti web soggetti a queste leggi devono trattarlo come una richiesta di opt-out valida. Il GPC è sempre più riconosciuto anche in Europa, sebbene non sia ancora obbligatorio per legge nell'ambito del diritto dell'UE.

Google Consent Mode: una funzionalità dell'infrastruttura di tag di Google che adatta il comportamento dei tag Google (Analytics, Ads, ecc.) in base allo stato del consenso comunicato dalla CMP del sito web. Consent Mode v2, obbligatorio per la personalizzazione degli annunci nello SEE da marzo 2024, introduce i parametri ad_user_data e ad_personalization accanto agli esistenti ad_storage e analytics_storage. Quando il consenso è negato, i tag Google adattano il proprio comportamento per evitare di impostare cookie, sebbene possano comunque inviare ping limitati e privi di cookie a seconda della configurazione.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): un framework sviluppato dal settore per la gestione del consenso nell'ecosistema della pubblicità digitale. Il TCF offre un modo standardizzato per CMP, inserzionisti ed editori di comunicare i segnali di consenso lungo tutta la filiera dell'ad tech. La versione 2.2 è lo standard attuale. Il TCF ha affrontato contenziosi legali, in particolare la decisione del 2022 dell'autorità di controllo belga secondo cui il trattamento della TC string da parte di IAB Europe costituiva un trattamento di dati personali. Il framework rimane ampiamente utilizzato, ma il suo status giuridico continua a evolversi.

Legittimo interesse: una delle sei basi giuridiche per il trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR. Il legittimo interesse richiede un bilanciamento tra gli interessi del titolare e i diritti e le libertà dell'interessato. Per i cookie, l'uso del legittimo interesse come base giuridica è fortemente controverso. La posizione prevalente delle autorità di regolamentazione europee è che il consenso (e non il legittimo interesse) sia la base appropriata per i cookie non essenziali, poiché la Direttiva ePrivacy richiede specificamente il consenso per l'archiviazione sul dispositivo dell'utente.

O–P

Opt-in: un modello di consenso in cui il trattamento dei dati personali (o l'impostazione dei cookie) non avviene a meno che l'utente non compia un'azione affermativa per consentirlo. Il modello europeo relativo ai cookie è di tipo opt-in: nessun cookie non essenziale finché l'utente non presta il consenso. L'opt-in offre una tutela della privacy più solida, ma richiede un meccanismo di consenso prima che inizi qualsiasi tracciamento.

Opt-out: un modello di consenso in cui il trattamento dei dati personali (o l'impostazione dei cookie) avviene per impostazione predefinita e l'utente deve attivarsi per interromperlo. Il modello statunitense relativo ai cookie (ai sensi del CCPA e di leggi statali simili) è generalmente di tipo opt-out: il tracciamento avviene a meno che l'utente non si opponga. L'opt-out fa ricadere l'onere dell'azione sull'utente anziché sul gestore del sito web.

Cookie persistente: un cookie che rimane sul dispositivo dell'utente per un periodo definito anche dopo la chiusura del browser. I cookie persistenti sono utilizzati per ricordare le preferenze, mantenere le sessioni di accesso tra una visita e l'altra e tracciare il comportamento nel tempo. Hanno una data di scadenza prestabilita e rimangono fino al superamento di tale data o finché l'utente non li elimina. La durata dei cookie persistenti dovrebbe essere proporzionata alla loro finalità.

Dati personali: ai sensi del GDPR, qualsiasi informazione relativa a una persona fisica identificata o identificabile. Ciò include gli identificatori evidenti (nome, e-mail) e quelli meno evidenti (indirizzi IP, identificatori dei cookie, impronte digitali del dispositivo). Il considerando 30 del GDPR afferma esplicitamente che gli identificatori online, come gli identificatori dei cookie, possono costituire dati personali. In pratica, quasi tutti i cookie che identificano in modo univoco un browser o un utente si qualificano come dati personali.

Consenso preventivo: il consenso ottenuto prima che abbia luogo l'azione che autorizza. Per i cookie, il consenso preventivo significa ottenere l'accordo dell'utente prima che qualsiasi cookie non essenziale venga impostato sul suo dispositivo. Si tratta di un requisito fondamentale dell'articolo 5, paragrafo 3, della Direttiva ePrivacy. Impostare prima i cookie e chiedere il consenso in seguito, o eliminare i cookie retroattivamente in caso di consenso negato, non soddisfa il requisito del consenso preventivo.

S–T

Cookie di sessione: un cookie che esiste solo per la durata della sessione di navigazione dell'utente e viene eliminato alla chiusura del browser. I cookie di sessione sono comunemente utilizzati per mantenere lo stato di accesso, il contenuto del carrello e altri dati temporanei. Molti cookie di sessione si qualificano come strettamente necessari e sono pertanto esenti dal requisito del consenso, sebbene ciò dipenda dalla loro finalità specifica.

Cookie strettamente necessario: un cookie essenziale per il funzionamento del sito web e per fornire un servizio esplicitamente richiesto dall'utente. I cookie strettamente necessari sono esenti dal requisito del consenso ai sensi dell'articolo 5, paragrafo 3, della Direttiva ePrivacy. Alcuni esempi sono i cookie di autenticazione, i cookie di sicurezza (token CSRF), i cookie per il bilanciamento del carico e i cookie relativi alle preferenze dell'interfaccia utente essenziali per il servizio. I cookie di analisi, quelli pubblicitari e quelli dei social media non sono strettamente necessari, indipendentemente dall'utilità che il gestore del sito ritiene abbiano.

Cookie di terze parti: un cookie impostato da un dominio diverso da quello che l'utente sta visitando. Ad esempio, se un utente visita example.com e un cookie viene impostato da facebook.com (tramite un Facebook Pixel incorporato in example.com), il cookie di Facebook è un cookie di terze parti. I cookie di terze parti sono utilizzati principalmente per il tracciamento cross-site e la pubblicità mirata. I principali browser stanno limitando o eliminando i cookie di terze parti: Safari e Firefox li bloccano già per impostazione predefinita e Chrome ha annunciato piani per la loro dismissione (sebbene la tempistica sia cambiata più volte).

Pixel di tracciamento: un'immagine minuscola e invisibile (in genere di 1x1 pixel) incorporata in una pagina web o in un'e-mail che invia una segnalazione a un server quando viene caricata. Pur non essendo tecnicamente un cookie, i pixel di tracciamento sono una tecnologia di tracciamento correlata che spesso opera in combinazione con i cookie per tracciare il comportamento degli utenti. Sono soggetti agli stessi requisiti di consenso dei cookie ai sensi della Direttiva ePrivacy, poiché comportano l'accesso a informazioni sul dispositivo dell'utente (la richiesta HTTP trasmette l'indirizzo IP dell'utente, le informazioni sul browser ed eventuali cookie associati).

Risorse ufficiali

Legislazione e orientamenti UE

Orientamenti delle autorità nazionali sui cookie

Google Consent Mode

IAB Transparency and Consent Framework

Leggi statunitensi sulla privacy

Giurisprudenza della CGUE

Approfondimenti

Strumenti per la conformità dei cookie

Mantenere la conformità dei cookie richiede gli strumenti giusti. Passiro offre una scansione automatizzata dei cookie che analizza l'intero sito web utilizzando un vero motore di browser, identifica tutti i cookie e le tecnologie di tracciamento, li categorizza tramite un database continuamente aggiornato e monitora eventuali modifiche con scansioni programmate e avvisi. In combinazione con la piattaforma di gestione del consenso di Passiro, questo ti offre una visione completa e sempre aggiornata dello stato di conformità dei cookie del tuo sito web.

Scopri di più sulle funzionalità di scansione di Passiro oppure esegui una scansione gratuita del tuo sito web per vedere quali cookie il tuo sito sta impostando oggi.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis