Normativa Cookie: il nuovo assetto mira a semplificare la navigazione per gli utenti e alleggerire gli oneri delle imprese, pur mantenendo gli standard di protezione dei dati.
Lou Montulli nel 1994 era giovane, da poco laureato in ingegneria e assetato di novità. Entra nel team dell’appena nata Netscape Communications il primo browser capace di “ammorbidire” con un discreto successo molte delle asperità del rapporto PC – Web grazie alla sua facilità d’uso e innovazioni come i frame HTML. In quei tempi di grande euforia, Lou ha un’idea: lavorando ogni giorno come programmatore, si rende conto che tutte le pagine visitate erano un’esperienza isolata, senza memoria delle preferenze, del login o del carrello acquisti. Navigare in internet era solo saltare di pagina in pagina come se la rete fosse un qualsiasi libro.
Pensa ai cookie informatici che prendono il nome dalla tecnica dei “magic cookie” (biscotti magici), nata negli anni ’70/’80 in ambiente Unix; questo strano termine indicava piccoli pacchetti di dati scambiati tra sistemi senza modifiche. Evocava qualcosa di nascosto e familiare, simile ai dolcetti con messaggi, Montulli crea così i Cookies.
L’obiettivo era semplice ma rivoluzionario: consentire ai siti web di “ricordare” le azioni dell’utente durante la navigazione. Un cookie, in sostanza, non è che poche righe di codice, che un sito web manda al computer dell’utente. Contiene un codice identificativo irripetibile e l’ordine di essere rispedito al mittente ogni volta che l’utente si collega con le pagine del sito che lo ha generato.
In pratica l’equivalente di un saluto: “Ciao, sono io”. Era la soluzione che il brillante ingegnere aveva trovato per quei partner di Netscape intenti a realizzare siti di e-commerce. Il primo utilizzo pratico riguardava proprio l’e-commerce: permettere a un sito di memorizzare i prodotti inseriti nel carrello tra una pagina e l’altra.
Lou Montilli: creatore dei Cookies
Louis J. Montulli II (meglio conosciuto come Lou Montulli ) è un programmatore informatico noto per il suo lavoro nella produzione di Browser Web
Fu subito chiaro però che non appena venuto al cyber mondo, il cookie avrebbe creato un sacco di problemi poichè divennero strumenti sofisticati di tracciamento, capaci di raccogliere informazioni sulle abitudini di navigazione, sugli interessi e sui comportamenti online degli utenti.
In quegli anni emersero molte difficoltà: infatti, se da un lato i cookie tecnici miglioravano l’esperienza utente, dall’altro i cookie di profilazione consentivano un monitoraggio sistematico, spesso invisibile, finalizzato alla pubblicità comportamentale. Addirittura Nel 2017, Apple ha dato il via a una serie di cambiamenti significativi con l’introduzione dell’Intelligent Tracking Protection (ITP), una funzionalità che impedisce agli inserzionisti di tracciare gli utenti tramite il suo browser Safari.
leggi anche
Perché il consenso informato è il pilastro fondamentale del trattamento dati. Regole e requisiti
Cookie: il quadro normativo italiano
La normativa italiana sui cookie si basa principalmente su tre normative/provvedimenti: sul GDPR (UE 2016/679), l’art. 122 del Codice Privacy (D.lgs. 196/2003) e le Linee Guida del Garante del 2021.
In particolare, l’articolo 122 del Codice della Privacy prevede che le informazioni derivanti dalla tracciatura del profilo di un utente, possano essere utilizzate esclusivamente se tale utente ha manifestato espressamente la propria disponibilità ad utilizzare questi dati.
Da tale premessa deriva la ratio legis, per cui chiunque utilizzi cookie ha l’obbligo di informare l’utente sull’uso di questi e sul tipo di finalità che si intendono perseguire tramite gli stessi.
La prima normativa italiana sulle modalità di utilizzo dei cookie da parte degli operatori internet si basa sui contenuti di un testo emanato, sotto forma di provvedimento, nel maggio 2014, dal Garante per la Protezione dei Dati Personali, meglio conosciuto come Garante della Privacy, recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.
Questa regolamentazione ha avuto un impatto tutt’altro che trascurabile nei confronti degli operatori informatici: i cookie infatti, come detto, sono ormai elementi essenziali per il buon funzionamento e per la corretta visualizzazione di quasi tutti i siti internet. Ed inoltre, il provvedimento ha espressamente previsto che ad esso debba adeguarsi qualsiasi sito internet effettui un “utilizzo dei cookie” nei confronti di cittadini italiani, indipendentemente dal fatto che il sito stesso, o il suo gestore, abbia sede nel nostro paese o all’estero.
La normativa italiana è stata poi aggiornata nel giugno 2021, attraverso l’emanazione di nuove linee guida sui cookie e sugli altri sistemi di tracciamento da parte del Garante della Privacy. Le principali novità introdotte sono:
- Stop allo scrolling come consenso
- Banner chiaro e simmetrico
- Divieto di cookie wall (salvo eccezioni)
- Conservazione della prova del consenso
Anche a livello europeo, il Report della Cookie Banner Taskforce dell’EDPB del 17 gennaio 2023 ha individuato pratiche scorrette ricorrenti (come l’assenza del pulsante di rifiuto, caselle preselezionate, colori ingannevoli, difficoltà nella revoca dei consensi) e, più di recente, l’EDPB Opinion 08/2024 su “consent or pay” ha evidenziato che il consenso non è libero se l’utente può accedere al servizio solo accettando i cookie o pagando un corrispettivo economico.
Il principio cardine è chiaro: l’archiviazione di informazioni sul dispositivo dell’utente è consentita solo previo consenso informato, salvo che si tratti di cookie “tecnici” strettamente necessari all’erogazione del servizio richiesto.
Le nuove regole UE da conoscere
Il nuovo pacchetto legislativo in materia digitale appena presentato dalla UE (il Digital Omnibus Package) è destinato a ridefinire in maniera rivoluzionaria le regole applicate nei paesi dell’Unione Europea in materia di cookie, tracking (tracciamento e profilazione) e gestione del consenso online.
Il nuovo assetto mira a semplificare la navigazione per gli utenti e alleggerire gli oneri delle imprese, pur mantenendo gli standard di protezione dei dati. Ma non manca il risvolto della medaglia. Vediamo tutto.
Consenso e tracciamento online: come cambiano i cookie
Le modifiche riguardano non soltanto l’ampliamento delle eccezioni al consenso e l’introduzione di segnali automatici machine-readable ma anche una revisione del rapporto tra le norme sul tracciamento e il Regolamento (UE) 2016/679 (GDPR).
Ecco di seguito una pratica sintesi delle novità in arrivo:
- Eccezioni al consenso: alcune tecnologie di tracking – come cookie o strumenti analoghi – potranno essere utilizzate senza esplicito consenso dell’utente per scopi quali sicurezza del servizio, misurazione dell’audience o funzionalità richieste direttamente dal soggetto. Questo amplia le deroghe già previste nell’attuale direttiva ePrivacy.
- Segnali automatici e preferenze implicite: viene introdotta l’ipotesi che browser, sistemi operativi o wallet digitali possano inviare segnali machine-readable che indicano le preferenze dell’utente in materia di tracking (ad esempio «non consentire cookie di profilazione»). Le aziende saranno tenute a rispettare tali segnali una volta adottati gli standard tecnici.
- Interazione con il GDPR: la proposta chiarisce che, quando il tracciamento implica il trattamento di dati personali, sarà possibile fare riferimento al GDPR come base giuridica, superando in parte le sovrapposizioni tra regole e semplificando l’interpretazione.
- Maggiore chiarezza per gli utenti: obblighi di trasparenza rafforzati, possibilità per gli utenti di revocare il consenso in un semplice click, e pausa temporale (ad esempio sei mesi) durante la quale non sarà riproposta la richiesta di nuovo consenso per le stesse finalità.
Come dovranno adeguarsi aziende online e siti web
Le imprese online, i gestori di siti web e le piattaforme digitali dovranno adeguarsi a un nuovo scenario in cui la gestione del consenso e del tracciamento diventa più flessibile ma anche tecnologicamente più orientata.
- Revisione banner cookie e CMP: i consueti pop-up che richiedono «Accetta / Rifiuta» dovranno essere rivisti. Potrebbe essere necessario implementare sistemi che riconoscono i segnali automatici di preferenza o integrarli nei browser. Occorre valutare il flusso utente attuale e prepararsi a nuove modalità tecniche.
- Audit delle finalità non soggette a consenso: occorre verificare quali attività di tracking possono rientrare nelle eccezioni (misurazione dell’audience, sicurezza, funzionalità strettamente necessarie) e documentare gli ambiti, le basi giuridiche e i processi che ne garantiscono la legittimità. Le imprese che intendono avvalersene devono essere pronte a motivare la scelta in caso di controllo.
- Integrazione con sistemi tecnici avanzati: per gestire segnali automatici, sarà necessario aggiornare cookie banner, tag manager, gestori di consenso e potenzialmente collaborare con browser o fornitori di wallet/stack tecnologici. Le PMI dovranno valutare investimenti in piattaforme compatibili con i nuovi standard.
- Formazione e compliance interna: team legale, IT e marketing dovranno collaborare per aggiornare policy interne, modulistica, informative privacy e meccanismi di revoca del consenso semplificata. Inoltre, le imprese dovranno monitorare il processo legislativo e prepararsi a modifiche nazionali che recepiranno le direttive UE.
I cookie, nati come soluzione tecnica per migliorare la navigazione in realtà sono diventati uno dei temi centrali del diritto digitale contemporaneo. L’intervento del legislatore europeo e del Garante italiano sta progressivamente rafforzato le tutele e imponendo regole chiare sul consenso e sulla trasparenza.
© RIPRODUZIONE RISERVATA
