La principale tecnologia di tracciamento utilizzata per profilare gli utenti nei servizi online è rappresentata dai cd. “cookies”.

In generale, i cookies sono righe di testo o piccoli file che vengono inviati dal sito web oggetto di navigazione (c.d. “publisher” o “prima parte”), oppure da un sito web diverso da quello visitato (cd. “terza parte”) e memorizzati sul dispositivo terminale degli utenti. Lo scopo è quello di avere accesso e rilevare dati riguardanti tali individui, creare profili e modelli di comportamento (cluster) al fine di consentire agli stessi siti web di utilizzarli, in un successivo momento, per veicolare i messaggi pubblicitari a coloro che corrispondono o (meglio) rientrano in questi profili. I dati raccolti possono includere, tra i tanti, il tempo e il luogo di connessione dei dispositivi, gli indirizzi IP, i punti di accesso WIFI, la cronologia di navigazione e di acquisti, i likes e le condivisioni e, più in generale, il comportamento e le abitudini di navigazione degli utenti consumatori.

I cookies possono così essere classificati in diverse categorie:

• dal punto di vista soggettivo – cioè a dire a seconda del soggetto che posiziona il cookie nell’apparecchiatura terminale dell’utente e, quindi, del soggetto che opera in qualità di titolare del trattamento dei dati personali raccolti attraverso tale cookie – è possibile distinguere tra:

1. 1. cookie di prima parte: si tratta di cookies installati sul dispositivo dagli stessi gestori del sito web sul quale l’utente sta navigando;
   2. cookie di terza parte: si tratta di cookies installati sul dispositivo da un sito terzo rispetto a quello che sta visitando l’utente, per il tramite di quest’ultimo;

• in base alle finalità, è possibile distinguere tra:

1. 1. cookie tecnici: sono quei cookie che sono utilizzati al fine di ottimizzare la navigazione sul sito e per consentire al gestore di fornire i servizi richiesti, i quali possono ulteriormente distinti in:
      1. cookie strettamente necessari, ossia necessari per permettere la navigazione sul sito e per il suo corretto funzionamento; essi non memorizzano informazioni personali e vengono impostati in risposta alle azioni dell’utente (quali, ad esempio, l’impostazione delle preferenze privacy, l’accesso o la compilazione di moduli);
      2. cookie di funzionalità, che consentono di offrire all’utente funzionalità aggiuntive e impostazioni personalizzate (solitamente vengono utilizzati allo scopo di memorizzare alcune preferenze e informazioni – quali ad esempio, la lingua, il paese di provenienza, i prodotti selezionati per l’acquisto – senza che l’utente debba inserirle nuovamente nel corso delle visite successive); e
      3. cookie di prestazione o analitici, che consentono al gestore di accedere, rilevare e raccogliere informazioni statistiche, in forma anonima e aggregata (quali, ad esempio, il numero dei visitatori del sito, le relative modalità di utilizzo e interazione), al fine di migliorare i prodotti e i servizi.
   2. cookie di profilazione: sono quei cookie che tracciano i movimenti di navigazione dell’utente al fine di profilarli in base agli interessi, alle abitudini, alle preferenze e alle scelte di acquisto, e raggrupparli in cluster Sono questi ultimi quelli utilizzati nell’ambito dell’online behavioral advertising, ossia la pubblicità mirata, personalizzata in base agli interessi e alle preferenze degli utenti profilati.

• in base alla durata, è possibile distinguere tra:

1. 1. cookie di sessione, ossia cookies che vengono rimossi in automatico alla chiusura del browser;
   2. cookie persistente, ossia quando il cookie viene archiviato nel dispositivo terminale dell’utente fino alla scadenza prestabilita o fino a quando l’utente non decide di eliminarli.

Le tecnologie di tracciamento permettono ai fornitori di reti pubblicitarie di monitorare e tracciare il comportamento degli utenti attraverso un numero vastissimo di siti web, ponendo così non pochi problemi in materia di protezione di dati personali.

Sul punto assume rilievo, in primo luogo, la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva ePrivacy”), il cui art. 5, par. 3 stabilisce come “l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 96/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Pertanto, mentre con riferimento ai cookie tecnici (che consentono di navigare e di fornire il servizio richiesto dall’utente) sussiste il solo obbligo di informativa, nel caso di utilizzo di cookie di profilazione (di prima o di terza parte) è necessario il consenso dell’utente, ottenuto dopo averlo informato circa l’installazione e le finalità di tale cookie.

Sul punto, il Garante per la Protezione dei Dati Personali ha sancito l’obbligo di prevedere sulla home page o su un´altra pagina di un sito web che utilizza cookie un banner ben visibile, in cui sia indicato chiaramente:

• che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
• che il sito consente anche l´invio di cookie di terze parti;
• un link a una informativa più ampia, ove vengono fornite indicazioni anche sull´uso dei cookie tecnici e analitici, e viene data la possibilità di scegliere quali specifici cookie autorizzare; e
• l´indicazione che alla pagina dell´informativa estesa è possibile negare il consenso all´installazione di qualunque cookie.

Con un provvedimento successivo, il Garante ha approvato nuove linee guida in materia di cookie e altri strumenti di tracciamento, mediante cui, tra gli interventi più rilevanti:

• vengono equiparati i cookie analitici (di prima o di terza parte) ai cookie o altri identificatori tecnici a determinate condizioni stringenti (es. quando vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile, quando viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP, ecc.);
• viene specificato che l’utilizzo del banner a comparsa immediata e di adeguate dimensioni in caso di cookie e altri identificatori non tecnici deve contenere un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione;
• viene vietata la reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne circostanze particolari;
• viene sancita l’inadeguatezza di determinate modalità di raccolta del consenso e, in particolare:
• lo scrolling, ovverosia scorrere la home page del sito, è di per sé ritenuto inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento; e
• il cookie wall, che di fatto impedirebbe l’accesso al sito web (o a un servizio) agli utenti che non acconsentono a tutti i cookie e analoghe tecnologie traccianti presenti sul dominio, viene considerato illecito, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del GDPR.

Le nuove Linee guida, inoltre, estendono il loro ambito di applicazione oltre che ai cookie anche ad altri strumenti di tracciamento, come ad esempio il fingerprinting, ossia il riconoscimento dell’impronta digitale fornita da un insieme di parametri tecnici esclusivi e specifici di un dispositivo che consiste nel combinare una serie di informazioni in grado di individuare, correlare o dedurre un utente o un determinato dispositivo nel tempo.