Biscotti: fondamenti e importanza per la protezione dei dati personali nei siti web

Significato dei cookie

I cookie giocano un ruolo fondamentale nel contesto della GDPR per le pagine web. I motivi sono soprattutto:

1. La sentenza del Tribunale di giustizia dell'Unione europea sui cookie. In questo caso, però, non si trattava principalmente dei cookie, ma la comunicazione ha presentato le cose in questo modo
2. La nuova versione della direttiva sulla protezione dei dati personali viene impropriamente chiamata Cookie Direttiva.
3. La commercializzazione di alcune offerte di strumenti di consenso e alcune piattaforme di consulenza
4. La realtà che i cookie sono facilmente identificabili come meccanismo di elaborazione dei dati e non possono essere discusso via

Che cos'è un cookie?

Un cookie è composto da una chiave e un valore e viene gestito dal browser dell'utente. Di solito i browser conservano i cookies sul dispositivo dell'utente sotto forma di file di testo. Un tempo i browser conservavano i cookies sotto forma di file di testo sul dispositivo dell'utente. Oggi, i cookies vengono spesso memorizzati in banche dati. I cookies non sono file di testo e non lo erano mai, perché ogni browser poteva scegliere liberamente la forma di archiviazione e può ancora farlo.

Un cookie ha in particolare le seguenti proprietà (esempi di valori sono indicati tra parentesi):

• Nome: NID
• Valore: 200=UxxxxxxsGiW99MK4GuykyVJnK8PMOWi02EBAwQ-juoMaximilia-injksa728lslsn
• Durata della vita: 1 anno
• Impostazioni di sicurezza: HttpOnly
• Dominio: google.com

Sul dominio del cookie si stabilisce se un cookie di prima o terza parte è presente.

First-Party Cookies

Cookies di prima parte vengono gestiti dalla stessa pagina web appena richiamata e possono essere letti solo da questa. Se il cookie ha la domanda webseite4711.de e la pagina web ha anch'essa questo indirizzo, il cookie è di prima parte per questa pagina web.

Third-Party Cookies

Cookies di Terze Parti vengono gestiti da terzi. Un terzo è un fornitore di strumenti come ad esempio Google reCAPTCHA. Quando viene caricato uno strumento di questo tipo, il browser aggiunge tutti i cookie al richiamo che si trovano nella stessa dominio del tool.

Un cookie di terza parte può essere creato solo sul server da cui viene richiesta una pagina.

Un esempio pratico per Google reCAPTCHA: Questo strumento si offre attraverso il dominio google.com. Al momento dell'accesso a una pagina web che integra reCAPTCHA, avviene quanto segue:

1. La pagina web viene chiamata nel browser inserendo l'indirizzo _www.webseite4711.de
2. La pagina web integra Google reCAPTCHA tramite il seguente file: https://www.google.com/recaptcha/api.js
3. Il browser richiama il file e invia tutti i cookie già presenti per la domanda google.com. In particolare, viene trasmesso il cookie NID, che contiene l'ID dell'utente Google. Questo cookie viene ad esempio impostato quando un utente si iscrive al suo account Google.
4. L'utensile richiesto può leggere il cookie o modificare il suo valore.

I cookie di terza parte sono quindi accessibili solo alle tool che si trovano nella stessa dominio del cookie, dove il dominio per definizione è diverso da quello della pagina web richiamata (da cui il nome _Third-Party, ovvero terza parte).

Condivisione di cookie di terze parti tra diversi strumenti

Il tool Google reCAPTCHA appena menzionato ha accesso a diverse domene, tra cui google.com e gstatic.com. Tutti i cookie impostati per queste domene prima di inserire Google reCAPTCHA sono automaticamente accessibili a questo strumento. Ciò significa che reCAPTCHA può non solo leggere i cookie gestiti da sé, ma anche quelli imposti da tutti gli altri tool Google che impongono cookies su una delle due domene Google menzionate. Di conseguenza, reCAPTCHA ha accesso a un ampio raggio di cookie che in realtà dovrebbero essere attribuiti ad altri strumenti! Ciò rende impossibile l'uso rechtskonform di Google reCAPTCHA senza una richiesta di autorizzazione. La richiesta stessa è difficile, perché nessuno sa come Google elabora i dati.

Cookies di prima parte per terze parti

Se una pagina web si collega a un tool come Google Analytics, viene caricato un codice Javascript sulla pagina web. Con questo codice Javascript possono essere gestiti anche i First-Party Cookies, perché il codice JavaScript "vive" sulla pagina web che lo ha caricato e può agire al suo posto.

Un cookie di prima parte viene considerato un cookie di terza parte

Un cookie di prima parte può anche diventare un cookie di terza parte. Ecco un esempio molto comune:

1. Un utente richiama la pagina web di google.com
2. In questo caso viene creato (o aggiornato, se già presente) un cookie di prima parte denominato NID sulla domanda google.com
3. L'utente richiama ora un sito web uvwxyz.de, che integra _Google reCAPTCHA
4. Google reCAPTCHA viene caricato anche dalla domenica google.com. Al momento del caricamento dell'utensile, il cookie originale First-Party _NID viene caricato e ora è un cookie Third-Party, poiché la domenica della pagina attuale è uvwxyz.de e quindi diversa da google.com._

Biscotti e protezione dei dati personali

Ogni volta che un sito web carica uno strumento da una domain, tutti i cookie presenti sul dispositivo dell'utente per quella domain vengono automaticamente trasmessi.

Carica un tool ulteriori script da altre domeniche, possono questi script ulteriori Third-Party Cookies generare, leggere e modificare. In pratica ciò avviene circa (sempre, data 30.12.2020) all'incorporazione di video YouTube con o senza cookies (!), dove per scopi di promozione viene caricato il tracker DoubleClick. DoubleClick viene caricato dalla domenica doubleclick.net e può quindi accedere ai cookies delle medesime domeniche.

Quanto più file vengono scaricati da un tool provenienti da diverse domini, tanto più controllo sui cookie potrebbe avere. Ad esempio, i video incorporati in una pagina web su YouTube non caricano solo file da youtube.com o youtube-nocookie.com, ma anche da ytimg.com, gstatic.com e doubleclick.net. Allo stesso tempo, Google Maps carica anche file da gstatic.com, quindi entrambi gli strumenti potrebbero scambiarsi dati attraverso questi domini. Poiché la società Google possiede tutti questi server, l'azienda può trasferire i dati raccolti in modo invisibile a se stessa.

I cookie si prestano all'identificazione e tracciamento degli utenti attraverso più sessioni. Una sessione è la visita di un sito web, che viene interrotta al momento del lasciare il sito o della chiusura del browser.

Un cookie esiste solo all'interno di un singolo browser sul dispositivo del utente. Se il utente visita una pagina web da un altro browser, questo altro browser non conosce i cookies dei precedenti accessi alla pagina web.

I cookie non sono quindi adatti per il tracciamento dei utenti tra più browser o dispositivi.

Il racconto della domanda senza cookie

Probabilmente avete già letto qualcosa sul Google Tag Manager e che sia una dominio senza cookie. Che questa affermazione in sé sia un gran fumo è vero, perché un servizio non è una dominio, lasciamo perdere.

La dichiarazione non è vera nemmeno se si considera il dominio googletagmanager.com come cookieless. Ho dimostrato e provato questo in un mio articolo separato sul Google Tag Manager.

La soluzione per i cookie

La soluzione consiste nell'evitare l'utilizzo di strumenti che elaborano i cookie. Gli strumenti non necessari devono essere rimossi assolutamente. Le librerie esterne, le immagini e gli script dovrebbero essere salvati localmente. Chiedete al vostro fornitore di servizi di effettuare un inventario completo della vostra pagina web per identificare tutti gli strumenti utilizzati.

Altre soluzioni possibili:

• Alternative per gli strumenti di Google
• Elenco di controllo per la richiesta di consenso (come motivazione per non utilizzarlo)

Attenzione a utilizzare anche strumenti su siti web che non utilizzano i cookie, spesso richiedono il consenso.