La normativa sui cookie è stata senza dubbio la più chiacchierata novità del web da molto tempo. Nella prima settimana della sua applicazione ha già provocato discussioni, proteste, deriva delle interpretazioni. Molti punti sono stati chiariti a proposito degli obblighi di informativa, e il Garante stesso ha pubblicato un comunicato. Restano però alcuni aspetti controversi della Cookie Law in merito all’estensione della sua applicazione, e soprattutto una domanda che va oltre le responsabilità nazionali: era davvero necessario un provvedimento del genere?
I chiarimenti del Garante sono utili a dipanare i dubbi di chi proprio non ha capito quale sia il discrimine fondativo della norma: cookie funzionali (o tecnici) e cookie di profilazione. Su Webnews è già stato spiegato anzitempo, non si può che riprendere di nuovo l’argomento con uno schema ancora più semplificato. Ponendosi la questione dal punto di vista degli obblighi e non delle distinzioni tecnologiche, sarà forse più chiaro. Ecco chi rientra nelle diverse opzioni della norma sulla comunicazione ai visitatori di un sito web.
Cookie Law: i chiarimenti del Garante
Nessuna informativa
Se il sito rilascia solo cookie tecnici, di funzionamento server-client, non c’è nessun obbligo. Buona condotta è rimandare a una informativa sulla policy del sito.
Informativa estesa
L’informativa estesa va riprodotta in caso di cookie analitycs propri o di terze parti, che sono assimilabili a quelli tecnici, a patto che non profilino l’utente a fini commerciali e non comportano la possibilità da parte del gestore del sito di conoscere il visitatore. Come spiega il Garante, qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP) in caso sia potenzialmente possibile da parte della piattaforma terza un incrocio con altri dati di cookie di profilazione.
Informativa estesa più banner a comparsa
La doppia comunicazione, compresa del famigerato banner in home page, è obbligata quando il sito rilascia cookie di profilazione, propri o di terze parti. Nel banner deve esserci la possibilità per il visitatore di consentire l’uso dei cookie del sito oppure essere indirizzato a una informativa estesa nella quale si spiega nel dettaglio quali cookie si utilizzano, che funzioni hanno, e come eventualmente comunicare al sito o ad altri siti che non si vuole essere tracciati (navigazione anonima), oppure come cancellarli o bloccare soltanto quelli di terze parti. Per questo caso e quello successivo è necessario bloccare preventivamente i cookie di profilazione – propri o di terze parti – fino al consenso informato. Il cosiddetto opt-in.
Informativa estesa più banner più notifica al Garante
In caso il sito web utilizzi cookie di profilazione di prima parte, cioè propri e quindi in grado di conservare dati accurati sul comportamento individuale dell’utente per proporgli advertising personalizzato, non solo è necessario tutto quanto visto nel caso precedente (informative e opt-in), ma anche la notifica al Garante, del costo di 150 euro. Sono coinvolti soprattutto i siti di eCommerce, molti meno blogger, che generalmente usano cookie di terze parti dovuti solo ai social button o altri tools embeddati nel sito senza averne il controllo. Per loro vale la regola della doppia informativa ma non della notifica.
I due punti deboli: opt-in e applicazione universale
Sbrigata la pratica degli adempimenti, con molta fatica e pazienza (bisogna riconoscerlo) da parte degli dirigenti dell’authority che hanno risposto a telefonate e mail con solerzia e gentilezza e non hanno mancato di ribadire l’intenzione soprattutto formativa della norma, restano in campo due grossi problemi. Il primo è la scelta dell’opt-in, cioè l’obbligo di bloccare i cookie di profilazione fino al consenso del visitatore. Il suo opposto è l’opt-out, che invece consente alla persona di conoscere gli effetti dei cookie e andare a cancellarli oppure uscire dal sito. Per usare una metafora, è come se invece di mettere cartelli sulle videocamere presenti in una determinata area, si pretendesse che le camere entrassero in funzione soltanto dopo che il passante li avesse letti.
Questa incombenza, oltre ad essere stringente rispetto alla direttiva EU (altri paesi non l’hanno applicata), è tecnicamente gravosa. In tanti non hanno la minima idea di come inserire script idonei nella propria piattaforma ed è complicato reperire guide di Google e altri fornitori di tools che usano cookie. Probabilmente anche ipocrita: questo opt-in alla fine è un opt-out mascherato perché la stragrande maggioranza delle persone cliccherà compulsivamente “ok” a tutti i banner sperando soltanto di non vederli più e tornare a usare il sito così come lo conoscevano.
La posizione del Garante sotto questo punto di vista è piuttosto rigida:
Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.
La Cookie Law? Vale per tutti
Il punto 6 dei chiarimenti dell’autorità garante sembra la riedizione di una paradossale webtax. A chi infatti (e sono praticamente tutte le aziende che lavorano in Italia) ha fatto notare che la cookie law ha un effetto negativo per il paese perché obbliga i gestori di siti italiani a costi che una piattaforma extraeuropea non ha, viene invece ribadita l’applicazione universale:
La normativa cookie riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).
Oltre a non essere particolarmente chiara, questa specificazione sembra aprire le porte a una situazione del tutto incontrollabile, anzi: una totale follia. Se, come dice testualmente il Garante, «gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia», questo significa non soltanto che una piattaforma extra Europea dovrebbe bloccare i propri cookie e implementare l’informativa, ma che di converso un italiano che visiti un sito estero qualunque (ad esempio prenotando un albergo in Cina), dovrebbe vedersi apparire la norma come prevista in Italia. È infatti sul suo browser che sono installati i cookie.
La ragione di questo scivolone è intuibile: il dipartimento tecnico non voleva fosse aggirabile la norma inserendo una pagina estera nel sito, ma questa soluzione – che sembra improvvisata – ricorda davvero gli effetti improbabili della vecchia webtax. E potrebbe meritarsi un esposto.
Che abbiamo fatto di male?
Di per sé il principio della buona informazione agli utenti sulla navigazione è positivo, ma il combinato disposto di una direttiva europea vecchia (2009) e stupida insieme all’enforcing tipicamente italiano ha prodotto l’ennesima norma web che ostacola lo sviluppo invece di incoraggiarlo. Il motivo? Che a Bruxelles si fa lobbying, ma non sano: siccome non è immaginabile mettere attorno a un tavolo quei quattro produttori di browser per lavorare su funzionalità user friendly – ad oggi un tool per lasciare al visitatore la possibilità di bloccare i cookie un sito per volta e con facilità non esiste: per quale ragione? – si è preferito coinvolgere milioni di siti, stressando il sistema, scoraggiando i lavoratori del web, confondendo i consumatori. Ecco qual è la nostra colpa: avere una politica europea web-colpevolista, interessata soltanto a difendere il consumatore da eventuali abusi finendo per provocarne di propri e peggiori, meritandosi così dall’altra parte un atteggiamento indifferente e talvolta un po’ meschino delle aziende tecnologiche.