La normativa nazionale sui cookie è vigente, un provvedimento nato nel 2014 dopo una consultazione del Garante per la protezione dei dati personali e pienamente attiva dallo scorso 2 giugno. Polemiche e problemi a parte, si tratta di una norma che teoricamente consente all’authority di comminare multe salate – fino a 120 mila euro – a chi non la rispetti. Ma è davvero possibile controllare milioni di siti web? E con quale spirito si deve accogliere la cookie law?
In questi ultimi giorni si è parlato molto, e si continuerà a farlo, di cosa prevede tecnicamente la normativa, dei problemi emersi, tanti e tali da essere oggetto di una petizione, ma resta una domanda: chi controlla, e cosa succede quando un utente segnala una violazione? Essendo una norma a protezione degli utenti, ogni utente può segnalare al Garante ogni sito che non la rispetta (video). L’ufficio del Garante ha risposto ad alcune curiosità di Webnews su questo procedimento.
Garante privacy: obiettivo informazione
Dagli uffici del Garante fanno sapere, innanzitutto, che dispongono di un dipartimento tecnico in grado di sostenere le richieste di eventuali utenti e anche di procedere d’ufficio dopo avere verificato il rispetto delle prescrizioni da parte dei siti. Non è chiaro con quali tecnologie: la sensazione è che ci vorrebbe un crawler per scandagliare la rete e identificare le due possibili violazioni: l’assenza di banner informativi e il mancato blocco dei cookie profilanti prima del consenso del visitatore. Sulla materia del controllo, dagli uffici del Garante arriva tuttavia una rassicurazione: il provvedimento non serve a battere cassa.
La prima preoccupazione dell’Autorità, come in tutti i casi di nuove previsioni, non è certamente l’aspetto sanzionatorio, ma soprattutto l’aspetto culturale e “formativo” dell’uso della rete. Il Garante è insomma interessato a raggiungere innanzitutto un obiettivo che è quello di consentire agli utenti scelte consapevoli, di fare trasparenza sull’uso che viene fatto dei loro dati personali e dei loro comportamenti in rete.
L’opt-in preferito all’opt-out
Per l’autorità è evidente che, avendo dato un anno di tempo per adeguarsi, si era già di fatto mandato un messaggio ai destinatari del provvedimento che si non si intendeva operare in maniera drastica.
C’è però un grande discrimine: perché l’opt-in invece dell’opt-out? In altri termini, per quale ragione attirarsi gli strali dei blogger e dei gestori di piattaforme sul blocco preventivo dei cookie profilanti, propri o di terze parti, quando ci si poteva limitare a informare l’utente e suggerirgli di bloccare i cookie col proprio browser? Si sarebbe mantenuto fede alla direttiva europea e molti non sarebbero stati costretti, come sta succedendo, a bloccare per precauzione tutti i cookie profilanti dalle piattaforme, in attesa che la stragrande maggioranza dei visitatori – com’è probabile – pigino il bottone “ok” e tutto torni come prima.
La risposta dall’autorità è che preoccuparsi del consenso al tracciamento dei cookie significa impedire che svolgano il loro compito finché non è chiaro cosa comporta. Il principio dell’opt-out era stato preso in considerazione, ma da Roma fanno sapere che l’Ico, il Garante inglese, ha scelto l’opt-out «ma è un sistema che non ha funzionato». Ecco spiegata la norma, sicuramente la più discussa, della cookie law: è necessario bloccare tutti i cookie profilanti prima del consenso informato alla prima visita sul sito, altrimenti si è passibili di una multa. Ci sono piattaforme italiane di blogging che hanno dato mandato agli avvocati per capire come si possa davvero essere responsabili di migliaia di siti e intanto, per non sbagliare ed evitare gravose sanzioni, hanno bloccato tutti i cookie. Con qualche effetto anticoncorrenziale di cui si dovrà parlare.
La risposta dell’autorità è però chiara: il garante controlla, non è il suo obiettivo principale, ma controllerà.