L’avvento della Cookie Law ha messo in crisi aziende, organizzazioni, blogger e intere web agency. Sono emersi svariati problemi e una moltitudine di criticità, si è generato un vero e proprio dibattito (talvolta parecchio confusionario) sulle giuste contromisure da attuare per mettersi in regola, fra polemiche e petizioni contro le nuove direttive imposte dal Garante.
La cookie law coinvolge tutti i siti web dotati di cookie. Perciò tutti, ma proprio tutti? In primo luogo tutti quelli dotati di cookie di profilazione. Ma quali sono questi cookie, e dove si sancisce la differenza tra cookie di profilazione e cookie tecnici? Il contesto della programmazione web si sta movimentando, si sono generate, dunque, numerose critiche, il regolamento non è chiarissimo e così intuitivo ed il rischio, per chi non lo rispetti, è di subire delle sanzioni pesanti, dalle migliaia fino alle centinaia di migliaia di euro, in base all’entità delle norme violate. Le regole nell’ambito cookie sono state dettate dal Garante, i termini sono quelli della protezione dei dati personali e nascono da un provvedimento varato l’8 maggio 2014 con un periodo di adeguamento transitorio di 12 mesi a partire dalla pubblicazione nella Gazzetta Ufficiale del 3 giugno 2014. Ciò significa che il termine ultimo per allinearsi è scaduto lo scorso 2 giugno 2015. Molti proprietari di siti web si sono fatti prendere dal panico, anche per la mancanza di capacità tecniche in grado di mettere mano al codice, nonché per l’incombenza economica di arruolare un professionista o un consulente esterno che apponga le giuste modifiche per la cookie law, considerando poi il fatto che di tempo ormai sembra non essercene affatto. Il Garante nei giorni recenti è intervenuto a tranquillizzare gli animi, affermando che per il momento non scatterà nessuna sanzione per i siti non a norma, che le dispendiose contromisure non coinvolgono tutti i blog, ma solo quelli che adottano cookie di profilazione.
Sono necessarie alcune precisazioni; innanzitutto partiamo dalla definizione di che cos’è un cookie: il cookie è un piccolo file che viene memorizzato nel computer dai siti web durante la navigazione. Ogni dominio può impostare e generare diversi cookie. Nei nostri browser possiamo ospitare centinaia di cookie provenienti dai diversi siti web visitati. La loro funzione principale è quella di facilitare la navigazione, rendendola più rapida. I cookie raccolgono delle informazioni, memorizzano dati specifici sugli utenti che accedono ad un server e tracciano intere sessioni di navigazione, in molti casi vengono utilizzate perché permettono di delineare e comprendere le preferenze degli utenti, nonché di monitorare il comportamento dei navigatori. In questo modo riusciamo ad offrire ai consumatori della rete dei servizi mirati e personalizzati, tra cui anche la pubblicità.
Proprio per queste capacità di monitoraggio dei comportamenti di consumo della rete, i cookie, in particolare quelli di profilazione, hanno attivato moltissime discussioni relative al diritto alla privacy degli utenti. Da qui si è resa necessaria una legislazione che è stata accolta da Stati Uniti ed Europa, cui anche il nostro Garante si è allineato con una normativa già, appunto, non poco criticata.
Dunque, ecco che non è più possibile installare cookie prima di aver predisposto e mostrato all’utente un banner informativo, una cookie policy e aver richiesto ed ottenuto il suo consenso. Quindi prima che venga fornito il consenso è necessario che nessun cookie venga installato, eccezion fatta per quelli tecnici. L’informativa deve essere pubblicata in modo evidente,cosicché possa essere notata e visualizzata in modo prioritario dall’utente. I cookie tecnici che non necessitano del blocco preventivo e del consenso degli utenti sono quei cookie predisposti all’erogazione del servizio, relativi dunque alla funzionalità e alla navigabilità di quest’ultimo. Possono inoltre essere inclusi fra i cookie tecnici, quei cookie di statistica gestiti direttamente dal proprietario del sito purché vengano utilizzati per raccogliere dati e informazioni in modalità aggregata e se di terze parti (Google Analytics) sono idonei solo se i dati vengono resi anonimi prima di essere tracciati dal servizio terzo. Per i cookie tecnici, appunto, non è prevista l’acquisizione del consenso degli utenti, ma basterà fornire una specifica informativa nella privacy policy del sito.
Invece se il proprio sito contiene dei cookie di profilazione le modalità sono piuttosto complesse, anche se in rete molti millantano procedure semplificate per fornire l’informativa e ottenere il consenso degli utenti. Sono previsti due livelli di informativa: la prima, “informativa breve”, dovrà essere contenuta in un banner presentato all’utente al momento del primo accesso al sito; l’altra più dettagliata, “informativa estesa”, potrà essere contenuta all’interno della privacy policy presente sul sito. La cookie policy non deve contenere per forza tutti i cookie che vengono installati dal sito, ma deve invece descrivere nel dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano, con un link alla privacy policy(se non ne fa già parte) e agli eventuali moduli di consenso. L’informativa breve, invece, dovrà indicare se il sito utilizza cookie di profilazione, se il sito consente l’invio di cookie di terze parti, dovrà includere il link all’informativa estesa, specificando che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie. Inoltre deve precisare che proseguendo nella navigazione l’utente presterà il consenso all’installazione dei cookie (Linee guida per adeguarsi alla Cookie Law).
Il blocco dei cookie prima del consenso, con eccezione per le categorie esenti, risulta essere una procedura piuttosto impegnativa, richiede per forza un intervento di modifica al codice. Anche i più esperti troveranno non poche complessità nell’allinearsi a questa regolamentazione che sembra avere numerose lacune dal punto di vista tecnico. Garantire che nessun cookie venga installato nel terminale del navigatore è la parte più complessa dell’operazione, anche perché per farlo di fatto dobbiamo programmare ulteriori cookie che blocchino la partenza della profilazione fino al consenso dell’utente e che memorizzino per ogni utente quali sono i cookie a cui è stato dato il consenso o meno. Ad aggiungere complessità si aggiunge la procedura volta a rendere evidente ed efficace il sistema informativo con banner e messaggi preventivi tali da tutelare la privacy del navigatore, che non è così scontata e richiede competenze da non sottovalutare.
Questa normativa molto complicata, non fa altro che caricare di costi aggiuntivi le aziende, invece che snellire e rendere smart una procedura, troppo spesso, come in questo caso, si tende ad irrigidirla e ad appesantirla. Una normativa che di fatto limita la libera espressione di contenuti in rete. Molti proprietari di piccoli siti impauriti da tutta questa complessità, dal dispendio economico e dal rischio di sanzioni, si troveranno ad abbandonare e chiudere il proprio sito. L’Italia che già di per sé nel panorama europeo è destinata ad inseguire, non fa altro che porre un nuovo ostacolo, alimentando il suo limite fatto di ritardo e inefficienza. Questa volta è una regolamentazione che viene dall’Europa stessa a destare inefficacia e noi già deboli abbiamo deciso di applicarla aumentandone la complessità, come se non ce ne fosse già abbastanza, in linea con la rigidità e il meccanicismo della nostra burocrazia.
Questa nuova normativa, come sottolinea anche Gianluca Diegoli di MiniMarketing, ideatore di una petizione contro la cookie law, si dimostra totalmente assurda, “finiremo per aver paura di un cookie quanto di un virus”, a maggior ragione in un Paese già di per sé poco aperto rispetto alla cultura open source, open data e di rete quale è la nostra povera Italia.
