Alcuni, a ragion veduta, hanno definito “cookiegeddon” il giorno in cui sono comparsi i primi “banner” di adeguamento alla normativa sui cookie, entrata in vigore il 2 giugno 2015. La memoria cinematografica e un po’ di fantasia suggeriscono un meteorite, questa volta a forma di biscotto, in caduta libera verso il nostro Paese, quest’ultimo totalmente impreparato rispetto ad uno stravolgimento del web così netto. La verità è che in molti, in troppi, hanno dolosamente ignorato il provvedimento dell’8 maggio 2014 del Garante privacy, differendo quanto più possibile l’adeguamento alla normativa: la “deadline”, infatti, era stata fissata esattamente ad un anno di distanza dalla pubblicazione in Gazzetta Ufficiale del provvedimento.
Una “vacatio” così lunga, invece, avrebbe dovuto destare sospetti, allertare i proprietari di siti web, soprattutto i piccoli del settore.
Spiace non poter approfondire, in questa sede, i passaggi principali del provvedimento (al quale hanno fatto seguito gli inevitabili “Chiarimenti” dell’Autorità); si preferirà indagare sulle criticità della normativa e sulla sua effettiva utilità in concreto, dando per scontata la lettura delle disposizioni del Garante.
– Gestori siti web
Chi ha un sito web, anche i piccoli gestori, sono oggi obbligati a determinati adempimenti quale conseguenza dell’installazione dei cookie. L’onerosità dell’adempimento dipende, naturalmente, dal genere di cookie che il sito carica (tecnici, analitici, di profilazione), nonché dalla provenienza dei cookie stessi, e cioè se essi siano di “prima parte” o di “terze parti”. L’info grafica pubblicata sul sito del Garante permette una immediata comprensione dei diversi adempimenti a seconda della tipologia di cookie.Le disposizioni del Garante sono tutto sommato sufficientemente chiare per i cookie tecnici e per quelli di profilazione. Limitatamente ai cookie analitici, in particolare quelli di “terze parti”,si registrano diverse criticità.
In particolare i gestori di siti web si trovano costretti a richiedere alle “terze parti” informazioni circa l’anonimizzazione degli indirizzi IP ed, ancor peggio, circa l’eventuale incrocio con informazioni già in loro possesso. In sostanza i gestori di siti web sono obbligati, qualora la “terza parte” non mascheri gli indirizzi IP o condivida le informazioni acquisite tramite i cookie con altre di cui già dispone, a notificare il trattamento al Garante (“Chiarimenti in merito all’attuazione della normativa in materia di cookie” – Garante privacy – ).
Ma la vera difficoltà sta nel rapporto che i gestori di siti web possono avere con i cookie analitici installati da Google Analytics (il più diffuso): riesce difficile ipotizzare che ogni gestore di un sito web, soprattutto se piccolo, possa contattare il colosso del web per domandare cosa ne faccia delle informazioni acquisite tramite i cookie! L’inevitabile conseguenza è che coloro i quali vorranno tenersi al riparo da ogni potenziale rischio di sanzione, dovranno procedere ad una notificazione al Garante (dal costo di 150 euro di diritti di segreteria). Notificare il trattamento all’Autorità per porsi al sicuro: francamente troppo, soprattutto per i piccoli gestori.
L’alternativa sarebbe quella di esporsi al rischio e confidare che Google mascheri gli indirizzi IP e non incroci le informazioni acquisite con i cookie con altre di cui sia in possesso. Siamo all’estremo opposto.
Che si scelga una strada piuttosto che l’altra la confusione regna sovrana: ne danno prova i numerosi siti web che dichiarano di installare soltanto cookie analitici, laddove propongono l’accoppiata banner+informativa estesa, binomio che, come rivela l’infografica del Garante, non è previsto per i cookie analitici, ma soltanto per quelli di profilazione di terze parti.
Tralasciando lo spinoso argomento cookie analytics, un punto fondamentale del Provvedimento in materia di cookie (punto 4.1 penultimo cpv) che molti gestori di siti web hanno ignorato, riguarda la documentazione dell’avvenuta prestazione del consenso. In sostanza lo stesso Garante consiglia l’installazione di un cookie tecnico che sia in grado di memorizzare se un utente abbia già prestato il proprio consenso o meno, in modo da non riproporre il banner al successivo accesso.
L’assenza di questo cookie tecnico, e quindi l’impossibilità di tener traccia dell’avvenuta prestazione del consenso, vanifica l’efficacia di ogni adempimento (banner/informativa/notificazione) ed espone il gestore del sito alla potenziale irrogazione di sanzioni salatissime.
Ma cosa intende il Garante quando impone al gestore del sito web di “tenere traccia dell’avvenuta prestazione del consenso” attraverso un cookie tecnico?
Entrando in punta di piedi nel mondo informatico, si informa che tracciare l’avvenuta prestazione del consenso attraverso un cookie NON permette al gestore del sito di documentare tale consenso: il cookie tecnico, infatti, memorizza le informazioni solo e soltanto sul browser dell’utente … Ciò significa che l’utente, dopo aver acconsentito ai cookie, non vedrà nuovamente il banner al successivo accesso (grazie al cookie tecnico predisposto dal sito), ma certamente sarà IMPOSSIBILE per il gestore del sito web dimostrare che quell’utente ha già prestato consenso. Il punto resta di dubbia interpretazione; preferiamo ritenere che il Provvedimento volesse riferirsi soltanto alla scomparsa del banner al successivo accesso, perché sposare l’altra interpretazione significherebbe accusare il Garante di essere maldestramente inciampato in una banalità informatica.
-Utenti del web
Le difficoltà di interpretazione, e messa in pratica, del Provvedimento del Garante da parte dei gestori di siti web si ripercuotono inevitabilmente sugli utenti.
Il Provvedimento dell’Authority non brilla per chiarezza e semplicità, pertanto l’utente medio, impaziente e stizzito “dall’invasione dei banner”, è portato a prestare il proprio consenso incondizionato ai cookie, salvo poi spalancare gli occhi quando si accorge di esser stato tracciato nella navigazione (un tipico caso di profilazione si verifica sui socialnetwork, dove compaiono offerte o pubblicità collegate a ricerche precedentemente effettuate dall’utente).
Ma proviamo a vestire i panni di quello che dovrebbe essere l’utente modello. Reprimendo la foga di consultare un sito web, l’utente modello dovrebbe leggere attentamente il banner (che costituisce un’informativa breve sul genere di cookie che il sito installa – o almeno così dovrebbe essere – ), quindi cliccare il link all’informativa estesa. Approdato sulla cookie policy, l’utente modello potrebbe manifestare il desiderio di disabilitare alcuni cookie che ritiene non utili per la propria navigazione; come potrebbe disabilitare i singoli cookie?
Se il sito web consultato carica cookie propri (“di prima parte”) DOVREBBE offrire la possibilità all’utente di disabilitare i cookie direttamente nella propria informativa, attraverso un “opt-in/opt-out”. Accade spesso, tuttavia, che il sito richieda un ulteriore passaggio, ossia quello di scaricare un “plugin” (componente aggiuntivo), come ad esempio è previsto per i cookie di Google. Tale ulteriore passaggio, naturalmente, mette a dura prova la pazienza dell’utente medio, il quale è portato ad accantonare gli iniziali propositi e ad accettare tutti i cookie.
Ancor più farraginosa è la procedura se i cookie che il sito carica sono di “terze parti”: in questo caso il sito consultato ha il solo obbligo di rinviare all’informativa del sito “terza parte”, il quale, tuttavia, è spesso in lingua straniera o, peggio, sprovvisto della funzione “opt-in/opt-out”.
L’inevitabile conclusione è che anche l’utente modello, quello più attento alla propria privacy, se in un primo momento è intenzionato a documentarsi con lo scopo di scegliere i cookie che intende disabilitare, nel corso dei vari passaggi è portato ad arrendersi di fronte ad una procedura particolarmente gravosa, soprattutto se da ripetere per ogni sito web consultato.
Alla luce delle criticità mostrate, il Provvedimento del Garante in materia di cookie sembra non aver raggiunto i risultati auspicati, o probabilmente si … Viene da chiedersi se obiettivo dell’Authority fosse quello di garantire effettivamente la riservatezza degli utenti del web, assicurando loro la possibilità di non essere tracciati, oppure lo scopo fosse semplicemente quello di adeguarsi ai dettami comunitari per quanto possibile.
Certo è che il Provvedimento sui cookie, nonostante i “Chiarimenti” del Garante, ad oggi risulta complesso e di ardua interpretazione nella forma, e totalmente fallimentare nella sostanza.
Spaventa, in questo senso, che nel bilanciamento tra diritto alla riservatezza (ricondotto all’art. 2 Cost.) e libertà di iniziativa economica (art. 41 Cost.), nella quale possiamo far rientrare il web-marketing, la bilancia sembra spesso, e arbitrariamente, pendere in favore di quest’ultima.
La maggiore preoccupazione sorge improvvisa pensando che, fino a ieri, i cookie si nascondevano ed entravano nei nostri browser senza alcun freno inibitore, mentre oggi, che si è provato ad introdurre dei filtri di scelta, prendiamo coscienza di quanto le misure previste siano inidonee ed i cookie siano in grado di sfuggire tra le maglie larghe dei filtri stessi.
Noi utenti del web -la verità- meriteremmo di soddisfare la nostra legittima aspirazione ad essere curiosi nella navigazione e a poter scegliere differenti gradi di “solitudine” o di “socializzazione”, siaacconsentendo ad essere tracciati, sia, di converso, esercitando effettivamente il nostro “iusescludendialios” nel web.
Dott. Valentino Notarangelo