Dopo la pubblicazione in Gazzetta Ufficiale del regolamento sui cookie emanato dal Garante, qualche riflessione su come rispondere agli obblighi. C’è però ancora tempo.
C’è un silenzio assordante per quanto riguarda il tema della gestione
dei cookie sul web, soprattutto in Italia. A giugno scorso è stato
pubblicato in Gazzetta Ufficiale il regolamento sui cookie, approvato ed emanato dal Garante Privacy italiano: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie 8 maggio 2014” (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).
Al
termine di una consultazione pubblica, avviata già nel 2012, l’autorità
per la protezione dei dati personali ha ritenuto opportuno pubblicare
una regolamentazione sull’utilizzo dei cookie che di fatto pone in capo a chinque, in Italia, amministri
un sito web (non importa se a livello amatoriale, professionale o
d’impresa) una serie di obblighi piuttosto stringenti.
In primis, prima di ordinare al browser web la creazione di un qualsiasi “cookie di profilazione“, l’editore del sito dovrà aver preventivamente ed esplicitamente ottenuto l’autorizzazione di ciascun utente.
Il
Garante consiglia, ad esempio, la visualizzazione di un messaggio al
centro della pagina web che contenga le informazioni sulle modalità con
cui i cookie di profilazione vengono eventualmente utilizzati e gli
strumenti che permetteranno all’utente di concedere il suo benestare.
I
siti web che usano solamente “cookie tecnici” (cookie di sessione,
cookie utilizzati per la gestione del carrello di un sito di e-commerce,
per l’applicazione di filtri sulla visualizzazione dei prodotti
presenti in un catalogo, per la memorizzazione delle preferenze
sull’utilizzo della specifica applicazione web,…) non sono tenuti
all’esposizione del messaggio. Tuttavia, basta anche un semplice
banner AdSense od il mero utilizzo del codice di Google Analytics per
incorrere negli adempimenti previsti dal Garante.
Cookie
di profilazione sono considerabili, per esempio, oltre ai già citati
AdSense ed Analytics, quelli dei vari circuiti di advertising, i vari
widget di Facebook, Google+, Twitter, YouTube, Disqus oltre a qualsiasi
meccanismo (sviluppato in proprio od utilizzato appoggiandosi a servizi di terzi) che possa essere usato per tracciare in qualche modo il visitatore.
Google ChookieChoices: è davvero una soluzione?
Sul web sono ancora pochi ad affrontare il problema legato al nuovo regolamento sui cookie. Quei pochi che ne parlano presentano i due strumenti presentati da Google sul sito web ChookieChoices.org come una soluzione percorribile sin d’ora.
Per come viene descritta dai più, si tratterebbe di un comodo approccio “copia&incolla“:
basta copiare il codice dal sito ChookieChoices allestito dai tecnici
di Google ed utilizzarlo sul proprio sito web, per mettersi in regola,
anche sulla base di quanto previsto dal Garante Privacy italiano.
La risposta è no.
La
soluzione proposta da Google, da sé, non risolve il problema della
gestione dei cookie di profilazione. Le due soluzioni JavaScript offerte
da Google sul sito ChookieChoices possono essere considerati solo degli
strumenti per informare, in maniera visuale, gli utenti sulle modalità
di gestione dei cookie.
Il codice JavaScript di cookie, tuttavia, non
modifica e non può d’altra parte modificare i criteri con cui i cookie
(compresi quelli di profilazione) vengono rilasciati sui sistemi client
dei lettori.
I due JavaScript proposti da Google, infatti, non fanno altro che impiantare un cookie tecnico denominato displayCookieConsent. Tale
cookie potrà essere eventualmente utilizzato dallo sviluppatore del
sito web per bloccare l’esposizione di contenuti che provochino il
rilascio di cookie di profilazione.
Seppur in maniera non proprio evidente, a scriverlo è Google stessa: “questi
strumenti non sono progettati per garantire da soli il rispetto delle
norme, e devono essere utilizzati esclusivamente come parte integrante
di una soluzione ampia“.
In altre parole, spetta
sempre allo sviluppatore dell’applicazione web che propone i contenuti
agli utenti stabilire se, ad esempio, esporre i banner di AdSense (o di
qualunque altro circuito adv) o meno, sulla base del consenso (accordato
o negato).
Il codice JavaScript scaricabile su ChookieChoices, quindi, non è di per sé una soluzione.
Chi
utilizza piattaforme CMS distribuite come software libero può comunque
già trovare alcuni plugin utilizzabili per affrontare il problema. Basta
cercare sul motore di ricerca di Google, ad esempio, cookie opt-in seguito dal nome del CMS (i.e. WordPress o Joomla) per trovare qualche buon prodotto.
Cookie opt-in
Il Garante Privacy italiano si è orientato su un approccio opt-in: i visitatori di un sito web, infatti, debbono accettare la ricezione degli eventuali cookie di profilazione prima che questi vengano creati sui loro sistemi.
Su
alcuni siti web (ci riferiamo ad esempio a quelli della maggior parte
delle case automobilistiche) campeggiano già degli avvisi attraverso i
quali l’utente viene informato sui cookie utilizzati. In molti casi,
tuttavia, tali messaggi non sono sufficienti e non rispettano la
nuova normativa perché, nel frattempo, alcuni cookie di profilazione
vengono comunque creati.
È facile accorgersene utilizzando
Firefox più Firebug oppure il modulo di Chrome che consente di
ispezionare la struttura e l’attività di qualsivoglia pagina web.
Non
sono sufficienti neppure quei plugin per WordPress, Joomla e per gli
altri CMS che permettono semplicemente di gestire l’opt-out (ossia
negare l’utilizzo dei cookie in tempi successivi alla loro creazione).
C’è ancora tempo per mettersi in regola
A
parte lo strano silenzio che aleggia attorno alla questione cookies,
fortunatamente c’è ancora molto tempo per mettersi in regola. Il Garante
ha infatti concesso agli edtori (intesi sia come soggetti privati che
imprese) dodici mesi di tempo dalla pubblicazione della normativa in
Gazzetta Ufficiale (quindi almeno fino a fine maggio 2015).
A questo indirizzo è possibile paragonare quanto previsto nel nostro Paese con la legislazione europea.
In
ogni caso, il rischio legato alla visualizzazione di messaggi d’allerta
sull’utilizzo dei cookie potrebbe essere quello di intimorire l’utenza,
che potrebbe essere indotta ad abbandonare il sito, e –
contemporaneamente – portare ad un’ulteriore riduzione degli introiti
per la maggioranza di quegli editori web che, sino ad oggi, hanno
utilizzato la pubblicità per sovvenzionare le proprie testate ed offrire
contenuti gratuiti ai lettori.
Se la normativa non dovesse subire
modifiche entro metà del prossimo anno, la platea degli interessati dal
nuovo provvedimento sarà vastissima. Anche perché il provvedimento del
Garante parla già di sanzioni: da 10.000 a 120.000 euro per coloro che –
pur utilizzando cookie di profilazione – non avranno conseguito il
consenso degli utenti (vedere questa pagina).
A
qeusto punto, sarebbe auspicabile anche un intervento delle figure che
forniscono servizi ai “publisher” (si pensi ad AdSense, Analytics,
YouTube,…). L’attivazione di meccanismi che consentano di disporre il
blocco dei cookie di profilazione sugli IP client italiani (pur non
disabilitando completamente il servizio) aiuterebbe molto i gestori di
siti web, soprattutto quelli che non dispongono delle risorse economiche
per gestire adeguatamente la questione.
