La questione dei cookie s’inserisce nel dibattito sulla tracciabilità dei dati online: strumenti utili o violazioni della privacy? Vero che gli utenti dispongono già di mezzi per cautelarsi, ma la direttiva europea sull’argomento va rivista. E accompagnata da una maggiore “educazione digitale”.
SITUAZIONE COMPLESSIVA
Non vorrei essere nei panni del Garante (della privacy).
Sulla questione dei “cookie”, o meglio della necessità di ottenere un consenso dagli utenti che navigano su un sito, i garanti europei stanno cercando di gestire una situazione difficile, costretti ad affrontare un pasticcio causato da una normativa europea a mio avviso sbagliata: la direttiva 2009/136/Ce che ha modificato la 2002/58/Ce
Presto, prima di entrare su un sito, saremo infatti obbligati a rispondere, a una domanda sull’accettazione dei cookie, discriminando tra cookie tecnici e cookie di profilazione.
Nel frattempo, si discute sui dettagli di come potrà essere fatta la finestrella di autorizzazione (a banner, a finestra, con click, con onmouseover) e, quasi rassegnati, non si discute del fatto che la direzione generale intrapresa abbia o non abbia senso.
Qualunque decisione venga presa genererà ingenti costi per le aziende che dovranno implementare nuove soluzioni sui siti, ma anche per gli utenti, che perderanno un sacco di tempo, senza che venga in alcun modo migliorata la privacy di chi naviga.
Per capire di cosa si parla, perché a breve ciascuno di noi sarà obbligato a rispondere, decine di volte al giorno, a una domanda di cui probabilmente ignora il vero significato, si può leggere l’allegato “cosa sono i cookie”.
COSA POSSONO GIÀ FARE GLI UTENTI IN TEMA DI PROTEZIONE DELLA PROPRIA PRIVACY?
Se invece vogliamo parlare delle tematiche di protezione del proprio profilo informativo dagli usi e abusi che ne possono derivare attraverso i cookie, dobbiamo chiederci: gli utenti che navigano sono protetti? E se no, possono proteggersi? Lo possono fare in maniera selettiva (ovvero accettare il riconoscimento e la profilazione da parte di qualcuno e non di qualcun altro)? Lo possono fare a costo zero?
La risposta è sì, da tanti anni in maniera gratuita e semplice con le funzionalità di base dei browser si possono impostare delle policy per:
– accettare sempre tutti i cookie first e third party
– non accettare mai nulla (né first né third)
– accettare in maniera selettiva (alcuni sì, altri no)
– accettare tutti i cookie, ma cancellarli alla fine della sessione di navigazione.
In breve, tutti gli utenti nel mondo possono già proteggersi molto bene e molti browser già escono con impostazioni di default che non accettano i cookie terze parti.
DOVE INTERVENIRE QUINDI?
La situazione si può riassumere così:
– da una parte ci sono milioni di siti internet sparsi per il mondo;
– dall’altra parte ci sono milioni di utenti che parlano lingue diverse, che abitano in posti diversi, eccetera;
– in mezzo, pochi browser (i primi quattro fanno il 98,4 per cento del mercato) che interconnettono gli utenti ai siti. (1)
Volendo intervenire per rafforzare la protezione dei consumatori sarebbe quindi logico farlo nel punto di centralizzazione, ovvero su quei quattro browser, magari “obbligandoli” a richiedere la configurazione delle specifiche privacy come passo obbligatorio per l’uso del browser, oppure facendo mettere delle impostazioni di default più restrittive.
Non potendo intervenire sui browser, i garanti si sono autocostretti a legiferare, obbligando milioni di siti a forme di raccolta del consenso (con formule che potrebbero avere mille forme diverse), che appesantiranno solo l’esperienza di navigazione generando costi e perdita di tempo negli utenti senza che tutto questo porti alcun vantaggio in termini di reale protezione della privacy dei cittadini/utenti.
IMPLICAZIONI PER L’UTENTE FINALE
Perché non ci sono vantaggi per l’utente con la direzione intrapresa?
Tipicamente gli utenti sono disponibili a farsi tracciare da tutti, o da nessuno o solo dai siti con i quali hanno un rapporto diretto e non vogliono profilazioni pubblicitarie fatte da terze parti.
Attualmente questi bisogni si risolvono con impostazioni generiche e molto semplici sui browser. Domani: ogni volta che si visiterà un sito verrà richiesto se accettare o meno i cookie. Con un costo per l’utente enorme, non potendo dare “di default” delle preferenze di base.
Ipotizziamo che per ogni richiesta si debba perdere solo un minuto (tra caricamento, lettura informativa sintetica, click). Con una media di dieci richieste al giorno, fanno dieci minuti. Ogni settimana avremmo perso un’ora di tempo.
Ogni due mesi avremmo perso un giorno lavorativo solo per accettare della autorizzazioni al trattamento dei dati, spesso sempre le stesse.
Possiamo perdere l’equivalente di sei giorni lavorativi all’anno per dare autorizzazioni al consenso navigando, quando possiamo già farlo oggi in due minuti?
E quando ci saremo abituati meccanicamente a dire sempre no – no – no – no – no alla domanda “accetti i cookie per la profilazione” arriverà qualcuno che chiederà “confermi di non volere i cookie per la profilazione?”, risponderemo per abitudine il solito no e lo avremo autorizzato a tracciarci..
IMPLICAZIONI PER I GESTORI DEI SITI
Tutti i siti, anche quelli stranieri, per essere legalmente a posto in Italia, dovrebbero introdurre questa modifica della richiesta consenso, e lo dovrebbero fare per ogni paese dell’Unione Europea, magari in modo diverso per ciascun paese. In Europa siamo riusciti ad avere la moneta unica, ma potremmo trovarci nella situazione di avere garanti che non sono neanche d’accordo tra di loro sull’applicazione nazionale di questa norma.
Un costo e una complessità enorme.
C’è da pensare anche alle ricadute di tutte le problematiche legali di gestione di eventuali contenziosi, magari verso un piccolo sito esterno che ha dei cookie di advertising.
Tutti i siti che hanno forme di monetizzazione legate agli introiti pubblicitari potrebbero dover rinunciare alla monetizzazione per paura di contenzioso sui cookie di profilazione pubblicitaria; o comunque vedrebbero le entrate diminuire drasticamente.
PER CONCLUDERE, UNA RIFLESSIONE E QUALCHE PROPOSTA
Il pesce puzza dalla testa, in questo caso dall’Europa. La questione nasce da una ‘direttiva cookies’ troppo generica, perché non si riusciva a trovare un consenso sufficiente, e che lascia la patata bollente dell’implementazione agli Stati membri. Il problema è palesemente pan-europeo e occorre quindi fermare le discussioni sull’attuazione nazionale e ritornare a Bruxelles per un coordinamento.
Credo che si debba quindi:
1) rivedere la norma a livello europeo, in maniera tale che i garanti nazionali non debbano prendere adesso una posizione, rimandando ogni tipo di scelta agli strumenti già presenti sul browser e riservando ai siti solo l’obbligo di esporre una semplice e comprensibile informativa;
2) promuovere una attività di educazione su come usare gli strumenti estremamente efficaci già esistenti (questa semplice attività migliorerebbe la protezione privacy più della necessità di rispondere a mille domande di cui talvolta non si capisce neanche il contenuto);
3) cercare di convincere i produttori di piattaforme (pochi nomi che possono essere facilmente messi intorno a un tavolo) a dare maggiore evidenza alla scelta delle impostazione dei cookie.
Se invece si rimane dell’orientamento di dover intervenire sui siti, si potrebbe pensare a una area di non applicazione (o a un regime semplificato), anche in base alla “vita” dei cookie e al loro uso, piuttosto che pensare a una esclusione dell’applicabilità della norma per i soli cookie “tecnici”.
Decretare la non applicabilità della legge se i cookie (qualunque essi siano) hanno un setting di vita inferiore ai trenta giorni e se non permettono profilazioni nominative (ma solo totalmente anonime) potrebbe già semplificare la vita.
Una sorta di “Cookie Comfort Zone” che spingerebbe tutti gli operatori ad adottare solo cookie di breve durata (per non incorrere nell’obbligo di richiesta di opt-in) e che spingerebbe verso un sistema a tracciamento “ridotto” a tutela dell’utilizzatore finale.
Per difendere realmente principi importanti come la privacy serve appoggiarsi a normative uniformi anche nell’applicazione in tutti i paesi europei e avere apparati legislativi solidi, ma realmente praticabili.
LINK INTERESSANTI e ALLEGATI
Non vengono pubblicati i commenti che contengono volgarità, termini offensivi, espressioni diffamatorie, espressioni razziste, sessiste, omofobiche o violente. Non vengono pubblicati gli indirizzi web inseriti a scopo promozionale. Invitiamo inoltre i lettori a firmare i propri commenti con nome e cognome.
14 Commenti