EU-Cookie-LawIeri mattina presso la sede milanese di Netcomm si è svolto un incontro che ha avuto come obbiettivo l’aggiornamento dello stato di avanzamento di un tavolo di lavoro presso il Garante per la protezione dei dati personali  al quale Netcomm è stata invitata a partecipare  in tema di “informativa semplificata e prestazione del consenso online per l’utilizzo di cookies”.

A quanto pare tutta la questione sta subendo una forte accelerazione a causa delle notizie su tutti i giornali di questi giorni (spionaggio, NSA, ecc.) che porterà il Garante ad implementare entro qualche mese la direttiva comunitaria.

In pratica

Riassumendo per sommi capi si dovrà dare conoscenza all’utente che capita sul sito e prima di inviargli qualunque tipo di cookie che il sito salverà sulla sua device alcune parti di informazioni e dovrà specificarne gli scopi.

A differenza di come in prima battuta è stata  adottato la normativa dall’Inghilterra, dove qualunque cookie era considerato come un’intrusione e si obbligava a darne notifica in maniera “forte” all’utente, sono stati identificati una serie di cookie considerati “buoni”:

  • Technical Cookie (quelli dovuti al motore, al linguaggio o i semplici “session cookies”)
  • Cookie utilizzati per una migliore navigazione sul sito (login automatico, salvataggio impostazioni della lingua, ecc.)
  • Performance Cookie (ad esempio Google Analytics). Tutti gli altri “biscottini” utilizzati per profilare l’utente specie se di terze parti devono essere approfonditamente notificati all’utente.

Come notificare?

Come scritto dianzi la notifica deve essere chiara e sufficientemente invasiva da garantire un atto formale di accettazione da parte dell’utente e deve essere accettata prima di inviare qualunque tipo di cookie all’utente stesso (parliamo ovviamente di cookie di profilazione e/o di terze parti).
È prevista una informativa breve di avviso ed un rimando ad una informativa estesa che conterrà l’elenco di tutti i cookie utilizzati, una descrizione del loro scopo ed utilizzo ed i link di approfondimento verso i diversi fornitori; non ultima la scelta dell’utente di disabilitare i sistemi di profilazione tramite cookie non desiderati.

Per Google Analytics è previsto un avviso all’utente e le informazioni per poterlo disabilitare.

Tutte queste preferenze dovranno essere salvate in un cookie (questo è un po’ buffo) che verrà salvato sulla device utilizzata in quel momento dall’utente.
Inoltre l’utente deve dare manifesta accettazione ed il consenso deve essere “verificabile”.

Non è ancora chiaro, ma è tra le richieste fatte all’Autorità, se sarà possibile una sorta di “accetto i cookie qualunque essi siano” già nella parte di informativa breve, ma è una delle richieste che verranno fortemente portate avanti.

Non è possibile “affogare” tutte queste informazioni relative all’utilizzo dei cookie all’interno del classico link alle norme di privacy contenute nel footer, ma il testo relativo a questa normativa deve essere chiaro e facilmente identificabile dall’utente.

Effettiva validità del sistema e considerazioni varie

A parte l’evidente problema relativo all’usabilità dei siti (a partire da una certa data, tutti i siti che visiteremo cominceranno a chiederci autorizzazioni esplicite all’utilizzo dei cookie), ed agli eventuali problemi di abbandono delle visita alla vista di una richiesta di autorizzazioni per una cosa che l’utente non conosce il sistema ha poco senso proprio nella direzione per il quale è stato pensato: garantire la privacy degli utilizzatori di un sito e renderli edotti che stanno per essere in qualche modo profilati.
Riassumo brevemente qualche motivazione:

  1. È legato all’accoppiata device/browser dell’utente
    Se si cambia browser o device (passo dal pc allo smartphone) tutta la richiesta di autorizzazione deve essere rifatta.
    Lo stesso se si cancellano i cookie o si installa un nuovo browser.
    In quest’ottica tutta l’operazione diventa solo macchinosa e rischia di inimicare l’utente verso il sito (“ma come? te l’ho già data l’autorizzazione!”) e/o di abituare l’utente a cliccare “OK” ad ogni richiesta di autorizzazione senza leggere le implicazioni (che è invece lo scopo della normativa)
  2. Le regole saranno virtualmente diverse per ogni paese europeo (per non parlare del resto del mondo)
    Se il mio sito vende in più nazioni EU potrei trovarmi delle regole attuative della normativa differenti. Come è possibile per un sito multilingua capire in maniera inattaccabile la nazionalità dell’utente? (Esempio: un utente sceglie il tedesco come lingua gradita sul sito. Devo usare le regolamentazione della Germania? E se l’utente è svizzero? O se è un tedesco in Italia?)
  3. Non dà nessuna garanzia all’utente, ma, nella mia umile opinione, genera ulteriore diffidenza nell’e-commerce
    Sappiamo già che l’utenza internet non legge, o legge poco. Si pone l’attenzione su un problema che sì, risponde all’esigenza di “non voglio essere profilato da tizio e caio”, ma che nel modo in cui è affrontato genera solo confusione.
    Una soluzione al limite poteva essere un sito terzo (come è stato proposto con www.youronlinechoices.eu) dove l’utente segnala una volta per tutte quali cookie e quali sistemi di terze parte non vuole che vengano utilizzati durante la sua navigazione anonima; soluzione forse poco viabile nel senso della diffusione del sito stesso verso l’utenza, ma che non generava il chaos normativo al quale stiamo assistendo e soprattutto le difficoltà di adeguamento da parte dei diversi siti.
  4. Perché non far fare tutto ai browser?
    Un’ottima soluzione, ma mi rendo conto che ha difficoltà ben maggiori di essere realizzata, è costringere i creatori dei vari browser ad adeguarsi alle norme europee sulla privacy dedicando ad una sezione ben più nutrita di “privacy e sicurezza” una gestione dei diversi cookie anche di terze parte e la notifica e la richiesta di autorizzazione direttamente all’utente.

I tempi parrebbero brevi, anche se è seria intenzione di chiedere al Garante un giusto tempo di adeguamento dei siti alla normativa una volta che ne sarà diffusa la data di introduzione e le diverse norme attuative.