I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte di [Nome]. Clicca qui per ulteriori informazioni
Da ormai diversi mesi, il primo elemento ad apparire in cima alle pagine web è questo piccolo disclaimer. Ci avverte del fatto che il sito utilizza i Cookie immagazzinati all'interno del nostro browser, una procedura che, a partire dal prossimo 2 giugno, dovrà sottostare a regole più rigide. È il provvedimento per “l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (numero 229/2014), anche detto "Cookie Law", che proprio dalla prossima settimana entrerà in vigore in maniera definitiva. O meglio, il 2 giugno rappresenta il termine massimo consentito dal Garante Privacy ai gestori dei siti per adeguarsi alla direttiva. Una normativa europea alla quale l'Italia si avvicina con notevole ritardo, considerando che la legge originale risale al 2011. Il problema però è che, nonostante gli avvisi relativi ai Cookie siano stati messi in bella mostra sulla maggior parte dei siti principali, molti italiani non comprendono ancora quale sia lo scopo di questo strumento e cosa comporta la scelta che dovranno effettuare a partire dal prossimo 2 giugno.
Cosa sono i Cookie
I Cookie sono dei piccoli file di testo che vengono archiviati dal sito web all'interno del nostro browser, per poi essere recuperati dal portale alle successive connessioni. All'interno di questi file possono essere presenti diverse informazioni, dalle credenziali d'accesso alle preferenze legate alla navigazione, ma anche dati relativi all'analytics, ai "movimenti" degli utenti all'interno del sito e, soprattutto, alla profilazione.
A seconda del loro utilizzo, i Cookie si dividono in tre categorie diverse: Cookie tecnici, Cookie non tecnici (o di profilazione) e Cookie di terze parti. I primi si occupano di rilevare informazioni come preferenze, dati d'accesso e azioni dell'utente, mentre i secondi effettuano una vera e propria profilazione dei navigatori, permettendo a chi produce pubblicità online di selezionare il pubblico delle proprie campagne – per lo più attraverso i banner, ma anche all'interno dei video – in maniera estremamente precisa. È grazie a loro che, magari dopo aver ricercato un oggetto su Google o visualizzato un prodotto su Amazon, le pubblicità ad esso legate cominciano ad apparire in molti siti web visitati. I Cookie di terze parti, infine, possiedono le stesse caratteristiche dei precedenti ma vengono gestiti e installati non dal server del sito sul quale ci troviamo ma da una terza parte, appunto, che ne gestisce ogni aspetto e ne è responsabile, anche a livello giuridico.
Cosa dice il provvedimento
Ora che abbiamo inquadrato il compito dei Cookie, è possibile comprendere meglio cosa implica il provvedimento al quale tutti i portali devono adeguarsi entro il 2 giugno. Innanzitutto una precisazione doverosa che riprenderemo nel paragrafo successivo: la direttiva nasce perché il Garante non vede di buon occhio i Cookie di profilazione. Da qui nasce l'obbligo di richiedere agli utenti il consenso ad utilizzarli; se il navigatore rifiuta, il sito – e in particolare chi crea campagne pubblicitarie – perde una risorsa importante. Ma questo vale solo in alcuni casi. Per i Cookie tecnici, il Garante Privacy impone solo di mostrare l'informativa, senza richiedere un consenso esplicito per il loro utilizzo. Discorso diverso per i Cookie non tecnici, cioè di proliferazione: in questo caso il gestore dei siti web deve fornire sia un'informativa completa che un pulsante per ottenere il consenso esplicito di ogni utente.
Tutto ciò, però, va ad interessare il gestore del sito solamente nel caso in cui i Cookie vengano installati direttamente da lui; i Cookie di terze parti sono responsabilità delle terze parti stesse, di conseguenza gli obblighi di legge non riguardano chi amministra i vari siti. Entro il 2 giugno, quindi, in cima ad ogni sito dovrà apparire un banner chiaramente visibile e discontinuo dal design del portale che riporti l'informativa in forma breve – indicando l'utilizzo di Cookie tecnici o di profilazione e richiedendo un'azione attiva da parte dell'utente per la sua chiusura – e un link verso l'informativa completa, dove devono essere indicati tutti i dettagli riguardanti l'utilizzo dei Cookie da parte del sito ed eventuali pulsanti per consentire o negare il consenso all'utilizzo. In caso di profilazione, inoltre, gli amministratori dovranno notificare il Garante Privacy. Nel caso in cui l'utente neghi o non dia il consenso, il gestore del sito dovrà bloccare ogni utilizzo dei Cookie attraverso soluzioni tecnologiche da lui approntate.
Le implicazioni
Come accennato poco sopra, il provvedimento punta a limitare quella che viene considerata una pratica invasiva della privacy degli utenti: la profilazione a scopo pubblicitario. Quello che – almeno apparentemente – il Garante non tiene in considerazione è che in questo modo chi gestisce la pubblicità rischia di trovarsi in grave difficoltà, non potendo più creare campagne mirate nei confronti degli utenti. Un'eventualità che, in piccola parte, influisce anche sulla nostra esperienza di navigazione: le pubblicità non sono mai troppo gradite, ma è sempre meglio scontrarsi con prodotti nei quali siamo interessati piuttosto che essere sommersi da pubblicità totalmente fuori target. Peraltro in questo modo si mette in crisi un settore che nel solo 2014 ha generato un giro d'affari da 2 miliardi di euro, con una crescita stimata del 15% per il 2015, quando il fatturato dovrebbe raggiungere i 15 miliardi di euro. Paradossalmente, inoltre, saranno le piccole aziende a rimetterci di più, perché la maggior parte dei fornitori di Cookie di terze parti sono grandi società come Facebook, Google e Twitter, che però solo in minima parte saranno colpite da questa nuova direttiva.
Anzi, probabilmente non lo saranno affatto: proprio le realtà che il Garante voleva colpire hanno già a disposizione molti strumenti di profilazione che non prevedono l'utilizzo dei Cookie, quindi potranno "scavalcare" facilmente eventuali problematiche dovute alla negazione del consenso all'utilizzo dei Cookie da parte degli utenti. Peraltro il provvedimento prevede anche sanzioni piuttosto salate per chi non si adegua: da 6 mila euro fino a 120 mila euro a seconda dei casi. Per omessa informativa da 6.000 a 36.000 euro; per installazione di Cookie senza il preventivo consenso da 10.000 a 120.000 euro; per omessa notificazione al Garante da 20.000 a 120.000 euro. Multe sostanziose che gravano sulle piccole imprese, alle quali viene chiesto di adottare sistemi tecnici che spesso vanno al di là delle loro reali capacità e competenze: la necessità di inibire i Cookie prima del consenso comporta l'installazione di infrastrutture complesse. Per chi deve ancora adeguarsi e utilizza piattaforme come WordPress, sono presenti diversi plugin in grado di semplificare l'inserimento del banner informativo, mentre chi si basa su sistemi più complessi può consultare la pagina dedicata di Google.