Note riassuntive
sulle norme che regolano
l'uso dei cookies di profilazione
documento 3118884 dell'8 maggio 2014
Direttiva Comunitaria 2009/136/CE
D.: Ma di cosa si tratta, giusto per capire?
R.: Dell'adeguamento ad una direttiva comunitaria la cui intenzione sarebbe stata quella di dare strumenti - all'utente "navigatore" medio del web - per essere cosciente di come le sue scelte ed i suoi interessi vengano memorizzati dai gestori di siti con diverse finalita', fra cui anche quella di generare e proporre pubblicita' mirate agli interessi personali.
La faccenda e' che il meccanismo pensato dalla norma per "informare" il pubblico sarebbe quello di far inserire:
a) avvertimento, b) consenso e c) informativa a ciascun singolo sito che utilizzi cookies che memorizzano dati considerati "di profilo", cioe' descrittivi di gusti e interessi personali.
Come sai bene anche tu per esperienza di navigazione (...il bannerino che ti informa che si usano cookies) in questo modo l'informativa si e' trasformata in una sostanziale rottura di palle, per molti semplicemente da bypassare; nella stragrande maggioranza dei casi, si e' portati a fare un click acefalo in piu', perche' praticamente nessuno (a parte gli ipercritici per natura) ha tempo e voglia di soffermarsi a leggere informative - tendenzialmente clone l'una dell'altra - per ogni singolo sito che fa uso di cookies: cosa che - complice la "socializzazione" del web - avviene quasi sempre.
D.: E' una legge dello Stato, questa "cookie law"?
R.: E' una norma realmente esistente ma, per essere precisi, non e' una "legge sui cookies"; si tratta di un documento che adegua il nostro Testo unico in materia di protezione dei Dati Personali, adattandolo alle raccomandazioni di una direttiva CEE del 2009.
In sostanza: si tratta di un documento del Garante della Privacy
(questo: https://app.box.com/s/r1k1gyymq4dfhs9ykxifzgkqkqjrdly7 )
in rispetto di un molto ragionevole punto 66 della Direttiva Comunitaria 2009/136/CE
(questa: https://app.box.com/s/6zqyh30eovlme5spu7knwn3t5592xosp )
D.: Va be': Legge, Documento... in pratica, cosa sta scritto, in questa cosa?
R.: Il documento 3118884 dell'8 maggio 2014 spiega le dinamiche con cui i siti web utilizzano i cookies (cioe' brevi quantita' di dati registrati sul computer durante la navigazione).
Il documento distingue fra:
a) cookies "tecnici" (che servono cioe' semplicemente a permettere il funzionamento del sito, come ad esempio le preferenze di navigazione, la sessione, l'accesso ad una zona riservata agli utenti, di statistica, ed in genere i cookies necessari semplicemente a rendere possibili le funzionalita' del sito); questi cookies NON sono soggetti ad alcuna formalita'.
b) cookies "di profilazione" (cioe' che generano un "profilo" dell'utente); si tratta della raccolta di dati di preferenze e scelte di navigazione, che permettono di automatizzare l'offerta di pubblicita' mirata ai gusti ed agli interessi di chi sta navigando. Se si usano cookies di questo genere occorre fare in modo che chi naviga sia informato, e sia d'accordo.
Bene.
Il documento di cui ci stiamo occupando (quello che e' stato definito "cookie law") in sostanza spiega che e' obbligatorio informare l'utente del sito del fatto che vengano - eventualmente - usati cookies di "profilazione".
D.: E' allora? che mi importa? Io non ho nessuna intenzione di "profilare" i miei utenti.
R.: Vero. In effetti, solo alcuni siti utilizzano proattivamente cookies "di profilazione", mentre tutti i "cookies tecnici" non richiedono consenso.
ATTENZIONE, pero': il pasticciaccio brutto sta nei cookies generati da plug-in di altri (cosiddetti di terza parte) che possono avere funzionalita' profilanti.
Ed a questo punto la norma diventa un delirio, perche' cookies di questo genere sono prodotti da moltissimi plug-in o servizi molto diffusi, come - giusto per fare qualche esempio: Google analytics, Adsense, Google plus, i widgets di Facebook (per capirci, anche solo il tasto "mi piace"), i widget di Twitter (anche il bottone "follow"), Youtube, Vimeo, il sistema Disqus per i commenti, e qualsiasi altro fra le migliaia di servizi che ricorrono a cookies con la facolta' di memorizzare informazioni sulle preferenze dell'utente.
Come a dire: dall'applicazione alla lettera della norma, non solo i siti davvero "traccianti" nelle intenzioni, ma anche ogni riutilizzatore dei servizi descritti sopra dovrebbe adeguarsi.
L'intento e' piu' che lodevole (rendere piu' consapevoli gli utenti rispetto a come venga sfruttata anche commercialmente la navigazione), ma l'attuazione e' inadeguata. Anziche' ipotizzare di dotare ogni singolo sito di un'informativa che nessuno legge, delle buone e capillari campagne di informazione e consapevolezza sul funzionamento tecnico e concettuale della profilazione produrrebbero quel po' di coscienza in piu' che occorre. Per non parlare della formazione consapevole dei "nativi digitali".
Ma tant'e'. La norma esiste.
D.: Quindi? Cosa devo fare se uso cookies "di profilazione" fatti da terze parti?
R.: Ecco, questo complica un po' la faccenda.
Anzi: poiche' la complica moltissimo, c'e' di buono che sarai in eccellente compagnia...
Come puoi leggere nel documento del Garante, come "editore" di contenuti non sei direttamente responsabile del funzionamento tecnici dei cookies di profilazione di terze parti, ma lo sei indirettamente sul piano informativo, nel senso che devi informare che tali cookies di profilazione di terze parti vengono usati (cioe', se li usi, devi farlo sapere al tuo visitatore, informandolo) e che possono essere disattivati.
In questa fase di (necessario) chiarimento su questo aspetto, se il tuo sito NON usa cookies profilanti "tuoi", ma utilizza plug in di Google o Facebook (o simili) potresti temporaneamente indicare dal tuo sito una mini-informativa cookies nella quale spieghi questo:
"In questo sito non si utilizzano cookies di profilazione da noi gestiti direttamente; se lo desideri, puoi tuttavia gestire ed eventualmente bloccare i consueti strumenti di censimento delle preferenze (come ad esempio per collegamenti a Google e Facebook, che tengono nota delle tue preferenze per proporre pubblicita' mirara) da questa pagina:
http://www.youronlinechoices.com/it/le-tue-scelte
che consente di analizzare la presenza in generale di cookie sul tuo computer, di leggere la policy dei gestori esterni e, se lo desideri, di disattivarli".
Questo disclaimer NON adempie alla lettera della norma, che richiede altro; ma rappresenta un'azione concreta, informante e con strumenti bloccanti.
D.: Esiste un qualche strumento "preconfezionato" per la gestione dell'informativa sui cookies?
R.: Uno dei padri della profilazione e' Google. E allora, puoi farti dare una mano proprio da loro, con delle loro soluzioni "preconfezionate":
https://www.cookiechoices.org/
Se utilizzi servizi open-source puoi ricorrere alle apposite soluzioni.
Ad esempio, per Wordpress: https://wordpress.org/plugins/cookie-law-info/
Se vuoi soluzioni a pagamento piu' performanti, si puo' menzionare il servizio (parte da 4 euro al mese) di Cookiebot, oggettivamente completo e ben strutturato: https://www.cookiebot.com/it/start
Oppure, l'estensione di Iubenda:
https://www.iubenda.com/it/cookie-law-e-soluzioni-iubenda
che, come implementazione di un piano per la gestione della privacy, permette una gestione semplificata della questione.
D.: Ma si tratta di una legge italiana? E' il nostro Governo ad avere incasinato tutto?
R.: No, per una volta, si tratta di un papocchio non di matrice italiana, ma europea. L'intento - come si ripete - e' piu' che nobile, ma lo strumento e' "vecchio" di concezione, e poco praticabile su una Rete sviluppata con le modalita' che le sono proprie.
Gustosa - per chiudere con un sorriso - la risposta di protesta di questo sito inglese: http://nocookielaw.com/ in risposta all'ICO (Information Commissioner's Office).
Esordiscono con il titolo "Caro ICO, facci causa".
E rincarano: The idea of this law is a noble one, it's just a shame it was drafted by a team of technically illiterate octogenarians who couldn't find a button on a mouse (L'idea di questa legge e' nobile, solo che e' una vergogna che sia stata scritta da un team di ottantenni tecnicamente analfabeti, non in grado di trovare il pulsante di un mouse).