La questione dei cookie s’inserisce nel dibattito sulla tracciabilità dei dati online: strumenti utili o violazioni della privacy? Vero che gli utenti dispongono già di mezzi per cautelarsi, ma la direttiva europea sull’argomento va rivista. E accompagnata da una maggiore “educazione digitale”.
SITUAZIONE COMPLESSIVA
Non vorrei essere nei panni del Garante (della privacy).
Sulla questione dei “cookie”, o meglio della necessità di ottenere un consenso dagli utenti che navigano su un sito, i garanti europei stanno cercando di gestire una situazione difficile, costretti ad affrontare un pasticcio causato da una normativa europea a mio avviso sbagliata: la direttiva 2009/136/Ce che ha modificato la 2002/58/Ce
Presto, prima di entrare su un sito, saremo infatti obbligati a rispondere, a una domanda sull’accettazione dei cookie, discriminando tra cookie tecnici e cookie di profilazione.
Nel frattempo, si discute sui dettagli di come potrà essere fatta la finestrella di autorizzazione (a banner, a finestra, con click, con onmouseover) e, quasi rassegnati, non si discute del fatto che la direzione generale intrapresa abbia o non abbia senso.
Qualunque decisione venga presa genererà ingenti costi per le aziende che dovranno implementare nuove soluzioni sui siti, ma anche per gli utenti, che perderanno un sacco di tempo, senza che venga in alcun modo migliorata la privacy di chi naviga.
Per capire di cosa si parla, perché a breve ciascuno di noi sarà obbligato a rispondere, decine di volte al giorno, a una domanda di cui probabilmente ignora il vero significato, si può leggere l’allegato “cosa sono i cookie”.
COSA POSSONO GIÀ FARE GLI UTENTI IN TEMA DI PROTEZIONE DELLA PROPRIA PRIVACY?
Se invece vogliamo parlare delle tematiche di protezione del proprio profilo informativo dagli usi e abusi che ne possono derivare attraverso i cookie, dobbiamo chiederci: gli utenti che navigano sono protetti? E se no, possono proteggersi? Lo possono fare in maniera selettiva (ovvero accettare il riconoscimento e la profilazione da parte di qualcuno e non di qualcun altro)? Lo possono fare a costo zero?
La risposta è sì, da tanti anni in maniera gratuita e semplice con le funzionalità di base dei browser si possono impostare delle policy per:
– accettare sempre tutti i cookie first e third party
– non accettare mai nulla (né first né third)
– accettare in maniera selettiva (alcuni sì, altri no)
– accettare tutti i cookie, ma cancellarli alla fine della sessione di navigazione.
In breve, tutti gli utenti nel mondo possono già proteggersi molto bene e molti browser già escono con impostazioni di default che non accettano i cookie terze parti.
DOVE INTERVENIRE QUINDI?
La situazione si può riassumere così:
– da una parte ci sono milioni di siti internet sparsi per il mondo;
– dall’altra parte ci sono milioni di utenti che parlano lingue diverse, che abitano in posti diversi, eccetera;
– in mezzo, pochi browser (i primi quattro fanno il 98,4 per cento del mercato) che interconnettono gli utenti ai siti. (1)
Volendo intervenire per rafforzare la protezione dei consumatori sarebbe quindi logico farlo nel punto di centralizzazione, ovvero su quei quattro browser, magari “obbligandoli” a richiedere la configurazione delle specifiche privacy come passo obbligatorio per l’uso del browser, oppure facendo mettere delle impostazioni di default più restrittive.
Non potendo intervenire sui browser, i garanti si sono autocostretti a legiferare, obbligando milioni di siti a forme di raccolta del consenso (con formule che potrebbero avere mille forme diverse), che appesantiranno solo l’esperienza di navigazione generando costi e perdita di tempo negli utenti senza che tutto questo porti alcun vantaggio in termini di reale protezione della privacy dei cittadini/utenti.
IMPLICAZIONI PER L’UTENTE FINALE
Perché non ci sono vantaggi per l’utente con la direzione intrapresa?
Tipicamente gli utenti sono disponibili a farsi tracciare da tutti, o da nessuno o solo dai siti con i quali hanno un rapporto diretto e non vogliono profilazioni pubblicitarie fatte da terze parti.
Attualmente questi bisogni si risolvono con impostazioni generiche e molto semplici sui browser. Domani: ogni volta che si visiterà un sito verrà richiesto se accettare o meno i cookie. Con un costo per l’utente enorme, non potendo dare “di default” delle preferenze di base.
Ipotizziamo che per ogni richiesta si debba perdere solo un minuto (tra caricamento, lettura informativa sintetica, click). Con una media di dieci richieste al giorno, fanno dieci minuti. Ogni settimana avremmo perso un’ora di tempo.
Ogni due mesi avremmo perso un giorno lavorativo solo per accettare della autorizzazioni al trattamento dei dati, spesso sempre le stesse.
Possiamo perdere l’equivalente di sei giorni lavorativi all’anno per dare autorizzazioni al consenso navigando, quando possiamo già farlo oggi in due minuti?
E quando ci saremo abituati meccanicamente a dire sempre no – no – no – no – no alla domanda “accetti i cookie per la profilazione” arriverà qualcuno che chiederà “confermi di non volere i cookie per la profilazione?”, risponderemo per abitudine il solito no e lo avremo autorizzato a tracciarci..
IMPLICAZIONI PER I GESTORI DEI SITI
Tutti i siti, anche quelli stranieri, per essere legalmente a posto in Italia, dovrebbero introdurre questa modifica della richiesta consenso, e lo dovrebbero fare per ogni paese dell’Unione Europea, magari in modo diverso per ciascun paese. In Europa siamo riusciti ad avere la moneta unica, ma potremmo trovarci nella situazione di avere garanti che non sono neanche d’accordo tra di loro sull’applicazione nazionale di questa norma.
Un costo e una complessità enorme.
C’è da pensare anche alle ricadute di tutte le problematiche legali di gestione di eventuali contenziosi, magari verso un piccolo sito esterno che ha dei cookie di advertising.
Tutti i siti che hanno forme di monetizzazione legate agli introiti pubblicitari potrebbero dover rinunciare alla monetizzazione per paura di contenzioso sui cookie di profilazione pubblicitaria; o comunque vedrebbero le entrate diminuire drasticamente.
PER CONCLUDERE, UNA RIFLESSIONE E QUALCHE PROPOSTA
Il pesce puzza dalla testa, in questo caso dall’Europa. La questione nasce da una ‘direttiva cookies’ troppo generica, perché non si riusciva a trovare un consenso sufficiente, e che lascia la patata bollente dell’implementazione agli Stati membri. Il problema è palesemente pan-europeo e occorre quindi fermare le discussioni sull’attuazione nazionale e ritornare a Bruxelles per un coordinamento.
Credo che si debba quindi:
1) rivedere la norma a livello europeo, in maniera tale che i garanti nazionali non debbano prendere adesso una posizione, rimandando ogni tipo di scelta agli strumenti già presenti sul browser e riservando ai siti solo l’obbligo di esporre una semplice e comprensibile informativa;
2) promuovere una attività di educazione su come usare gli strumenti estremamente efficaci già esistenti (questa semplice attività migliorerebbe la protezione privacy più della necessità di rispondere a mille domande di cui talvolta non si capisce neanche il contenuto);
3) cercare di convincere i produttori di piattaforme (pochi nomi che possono essere facilmente messi intorno a un tavolo) a dare maggiore evidenza alla scelta delle impostazione dei cookie.
Se invece si rimane dell’orientamento di dover intervenire sui siti, si potrebbe pensare a una area di non applicazione (o a un regime semplificato), anche in base alla “vita” dei cookie e al loro uso, piuttosto che pensare a una esclusione dell’applicabilità della norma per i soli cookie “tecnici”.
Decretare la non applicabilità della legge se i cookie (qualunque essi siano) hanno un setting di vita inferiore ai trenta giorni e se non permettono profilazioni nominative (ma solo totalmente anonime) potrebbe già semplificare la vita.
Una sorta di “Cookie Comfort Zone” che spingerebbe tutti gli operatori ad adottare solo cookie di breve durata (per non incorrere nell’obbligo di richiesta di opt-in) e che spingerebbe verso un sistema a tracciamento “ridotto” a tutela dell’utilizzatore finale.
Per difendere realmente principi importanti come la privacy serve appoggiarsi a normative uniformi anche nell’applicazione in tutti i paesi europei e avere apparati legislativi solidi, ma realmente praticabili.
LINK INTERESSANTI e ALLEGATI
Lavoce è di tutti: sostienila!
Lavoce.info non ospita pubblicità e, a differenza di molti altri siti di informazione, l’accesso ai nostri articoli è completamente gratuito. L’impegno dei redattori è volontario, ma le donazioni sono fondamentali per sostenere i costi del nostro sito. Il tuo contributo rafforzerebbe la nostra indipendenza e ci aiuterebbe a migliorare la nostra offerta di informazione libera, professionale e gratuita. Grazie del tuo aiuto!
Alberto Cattaneo
Contributo davvero interessante! Conosco poco il tema mentre conosco molto bene la strana attitudine dei legislatori a legiferare a tutti i costi. Dovrebbero, invece, imparare a “sospendere” la loro attività quando non sono in grado di trovare un punto di equilibrio di valore. Ma questo non accade mai. Piuttosto poco che nulla. Ma quel poco crea spesso grandi disastri.
Massimo Fubini
Ciao Alberto, non puoi che trovarmi d’accordo ovviamente. Il diavolo sta nei dettagli e ci sono delle situazioni paradossali (in questo ambito) che nell’articolo non ho approfondito per non diventare prolisso.
Mimmo Cosenza
Grazie per tutti i riferimenti e per il quadro sinottico. L’argomento è molto “peloso”. Super-semplificando:
Quando mi muovo nel mondo fisico, l’unico che sa per intero la mia storia sono io stesso (se ho buona memoria), anche se questo non significa conoscere se stessi.
I coockies third party sono come una mosca che ti segue ovunque tu vada e che vede tutto quello che fai, almeno fino a quando lo fai nei confini della “chiusura transitiva” della relazione dei “federati”.
Se poi gli erogatori di coockies third party si scambiassero i dati tra loro (non solo con le acquisizioni societarie, purtroppo), allora quella mosca ti seguirebbe anche oltre i confini virtuali di sopra. Insomma, praticamente veramente ovunque.
Tutte queste informazioni, socio-demografiche o private, hanno valore, molto valore, Così tanto valore che Google è diventata Google e che la Nsa ha fatto una figuraccia galattica.
Sai che farei io? Un bel Drm sui miei dati privati, quelli a partire dai quali un algoritmo potrebbe identificarmi oppure classificarmi socio-demograficamente o fare qualsiasi cosa ti possa venire in mente.
Nel browser ci metterei esattamente quel Drm con tanto di “licenze” default per concedere permessi a terzi e non terzi di usare i miei dati privati (segmentati per circoli, come in Google+) e che corrispondono alle cose che dici tu.
Poi però se la licenza dice che il mio dato privato contenuto in uno dei miei circoli (a cipolla) lo puoi usare una volta sola, magari in cambio di un centesimo di euro, o anche meno, allora è il Drm stesso che si preoccupa di rinforzare tecnicamente questa licenza. Posso persino concederti di rivendere i miei dati a terzi, ma ogni volta che lo fai prendo una fee: voglio le royalties sui miei dati!
E’ una cosa per la quale ci vorrà molto tempo, forse un decennio, forse di più. Forse mai. Questo non lo so. Ma è una cosa che vorrei accadesse.
Per ora hanno messo le Api del Drm nel final draft di w3C del gruppo di lavoro sul media element: per consentire alle major dell’intrattenimento di mettere i contenuti online senza il terrore di essere piratati.
Basta aggiungere a quel final-draft le Api per “creare” le licenze (sui miei dati) e non solo per “subirle” (sui preziosi contenuti della major) e il gioco è fatto.
Ristabilivamo un poco di simmetria, che è sinonimo di bellezza, oltre che di equità.
Un caro saluto e grazie ancora per avermi fatto pensare una volta di più.
Massimo Fubini
Fantastica visione Mimmo. Non so quanto pero’ verrebbe capita questa cosa, non credo che bastino 10 anni per farla digerire, nel frattempo noi blocchiamo i cookie creando problemi e non risolvendo questioni e nello stesso tempo i big del web possono anche leggerci le email (che si’ e’ un po’ più’ intrusivo…) http://www.theguardian.com/technology/2014/mar/21/yahoo-google-and-apple-claim-right-to-read-user-emails
Mimmo Cosenza
Massimo, ti propongo una cosa meno fantastica, ma realizzabile subito. I third party cookies li possono mettere solamente delle terza parti che intermediano i browser e gli adserver e sono pure obbligati ad anonimizzarli. Se non fosse che la sola parola mi fa venire il brivido burocratico, direi che dovrebbero essere pochi, non a scopo di lucro e certificati. A dire la verità io ce l’ho anche bello pronto. Quasi quasi lo metto in OSS 🙂
Massimo Fubini
Ma di fatto siamo in una situazione già’ più’ avanzata. Tu puoi dire al tuo browser di non accettare alcun third party cookie eccetto quelli che decidi tu, e te li decidi proprio tu indipendentemente dal fatto che qualcuno li certifichi o altro. Il problema e’ che: c’e’ poca consapevolezza e soprattutto non si sa realmente chi li gestisce in maniera veramente anonima e chi invece può’ costruire dei profili personali. Questo credo sia la vera discriminante.
Chiara Rossana Agostini
Ciao Massimo,
grazie per avermi coinvolto su questa questione.
La mia personale opinione diverge parzialmente dalla tua, forse anche solo perché sono una giurista, ma questo fa parte delle regole del gioco.
In questi ultimi anni, abbiamo assistito ad una palese inadeguatezza del sistema giuridico e dei mezzi di tutela messi a disposizione dal legislatore in difesa dei nostri diritti rispetto all’evoluzione tecnologica. Tale circostanza ha accresciuto il timore degli utenti di perdere il controllo sulle proprie informazioni personali, con una contestuale progressiva sfiducia nell’uso del mezzo internet.
E’ proprio al fine di restaurare l’affidamento verso la rete che il legislatore europeo ha emanato la Direttiva così detta e-privacy 2002/57/CE, contenente la disciplina relativa all’uso dei cookies e di altri strumenti analoghi, che l’Italia ha recepito con il D.Lgs. n. 69/2012, in cui, sinteticamente, fatti salvi i c.d. cookies tecnici, si richiede l’adozione di un sistema di opt-in ai fini dell’implementazione di tali particolari file di testo.
Tale impostazione, peraltro, sarà verosimilmente confermata anche dal Regolamento sulla privacy, che dovrebbe entrare in vigore nel 2015, che, attualmente, con riferimento ai “cookies” nel considerando 25 specifica che “il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all’interessato di manifestare una volontà libera, specifica ed informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che
consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un’apposita casella in un sito internet o con altra dichiarazione
o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso tacito o
passivo”. Ciò premesso, dal mio punto di vista, la regolamentazione sui cookies è da leggersi come uno strumento di civiltà e di rispetto, a tutela del diritto fondamentale alla riservatezza degli utenti-cittadini.
Quanto alle modalità concrete tramite le quali garantire l’applicazione di tale nuova disciplina, molto si sta discutendo e si è discusso in passato.
Francamente non ritengo che relegare tale informativa nelle impostazioni iniziali del browser sia uno strumento sufficiente a raggiungere il fine che si è prefissato il legislatore, in quanto – da un lato – tale soluzione risponderebbe al sistema di opt-out che appare contrario al principio espresso dalla direttiva; dall’altro, l’impostazione del browser è attività di sovente effettuata da un tecnico e/o da un soggetto terzo rispetto all’interessato: adottando tale tecnica, pertanto, l’utente manterrebbe una posizione passiva e verrebbe meno la sua capacità di autodeterminarsi in questo ambito.
Ritengo preferibile, quindi, l’accettazione da parte degli utenti di un banner e/o flash in cui lo si informi sui cookies utilizzati sul sito che sta visitando: una informativa breve e sintetica che, eventualmente, faccia riferimento ad una più completa a cui l’utente potrà
eventualmente accedere; questo per limitare i danni alla esperienza di navigazione, che necessariamente subirà una piccola costrizione qualora dovesse essere effettivamente implementato tale sistema, già adottato altrove. Peraltro, una volta accettato o rifiutato un determinato cookie, l’informazione potrebbe essere memorizzata dalla macchina escludendo reiterate richieste di consenso all’apertura di ogni nuova pagina, che renderebbero la navigazione frammentata.
In ogni caso, solo l’educazione alla rete tramite idonee campagne informative veicolate con i più vari mezzi di diffusione e nelle scuole, consentirà di ottenere l’effettiva capacità di autodeterminarsi da parte dell’utente, consentendogli di fare una scelta consapevole e ristabilendo così un equilibrio tra nuove tecnologie e il diritto alla riservatezza.
Francesco Giacomini
Invece della richiesta esplicita di consenso (che il buon senso vorrebbe comunque applicata solo a quelli non-tecnici) non sarebbe sufficiente che i siti onorassero l’header Do Not Track nelle richieste HTTP? Questo avrebbe anche il vantaggio di coprire tutte le tecnologie di tracciamento disponibili, tra cui i cookie sono solo quella più semplice.
Detto ciò, cercare di risolvere la questione solo con strumenti legislativi è una battaglia persa in partenza, per cui condivido molto la necessità di fare educazione digitale seria, a partire dalla scuole; i ragazzi dovrebbero sprecare meno tempo a imparare Word o Excel e più a capire come funziona il mondo digitale, anche se questo è molto più difficile da insegnare.
Massimo Fubini
Ciao Francesco, sui cookie tecnici e’ già’ così’. Non e’ necessario il consenso fermo restando l fatto che sarebbe bene capire cosa e’ realmente tecnico e cosa no. Un cookie per le web anaitycs e’ tecnico? E un cookie per le web analitycs che permettere di fare anche reccomandation system?
Per il resto sull’educazione digitale SERIA, non mi trovi d’accordo, ma d’accordissimo!
Massimo Fubini
Ciao Chiara,
non sono d’accordo che ci sia una contestuale sfiducia nell’uso del mezzo internet… Basti vedere Facebook, Whatsapp e molte altre “iniziative” di grandissimo successo che hanno al centro la gestione di dati personali…
Sul tema di pensare che i browser rispondano al tema di opt-out e’ parzialmente vero. Se il browser alla prima configurazione richiedesse che tipo di trattamento adottare nei confronti dei cookie sarebbe un opt-in no? E molti browser già’ di default accettano solo i cookie first party. Dopotutto andare su un sito e’ in parte una autorizzazione implicita al trattamento no?
Sono d’accordo che ogni sito debba avere una privacy policy chiara e visibile.
ma non penso che richiedere sempre l’autorizzazione per ogni sito sia la soluzione.
Quanto tu affermi sulla memorizzazione dell’informazione e’ valido solo in parte. E’ molto teorico per come funzionano i cookie in rete.. e per finire ti sfido a gestire bene la richiesta di autorizzazione su uno smartphone…
Non mli trovi contrario al principio, ci mancherebbe altro. Ma l’applicazione e’ tragica!
Massimo Fubini
Ecco, questa mi mancava… non sapevo che anche NSA usasse i third party cookie per attività’ di “spionaggio”
http://www.washingtonpost.com/blogs/the-switch/wp/2013/12/10/nsa-uses-google-cookies-to-pinpoint-targets-for-hacking/
Massimo Fubini
La Francia fa formazione sui cookie anche con un video di spiegazione:
http://www.cnil.fr/vos-droits/vos-traces/les-cookies/#c5554
e con linguaggio semplice, diretto e personalizzato per i vari attori:
http://www.cnil.fr/linstitution/actualite/article/article/recommandation-sur-les-cookies-quelles-obligations-pour-les-responsables-de-sites-quels-conseils/
Massimo Fubini
Sull’argomento anche il WSJ
http://blogs.wsj.com/digits/2014/11/07/europes-web-cookie-warnings-are-a-waste-report-says/
“Implementing the EU cookie directive could cost the European economy €1.8 billion, according to one estimate. “
Vanna
Buongiorno, chiedo un chiarimento su un’aspetto della questione “consenso dell’utente sui cookies, tramite banner” che non è esplicitamente dichiarata. posto che l’autorizzazione ai cookies di profilazione (leggiamo remarketing) è obbligatoria, che deve essere presente al momento della “prima visita” dell’utente e che si può tenere traccia della scelta dell’utente per le visite successive, la mia domanda è questa: al momento del primo accesso, ma se guardo bene, i cookies vengono piazzati lo stesso nel mio browser anche prima di ricevere il consenso. Quindi come sarebbe il comportamento corretto?
1) il sito non dovrebbe piazzare alcun cookies fino all’espressa autorizzazione?
2) il sito piazza comunque i cookies e poi li cancella se nego il consenso? (che potrebbe tradursi anche nell’azione di chiudere la pagina…)
3) i cookies tecnici possono essere comunque piazzati ex ante (in quanto non richiedono esplicito consenso), ma i cookies di profilazione solo post consenso?
Grazie della sua attenzione,
Vanna
smo
very good jon bro. very useful mersii
Cristina
Complimenti, articolo chiarissimo e davvero interessante! Spesso per noi “inesperti” non è facile capire come orientarsi al meglio all’interno del complesso mondo della e-privacy.. A questo proposito, da imprenditrice, volevo porle una domanda: non ritenendomi propriamente competente in materia, per il sito della mia attività stavo pensando di appoggiarmi ad una piattaforma per la gestione del consenso (in particolare, alcuni colleghi del settore mi hanno parlato molto bene di https://avacysolution.com/ , non so se la conosce!). Lei cosa ne pensa di questa ipotetica scelta? Potrebbe essere d’aiuto?