Ieri, 2 Giugno 2015, è entrata in vigore la famigerata “cookie law” anche nota come “normativa sui cookie europea”, che obbliga tutti coloro che abbiano un sito web a una serie di adempimenti, pena il pagamento di multe salatissime (da €6'000 a €120'000!).

Come sviluppatore di siti web avrei potuto semplicemente avvisare i miei clienti sul da farsi e redigere qualche preventivo. Ma come amante del web, docente di informatica e cittadino italiano non riesco proprio a considerarlo un business come un altro. In questo post proverò quindi a spiegare brevemente cosa sia la cookie law, come influirà sul web e perché penso si tratti di una legge controproducente, sulla quale non ho intenzione di lucrare. Infine avanzerò una proposta per provare a migliorare la situazione.

Disclaimer: questo post non vuole e non può in alcun modo essere considerato né una consulenza tecnica, né legale. Se hai un sito web, il mio primo consiglio è quello di contattare subito la tua web agency di fiducia per sapere se il tuo sito utilizza i cookie. In caso affermativo, per essere sicuro di adempiere correttamente alla legge, dovresti contattare un legale.

Come si è arrivati a questa legge?

Il 12 Luglio 2002 il Parlamento Europeo ha emanato una direttiva in cui esprime preoccupazione per il diffondersi di tecnologie internet che possono mettere a repentaglio la privacy dei cittadini europei, fra cui i cookies, ed individua una serie di azioni correttive che devono essere recepite e applicate dagli stati membri (fra cui l’Italia).

Ma cosa sono i cookies?

Dalle FAQ ufficiali del Garante della Privacy italiano leggiamo:

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali (i browser, nota mia), ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. "terze parti" vengono, invece, impostati da un sito web diverso da quello che l'utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.”

In altre parole i cookie sono delle piccole informazioni che un sito chiede di poter salvare sul browser che lo sta visitando in quel momento per poterlo riconoscere in occasione di visite successive (della stessa pagina o di altre pagine web). Non possono quindi “rubare” nessuna informazione.

E i browser?

I browser, per i pochi che non lo sapessero, non sono altro che i programmi che utilizziamo tutti per accedere al web. In questo momento probabilmente stai usando Chrome, o Safari, o Internet Explorer, o Firefox etc. Questi sono tutti esempi di browser. Anche se stai visitando questa pagina tramite un telefonino o un tablet, lo stai facendo mediante il browser del tuo dispositivo. Tutti i browser, e dico tutti, hanno fra le loro opzioni la possibilità di visualizzare i cookies installati da ciascun sito, cancellarli e scegliere se accettarli o meno. Quindi, se questo sito sta installando un cookie sul browser che stai utilizzando, lo sta facendo solo perché tu, o un precedente utilizzatore dello stesso browser, gli avete dato il permesso di farlo. Se vuoi vedere i cookie installati sul tuo browser e magari impostarlo in modo che non accetti più quelli di un qualche tipo (o di tutti i tipi) devi consultare la guida del tuo browser, perché purtroppo non esiste uno standard e per qualche strano motivo si tratta spesso di opzioni un po’ nascoste.

Cosa comporta la cookie law e i relativi problemi

Come ho già accennato, le direttive Europee devono essere recepite dagli Stati membri e convertite in leggi locali. L’Italia non fa eccezione. Per questo motivo il Garante della Privacy italiano ha recepito la “eu cookie law” di cui sopra con il Provvedimento dell’8 Maggio 2014, anche noto come “legge sui cookie”, entrato in vigore ieri.

Questo provvedimento, invece di obbligare la decina di browser esistenti a includere una informativa su cosa siano i cookies e ad esporre in modo più chiaro le opzioni per gestirli (vederli, cancellarli, decidere quali accettare etc.), ha pensato bene di obbligare i milioni di siti italiani a tutta una serie di adempimenti a dir poco kafkiani.

Gli adempimenti richiesti dalla "cookie law" italiana ai titolari di siti web

La legge effettua degli importanti distinguo fra cookie "tecnici", cookie di "profilazione" e cookie di "terze parti". Ecco brevemente di cosa si tratta:

  • cookie tecnici: sono quelli che servono solo al corretto funzionamento del sito. Per esempio per ricordare se un utente ha effettuato o meno l'accesso al sito o, nel caso di un e-commerce, quali prodotti ha inserito nel "carrello".
  • cookie di profilazione: sono quelli dai qali è possibile ricavare informazioni sui gusti e sulle abitudini di un utente. Per esempio è noto che le agenzie pubblicitarie li utilizzino per mostrare degli annunci correlati alle pagine visitate in precedenza dagli utenti.
  • cookie di terze parti: sono quelli installati da un sito web tramite un altro sito web, e sono quelli che meritano particolare attenzione. Ti è mai capitato di visitare un sito e poi di trovare pubblicità correlate alle tue visite su un altro sito? Questo è un classico caso di utilizzo di cookie di terze parti: il primo sito che hai visitato ha installato nel tuo browser un cookie che poi può essere letto da altri annunci pubblicitari in altri siti. A volte capita davvero di sentirsi spiati, ma la soluzione è semplice: cancella i cookie dal tuo browser o disabilita quelli di terze parti (alcuni browser, per esempio Firefox, permettono questa utilissima distinzione). Questo, attenzione, non eliminerà la pubblicità. Quella continuerai a vederla, solo che non sarà più in linea coi tuoi gusti. Tuttavia i cookie di terze parti, oltre che per la pubblicità, sono implicati anche nella realizzazione di una miriade di altri servizi utilissimi che hanno arricchito enormemente il web e reso più semplice lo sviluppo di applicazioni complesse. Esempi di servizi che implicano l'utilizzo di cookie di terze parti sono anche i seguenti:
    • Analisi degli accessi al sito (quante visite riceve ciascuna pagina, etc.).
    • Video incorporati da Youtube o da altri servizi.
    • Mappe geografiche e stradali (per esempio mappe di Google maps incorporate).
    • Pulsanti per condividere la pagina sui social.
    • Plugin per gestire i commenti (per esempio Disqus)
    • Qualsiasi altro plugin che offra un servizio esterno (per esempio un player musicale o un foglio per la scrittura collaborativa di un documento etc. etc.)

In primo luogo dovrai quindi stilare un elenco di tutti i cookie che il tuo sito potrebbe installare e, per ciascuno, dichiararne il tipo e lo scopo (la legge chiede esplicitamente, per ciascun cookie, di linkare la relativa informativa sul sito del gestore).

Problema #1: e chi non ha le competenze tecniche per raccogliere tutti questi dati e valutarne la correttezza? Probabilmente dovrà affidarsi a un consulente esterno, con conseguente aggravio di costi.

Appare evidente come nel caso di alcuni siti, per esempio un blog con molti articoli diversi, ottenere l’elenco dei cookie potrebbe non essere per nulla un compito banale: è facile dimenticarsi un servizio esterno utilizzato saltuariamente e non è possibile prevedere tutti i servizi che si intenderà utilizzare in futuro!

Una volta ottenuta la lista di tutti i cookie e del loro scopo, devi effettuare una importantissima distinzione fra due possibili casistiche.

Caso 1) Nel rarissimo caso in cui impieghi solo cookie “tecnici” (e quindi non usi praticamente nessun servizio esterno) dovrai solo redigere un documento legale, definito dalla Direttiva “informativa estesa” in cui:

  1. Dichiari che il tuo sito fa uso di cookie
  2. Spieghi brevemente cosa sono i cookie
  3. Elenchi tutti i cookie tecnici che utilizzi e il loro scopo.

Caso 2) Nel probabilissimo caso in cui il tuo sito impieghi anche cookie di “profilazione” ovvero cookie che in qualche modo servono, secondo la definizione del Garante a “tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc.” (ricordo che basta inserire un video da youtube, un pulsante "mi piace" da facebook, una mappa da Google maps etc. per ricadere in questa casistica!) allora la legge obbliga a procedere nel seguente modo:

  1. Redigere l’informativa estesa, come sopra
  2. Disattivare preventivamente l’installazione dei cookie di profilazione (cosa che richiede competenze tecniche avanzate!)
  3. Inserire una barra in alto a ciascuna pagina che chieda il permesso all’utente di utilizzarli (come se non bastasse già l’impostazione del suo browser) e che rimandi alla informativa estesa
  4. Fare in modo che i cookie di profilazione siano installati solo dopo che l'utente abbia confermato più o meno esplicitamente il proprio consenso.
  5. Rimuovere la barra informativa per gli utenti che hanno confermato esplicitamente il proprio consenso, per non continuare a tediargli in ogni pagina del tuo sito.

Problema #2: e se non hai il budget necessario per una consulenza legale? Se vuoi pubblicare qualcosa sul web per conto tuo, dal 2 Giugno 2015 devi potertelo permettere o assumerti il rischio.

Non è giusto che un ragazzino non possa più farsi un sitarello in santa pace senza rischiare una multa da seimila euro.
Questa cosa, come docente di informatica, mi urta particolarmente: per anni ho insegnato quanto fosse facile e bello farsi un proprio sito web indipendente da tutto il resto e poi includere un video, una mappa eccetera. Da oggi mi toccherà sostituire "facile" con "pericoloso".

La cosa che penso abbia davvero dell'incredibile è che il Garante, nella prima parte del testo del provvedimento, sembra rendersene perfettamente conto. Infatti la legge si apre con una sorta di dichiarazione di "buone intenzioni". In particolare, nella prima parte del testo della provvedimento, viene specificato che:

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".

E ancora:

Si ritiene pertanto che [...] non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione.

Peccato che tutte queste "buone intenzioni" siano poi sistematicamente contraddette nel proseguio del testo del provvedimento!
In particolare non viene fatto nessun distinguo in base alle dimensioni del sito (in termini di volume di affari) ma solo in base al tipo di cookie utilizzati. Purtroppo, come si evince facilmente da quanto ho spiegato sopra, il non utilizzo di cookie di terze parti comporta delle enormi e ingiuste limitazioni da parte dei soggetti che non possono permettersi le necessarie consulenze tecniche e legali.

Tutto questo ha creato un florido business per i servizi che offrono soluzioni per adempiere alla legge sui cookie. Il più famoso di questi è probabilmente iubenda.com.

La Petizione per migliorare la cookie law

Oltre ai problemi che ho già evidenziato, penso ce ne siano degli alti, forse meno ovvi:

Problema #3: i browser non coincidono con gli utenti! Che succede se un browser viene utilizzato da più persone (come spesso avviene)? Basta che una di queste dia il consenso e tutti gli altri non vedranno più le barre informative e quindi non sapranno che i cookie vengono installati.

Problema #4: alcuni siti sono delle vere e proprie opere d’arte in cui il design e quindi gli elementi e la loro disposizione sono l’elemento centrale che ne conferisce valore. Si pensi, ad esempio, al sito di un artista. In questo tipo di siti inserire la barra voluta dal garante è un vero e proprio sfregio alla loro bellezza. Purtroppo non è compito del garante della privacy garantire e preservare anche il gusto del Bello.

Problema #5: questa legge si pone il nobile e condiviso obiettivo di difendere la privacy dei naviganti e di creare consapevolezza su cosa siano i cookies. Tuttavia la soluzione proposta consiste nel riempire il web di barre informative con pulsanti per dare il proprio consenso ad informative estese che, come si può facilmente intuibile dal loro nome, altro non sono se non documenti burocratici piuttosto lunghi...

vedo cookie, barre, policy ovunque!

...Questo non farà altro che assuefarci tutti ancora di più alla burocrazia abituandoci a cliccare sui pulsanti “accetto” in modo sempre più acritico e automatico per via dell’impossibilità materiale di leggere le informative estese di tutti i siti.

Inoltre sono convinto che questa legge colpirà solo i piccoli e gli onesti perché i grandi hanno i mezzi per adempiere facilmente e i disonesti continueranno a non dichiarare tutto quello che fanno coi cookie (e con tecnologie ben peggiori).

Se pensi anche tu che il Garante, e prima ancora il Parlamento Europeo, invece che tediare i milioni di siti online avrebbe dovuto semplicemente rivolgersi alla decina di browser esistenti creando uno standard che renda più semplice al navigante la gestione dei cookie installati sul proprio terminale (per esempio mediante un pulsantino ben riconoscibile in alto a destra che rimandi a una informativa sui cookie e alla lista di quelli attualmente installati con la possibilità di cancellare gli indesiderati)

Ti invito a sottoscrivere e diffondere questa petizione.

PS: In attesa che questa legge sia auspicabilmente sostituita con una più sensata, prossimamente pubblicherò pubblicherò nel blog didattico altre informazioni più dettagliate su come adempiere correttamente alla legge attuale. Purtroppo le multe sono davvero salate.

Ricevi aggiornamenti su altri Contenuti Gratuiti e nostri Corsi in partenza!

In alternativa, puoi sempre seguire @NemboWeb_com su Twitter.

Che ne dici?