new TLDs
Nuove estensioni di dominio supportate – maggio 2015
11-05-2015
nuclear blast city
Normativa sui cookie: the day after
04-06-2015
new TLDs
Nuove estensioni di dominio supportate – maggio 2015
11-05-2015
nuclear blast city
Normativa sui cookie: the day after
04-06-2015
Mostra tutto

Cookie Law: da biscotto a pasticcio

Cookie Law man

I cookies, i biscottini utilizzati da moltissimi siti web per fornire alcune funzionalità avanzate o per fini statistici/di marketing, sono da un po' nel mirino di chi si interessa di privacy. Non c'è quindi voluto molto prima che l'Europa decidesse di agire stabilendo una normativa che ne regolasse l'uso, con una direttiva che risale addirittura al 2009.

I singoli Paesi dell'UE hanno iniziato piano piano ad adeguarsi; nel 2014 il "caso cookies" è finito sul tavolo del Garante della Privacy che ha stabilito come i siti intestati a soggetti italiani(1) debbano rispondere alla cookie policy europea.

Sul sito del Garante della Privacy è stata allestita un'area dedicata all'argomento, con tanto di filmato che spiega cosa sono i cookie, riassume alcuni dei loro utilizzi più frequenti e accenna quali siano le nuove disposizioni per adeguarsi alla normativa.

Tutto bene quindi? Non proprio, ma prima di proseguire è necessario fare una doverosa una precisazione.

AVVERTENZA

Il sottoscritto ha sviluppato nel tempo una forte allergia verso la burocrazia, nonché un profondo fastidio verso tutto ciò che da l'impressione di creare più problemi di quelli che si prefigge di risolvere. La tendenza in questi casi è quella di bollare la questione come "inutile perdita di tempo".

Dicevamo... a poche settimane dall'entrata in vigore della normativa - che avverrà il 2 giugno 2015(2) - alcune associazioni di Categoria, in collaborazione con il Garante, hanno presentato il "kit di implementazione della Cookie Law". Leggendo la parola "kit" ho creduto venisse fornito uno strumento "chiavi in mano", pronto per essere installato in ogni sito per soddisfare quanto richiesto dal provvedimento senza correre rischi di sbagliare nell'interpretazione o nella sua implementazione pratica... invece no, troppo facile così:
il kit altro non è che un documento in pdf con le linee guida sulla Cookie Law, che viene affrontata non dal lato tecnico/pratico ma da quello legale. Apprezzo lo sforzo, immagino le difficoltà di chi seduto al tavolo con il Garante abbia cercato di far valere le ragioni di chi in Internet ci lavora, ma il "kit di implementazione" è un elenco di principi da rispettare, non una soluzione completa al problema.

Ci sono rimasto un po' male, da quel momento più ho approfondito la questione e più ho provato la spiacevole sensazione di leggervi l'ennesimo "noi burocrati abbiamo deciso questo e quello mentre filosofeggiavamo sui massimi sistemi, ora sta voi adeguarvi nel giro di poche settimane. E attenti a non sbagliare, oppure son dolori".

Pena? Pena multe salate, che possono arrivare a 120.000 €.
Davvero un bell'incentivo verso uno dei settori che dovrebbe portarci fuori dalla crisi (e voi "startup con le app" ridetevela poco, ancora non ci sono arrivati ma i prossimi potreste essere voi).

L'indagine di mercato
Assieme al kit sono stati presentati i risultati di un'indagine Doxa Advice dalla quale emerge che il 90% degli intervistati non solo è consapevole che "la condivisione di informazioni personali faccia sempre più parte della vita moderna" ma riconosce anche che "il consenso all’utilizzo di alcuni dati personali (di contatto, socio-demografici, sugli stili di consumo) permette di ricevere proposte commerciali, editoriali, di entertainment vantaggiose economicamente, di migliore qualità e più in linea con i propri interessi", dimostrando quindi di accettare di buon grado anche uno degli utilizzi più spinti che si fa dei cookie.

In pratica tutto questo trambusto per venire incontro alla sensibilità del 10% dei navigatori: per una volta l'Europa si dimostra compatta nel difendere i diritti delle minoranze, me ne rallegro.

Ma veniamo al contenuto del provvedimento.

Non entro nel dettaglio perché in queste settimane sono uscite decine di ottimi articoli sull'argomento, qui mi interessa concentrarmi maggiormente su quali saranno le conseguenze dell'applicazione della Cookie Law..
La normativa verte principalmente su tre punti: banner dinamico, informativa estesa e blocco preventivo.


1 Banner dinamico
Dovrà costituire una percettibile discontinuità nella fruizione dei contenuti.

In particolare si suggeriscono:
- Dimensioni sufficienti da rendere il banner chiaramente visibile
- Font diverso da quello utilizzato nel sito, che lo renda evidente
- Un colore dello sfondo contrastante rispetto a quello del sito

Se prendiamo come modello il sito di Apple, pulito e minimalista, questo sarebbe un banner informativo come norma vuole:


Ma c'è di meglio, perché lo stesso banner deve venire mostrato anche quando si accede ai siti da dispositivi mobile. E già stiamo assistendo a capolavori di questo genere:

Anche Twitter si sta adeguando e possiamo già apprezzare come sia ora più comodo leggere i suoi cinquettii:

Ecco, adesso moltiplicate questo per migliaia, milioni di siti: la user experience ne esce devastata.
Se siete fortunati vedrete il banner solo la prima volta che accedete ad ogni sito - o meglio - la prima volta che lo visitate dal computer dell'ufficio, da quello di casa, dal telefonino, dal tablet... e non provate a cancellare i dati di navigazione o a cambiare computer perché ovviamente dovreste ricominciare daccapo.

Fortuna che, grazie a questa normativa, ora sarà tutto più semplice e chiaro per chi naviga in Rete.

2 Informativa estesa
Su questo ci sarebbe poco da dire, è una paginetta in più che va ad affiancarsi a quella della privacy. Fortunatamente pare non si debbano indicare nel dettaglio i singoli cookie utilizzati ma solo le finalità generali, ma dovete sapere se usate solo cookie tecnici o anche di profilazione visto che questi ultimi vanno bloccati preventivamente (vedi punto 3).

Sulla distinzione tra cookie tecnici e di profilazione c'è ancora un po' di confusione e la questione riguarda alcuni tra i cookie più utilizzati, quelli di Google Analytics, che sono praticamente alla base di ogni attività SEO. Sul sito del Garante si legge infatti "cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso".
Qualcuno però manda un'email al Garante e gli viene risposto diversamente, che sono da trattare come cookie di profilazione.
La soluzione all'enigma pare risieda nel modificare il codice di analytics in modo da rendere anonimi gli indirizzi ip registrati, così da fare in modo che questi cookie vengano annoverati tra i tecnici e non richiedano il blocco preventivo.

Ciò che manca è una risposta ufficiale da parte di chi ha scritto la normativa: con queste premesse poco chiare, in caso di controllo da parte del personale incaricato dal Garante possiamo stare tranquilli?

3 Blocco preventivo
E qui siamo al capolavoro.
Ovviamente la logica suggerisce che se abbiamo fatto tutto questo per impedire l'installazione inconsapevole dei cookie sia necessario impedire che questo avvenga PRIMA che il navigatore abbia visualizzato ed accettato l'informativa che gli viene visualizzata.
Quindi, ad esclusione dei cookie tecnici (come quelli di sessione), tutti i cookie di profilazione e di terze parti vanno BLOCCATI preventivamente e utilizzati solo a seguito dell'accettazione dell'informativa. Stiamo parlando ad esempio dei pulsanti "Mi piace" di Facebook, di un banner di terzi che utilizzate nel sito, di funzionalità aggiuntive che avete installato tramite script o plugin esterni. A livello tecnico è un bel problema, vuol dire innanzitutto aver ben chiaro quali cookie si utilizzino e in quali contesti, e successivamente metter mano al codice del sito per intercettarli e consentirne l'installazione solo dopo aver ricevuto l'ok dal navigatore.

Considerando che 9 siti su 10 utilizzano i cookie, questo vuol dire che il blocco dovranno applicarlo più o meno TUTTI, dalla grande azienda al sito che il fioraio si è fatto per conto suo oppure tramite CMS o website builder. Come bloccare i cookie da Wordpress? E se ho usato 1&1, mi metteranno a disposizione loro qualche sistema già pronto? Ma sì, tanto c'è tempo!

Cookie Law: un problema tutt'altro che banale

Fortunatamente c'è chi ci viene in aiuto, in Rete si trovano diverse soluzioni che puntano ad agevolare l'applicazione della Cookie Law nei 3 punti illustrati. Il fatto che alcune Nazioni abbiano applicato la direttiva europea molto prima dell'Italia fa in modo che online si trovino alcuni strumenti già pronti, anche se spesso non sono delle soluzioni complete (magari gestiscono il banner ma non il blocco) ed è bene ricordare che andrebbe verificato se rispondono pienamente alle richieste della normativa italiana.
Si trovano sia plugin per i più diffusi CMS che soluzioni dedicate come quelle di Sitebeam, Optanon e Cookiebot, ma non sperate di risolvere il problema premendo un pulsante. Purtroppo c'è diverso lavoro da fare.

Tra le offerte maggiormente pensate per venire incontro alla versione italiana della Cookie Law troviamo quella dei ragazzi di Iubenda, che da diverso tempo si stanno interessando all'argomento. Infatti hanno partecipato al tavolo tra il Garante e le associazioni di Categoria in qualità di esperto tecnico e da diverse settimane stanno contribuendo a fare un po' di chiarezza sulla questione, attraverso webinar informativi e un'ottima guida alla Cookie Law consultabile da tutti liberamente.
Tra i loro servizi è da poco disponibile una soluzione che consente di mettere a norma il proprio sito nella maniera più semplice possibile (per quanto ciò sia consentito tecnicamente), a mio parere val la pena buttarci un occhio visto che tra l'altro consente di predisporre anche la dichiarazione della privacy, altro argomento spinoso.

Nonostante questi sforzi permangono alcuni aspetti poco chiari per i quali è caldamente suggerito rivolgersi a un consulente legale... a patto ovviamente di trovarne uno che non solo mastichi di Internet ma conosca cosa sono i cookie e sia al corrente della normativa(3).

E' ad esempio poco chiara l'espressione "titolare del sito". Ci si riferisce all'intestatario del dominio? Al soggetto indicato nei dati di contatto presenti sul sito stesso? Al committente? Al fornitore della piattaforma/hosting?

Può sembrare una domanda banale ma non lo è affatto, ci sono svariati casi in cui molteplici soggetti concorrono a costituire quello che genericamente definiamo "il titolare del sito". In caso di pannelli web erogati in modalità whitelabel (tipico nel B2B) il sito/piattaforma è fornito dal soggetto A, che mostra le pagine a nome del soggetto B (come se fossero di quest'ultimo, quindi) associandole a un dominio che potrebbe essere di A, B o addirittura C.
Chi è il titolare responsabile di applicare la normativa sui cookie, A, B o C?
Consideriamo inoltre che ognuno di questi soggetti potrebbe risiedere in nazioni diverse - anche extra europee - e quindi non essere soggetto alla Cookie Law(4).

O ancora, per chi è del settore: quel pannello di Nagios che avete installato per monitorare i server ha una pagina di login che usa i cookie di sessione, quindi richiede la pubblicazione dell'informativa estesa. Come metterete il link e quella pagina sul pannello di Nagios, applicazione scaricata da internet e con codice non vostro? In generale, la cookie law vale anche per le intranet aziendali, dal momento che pur essendo private hanno una pagina pubblica di login che utilizza dei cookie tecnici? Nella webmail di Lotus Notes avete facoltà di metterci il link con l'informativa?

Domande a cui è difficile rispondere. Questi aspetti saranno chiari a chi verrà incaricato di effettuare i controlli? Il personale del Garante sarà sufficientemente competente e dimostrerà una ragionevole elasticità o dobbiamo prepararci a un periodo di caccia alle streghe?

Cosa ci riserva il futuro

Di fronte a tutte queste incognite è difficile immaginare cosa aspettarsi.
Forse lo possiamo prevedere osservando quello che è successo in altre nazioni che hanno implementato la Cookie Policy prima di noi. Di seguito trovate un'infografica del 2013, quando l'Inghilterra era già al terzo anno di applicazione di una normativa sui cookie.

L'infografica è abbastanza autoesplicativa, evidentemente la normativa sui cookie ha una grosso seguito di estimatori anche all'estero!
Se questo è quello che è successo nella patria della privacy, sono impaziente di godermi gli esilaranti sviluppi che la Cookie Law potrà avere nel Belpaese.


(1) Si veda più avanti come la definizione di "titolare" si presti a diverse interpretazioni. [back]
(2) Un giorno festivo con un ponte, per giunta: un po' come fissare una scadenza il 25 dicembre. [back]
(3) Qualche studio legale specializzato in questioni legate all'Informatica e alla Rete comunque esiste. [back]
(4) Difficile far sottostare a leggi locali un servizio che risiede in un luogo che per sua definizione è globale, nello stesso tempo ovunque e da nessuna parte, nevvero? [back]

6 Comments

  1. elisa ha detto:

    Ciao, complimenti per l’articolo.
    Mi chiedevo se Webmaster Tool debba essere assimilato a Google Analytics, anche se ha funzionalità più limitate…
    Qual e’ la tua opinione?
    Grazie in anticipo!
    Elisa

    • Giovanni Losi ha detto:

      Ciao Elisa, mi fa piacere ti sia piaciuto. 🙂
      Premetto di non essere un esperto SEO e potrei venire smentito, ma se non sbaglio Google Webmaster Tools non utilizza cookie.
      Non mi pare richieda di installare nel codice del sito script particolari per il tracciamento delle pagine, se non per la verifica iniziale (quando vai ad aggiungere il tuo sito ai Webmaster Tools) dove puoi scegliere di farlo mettendo un file html nella root del sito oppure uno script nell’header dell’home page. Ma anche in quel caso serve solo per la verifica iniziale, non attiva cookie e penso tu possa successivamente rimuoverlo, quindi direi che per quanto riguarda la Cookie Law puoi evitare di considerare i Webmaster Tools.

  2. Franco ha detto:

    Altro che biscotti… pagnotte direi!!! Ha!

    Ciao Giovanni!
    Speriamo che il Garante sappia veramente di cosa sta parlando !

    Le sanzioni sono indescrivibili.. sembra qualcosa tanto criminoso !

    Si spererebbe un’attenzione maggiore contro la diffusione di crimini in Rete e con misure contro Motori di Ricerca, Social Network, ecc.

    Comunque, potrei suggerire http://www.cookie-checker.com e poi https://cookie-script.com
    purtroppo, non credo ci siano tante bacchette magiche 🙂

    Alla lunga, il tutto penalizzerà chi usa i cookie e tutti gli applicativi web che ne fanno uso

    E’ giusto che si sappia che i cookie fanno male alla privacy,
    però, eventualmente, a me sembra che il problema sia per chi abbia qualcosa da nascondere ! O no !?
    In questo caso NON sarebbe una responsabilità del sito web, ma dell’Utente !

    C’è una responsabilità dell’Utente in Rete, quando usa applicativi che contengono i propri dati personali,
    Sarebbe più facile utilizzare Browser configurati in maniera opportuna ed anche i proxy di Rete !
    Come per l’auto in strada.. ci vorrebbe una patente !

    La Rete Internet non è nata per quello che oggi conosciamo…
    ma sarebbe un discorso lungo ed ormai oggi gli interessi sono senza confini !

    Da prima di Roma e in poi, qualcuno, come sempre, deve fare cassa !!
    Aspettiamoci dell’altro……..

    In bocca al Lupo a tutti e complimenti a Giovanni 🙂

    Ciao, F.

    • Giovanni Losi ha detto:

      Franco, hai colto alcuni di quelli che secondo me sono i problemi di base della questione:
      – i cookie sono davvero dannosi per la privacy? (che cosa si intende per privacy?)
      – eventualmente, è giusto che sia il settore di chi lavora in Internet ad attivarsi per sopperire all’ignoranza dell’utenza, che potrebbe proteggersi autonomamente se solo conoscesse a fondo gli strumenti che utilizza quotidianamente (browser)? Se chi compra automobili non ha conseguito la patente di guida, è giusto che la Fiat venga costretta a fornire un autista ad ogni suo cliente?
      – se proprio se ne devono occupare gli addetti ai lavori e questi cookie fanno così male, a rigor di logica bisognerebbe partire dai più grossi (social network, motori di ricerca): come mai invece sembra un problema che colpirà più che altro i piccoli, mentre grosse realtà che fanno largo uso dei cookie su migliaia/milioni di utenze sembrano non preoccuparsene?
      Sono curioso di vedere tra qualche giorno quale sarà la stata la risposta della Rete alla normativa, nel frattempo sto raccogliendo qualche dato per un nuovo articolo.

      Mi guardo i 2 servizi che hai suggerito, non li conoscevo ma a prima vista mi sembrano interessanti. L’unico dubbio che ho sull’utilizzo di servizi esteri in questo frangente è che magari rispondono alla normativa europea generica ma in qualche dettaglio possono venir meno alle richieste formulate dal Garante per quanto riguarda l’Italia. Tutto nasce infatti da una direttiva europea che però ogni nazione sta applicando a suo modo, con lievi differenze.

  3. Franco ha detto:

    Ciao Giovanni

    …una petizione ?

    in giro ci sono diverse iniziative e questa mi pare abbastanza intelligente https://www.change.org/p/la-cookielaw-deve-rivolgersi-a-una-decina-di-browser-non-a-miliardi-di-siti-cookiechange che ho trovato qui http://smartmoney.startupitalia.eu/49056/e-commerce/cookie-law-petizione/
    Non saprei indicarne però la vera efficacia !

    Concordo che il problema è stato affrontato male, agendo sui singoli e con risultati disastrosi:
    – siti sfigurati e non navigabili (con banner che occupano mezza pagina !!)
    – abbassamento dell’attenzione proprio per la cattiva considerazione dei banner in genere
    – … per informative che nessuno mai leggerà !

    F.

    • Giovanni Losi ha detto:

      Ottima segnalazione, mi sembra anche più motivata rispetto all’altra che avevo trovato e indicato in quest’altro post (mi pare sia quella del tuo secondo link).
      Il problema di queste petizioni è che si rivolgono al Garante della Privacy italiano il quale, come ribadito anche in una recente intervista al Dott. Montuori, non ha fatto altro che rispondere a una direttiva europea. Bisognerebbe pensare a un’azione congiunta degli operatori europei presso l’Unione, diversamente temo che tutti gli sforzi nazionali possano finire in un nulla di fatto.
      Sarebbe utile individuare quali organismi nel ns. Settore possano esercitare azioni di lobbying in Europa per far sentire le ragioni di chi in Rete ci lavora e che proprio in virtù di ciò ha una conoscenza approfondita dei meccanismi che ne regolano il funzionamento, potendo in tal modo indirizzare decisioni di questo genere verso soluzioni più ragionevoli.

Rispondi a Giovanni Losi Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.