Legge cookie: tra una settimana il "cookiegeddon"

Manca all’incirca una settimana al cosiddetto cookiegeddon italiano.
Tra pochi giorni, tutti i siti web che utilizzano cookie di profilazione e cookie di terze parti, saranno tenuti ad esporre un’informativa breve alla prima visita di ciascun lettore-utente. Il nuovo adempimento riguarda chiunque gestisca un sito: non soltanto le grandi realtà editoriali, ma anche professionisti e coloro che gestiscono un blog in maniera amatoriale.

Tranne le aziende più grandi, sono pochi i siti web che utilizzano in proprio i cosiddetti cookie di profilazione, strumenti utilizzati per individuare in maniera univoca tutte le successive visite provenienti dallo stesso browser e legare, ad esempio, l’esposizione di contenuti pubblicitari alle preferenze ed agli interesse dell’utente (o degli utenti) che stanno utilizzando quello stesso browser.

La maggior parte delle realtà editoriali online, però, usa esporre messaggi pubblicitari gestiti da diversi circuiti di advertising (Google Adsense ne è un esempio) con la precisa finalità di ottenerne il necessario sostentamento economico per proseguire le attività (gratuitamente, senza alcun esborso economico per il lettore), pagare server e connettività, gli eventuali dipendenti e, possibilmente, ottenerne un profitto.
L’advertising aiuta non solo le grandi aziende che si occupano di editoria sul web ma anche i siti meno trafficati, compresi i blog.

Dal prossimo 2 giugno nessun sito web italiano potrà di fatto esporre banner pubblicitari prima di aver acquisito il consenso informato del lettore-utente-visitatore (che può esprimersi chiudendo l’informativa breve, cliccando su un qualunque elemento della pagina sottostante od effettuando un’operazione di scrolling).

È questo il risultato dell’entrata in vigore del provvedimento del Garante Privacy “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (vedere questa pagina per leggerne il testo completo).

Cookie delle terze parti

Nonostante il punto 2) (“Soggetti coinvolti: editori e terze parti“) del provvedimento del Garante distingua nettamente la figura dell’editore dalle terze parti, in chiusura dello stesso punto si prescrive che l’editore è comunque tenuto a rilasciare l’informativa ed all’acquisizione del consenso anche riguardo ai cookie delle terze parti.

Ciò significa che chiunque utilizzi circuiti advertising, plugin social (Facebook, Twitter, Google+), strumenti per la gestione dei commenti come Disqus, strumenti di statistica come Google Analytics (a meno che non sia attivata la cosiddetta mascheratura dell’indirizzo IP) è obbligato ad astenersi dalla visualizzazione di tali contenuti (e quindi dal provocare i caricamento di cookie di terze parti sul sistema degli utenti) fintanto che non avrà acquisito il consenso del lettore-utente-visitatore.

A tal proposito, dall’ufficio stampa del Garante ci è stata inviata la seguente conferma:

“Nel rispetto di quanto previsto dalla legge, confermiamo la necessità di acquisire il consenso degli utenti preventivamente rispetto all’installazione dei cookies non tecnici, anche quelli delle c.d. “terze parti”. Allo scopo di semplificare tale adempimento, il Garante ha fatto ricorso allo strumento del banner da pubblicare sul sito prima parte, il cui superamento mediante azione positiva dell’utente (chiusura del banner stesso, selezione di un elemento, ecc.) configura prestazione del consenso all’installazione di tutti i cookies. Nell’informativa estesa poi, l’utente che voglia selezionare i cookies da installare, dovrà trovare le specifiche indicazioni relative ai cookies prima parte e i link ai siti delle terze parti contenenti le informative e i form per la raccolta dei consensi predisposti da queste. È importante, lo si ribadisce, che i titolari del sito prima parte si assicurino che tali link ai siti terze parti siano aggiornati e contengano effettivamente quanto richiesto dal provvedimento“.

E ciò nonostante le FAQ, pubblicate sullo stesso sito web del Garante, sembrino a tutt’oggi chiarire qualcosa di diverso (vedere il punto 14) in questa pagina). Abbiamo provveduto a farlo presente all’ufficio stampa del Garante nei giorni scorsi.

Dal momento che a far fede è il provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“, diventa pressante l’esigenza di individuare la soluzione tecnica per bloccare i cookie di terze parti alla prima visita dell’utente, prima della concessione del consenso.

Come bloccare temporaneamente i cookie di terze parti

A sette giorni dall’entrata in vigore del provvedimento del Garante Privacy, restano ancora diversi dubbi sulle modalità tecniche per bloccare temporaneamente i cookie delle terze parti (fintanto che l’utente non avrà fornito il suo consenso).

Una delle possibili soluzioni consiste nell’utilizzare le versioni asincrone degli script che consentono la visualizzazione di banner pubblicitari e, attraverso una modifica minima, di posticiparne il caricamento (e quindi l’impianto dei cookie di terza parte) a consenso accordato.

Anche Iubenda, società milanese che fornisce un “kit” a pagamento per mettere in regola i propri siti web (automatizza l’elaborazione e l’aggiornamento della policy sulla privacy), fa chiaramente presente che per bloccare i cookie di terze parti è necessaria una modifica sul codice JavaScript.
Com’è immediato apprendere in questa pagina, nel caso di Adsense, ad esempio, è necessario aggiungere un’apposita classe e “neutralizzare” temporaneamente il codice JavaScript di Google trasformandolo da text/javascript a text/plain.

Ci siamo chiesti, ad esempio, se questo modus operandi sia accettato da Google che ha più volte ribadito come la modifica degli script di Adsense non sia permessa.
In questa pagina Google scrive che non sono ammesse modifiche del codice Adsense “che aumentino in modo artificioso il rendimento degli annunci o danneggino le conversioni degli inserzionisti“. Non è questo il caso, certo, ma per scongiurare ogni rischio di ban dal circuito Adsense (o da altri network analoghi) per gli editori, abbiamo provato a contattare sia Google che Iubenda.
Siamo in attesa di risposte ufficiali.

Per il momento Google non ha ancora proferito parola sull’argomento. C’è solamente una dichiarazione di un dipendente Google, Marco Sgnaolin, in questa discussione: “no, soluzioni di questo tipo sono da considerare ad alto rischio di violazione policy. Modificare il codice di AdSense, anche in minima parte, non è ammesso per tutta una serie di ragioni, anche tecniche. Ad esempio può aprire la strada ad altri script che hanno lo scopo di andare a modificare il codice ulteriormente, di nascosto. D’altronde, conosciamo il contenuto della normativa ma non la soluzione ufficiale studiata per un servizio specifico, in questo caso AdSense. Quindi ogni soluzione proposta da aziende o sviluppatori autonomi, non si può considerare al momento accettabile“. Ed aggiunge: “State pur certi che tutto verrà comunicato nella vostra homepage di AdSense o nella mail al momento opportuno. Per ora, grazie per l’interesse nell’argomento“.
Al momento non abbiamo trovato alcun aggiornamento in merito.

Un’alternativa sarebbe ovviamente il blocco temporaneo di tutti i cookie di terze parti alla prima visita dell’utente ed il reload della pagina a consenso accordato (soluzione particolarmente fastidiosa anche in termini di usabilità).

Una domanda, poi, sorge spontanea. Allo stato attuale, l’editore del sito “A” dovrebbe bloccare il cookie di terze parti “X” eventualmente già accettato dallo stesso lettore sul sito “B” (indipendentemente dal fatto che ciò sia avvenuto su di un sito italiano o straniero). Non dovrebbe forse essere la società cui fa capo “X” a gestire il consenso ed essere invece l’editore di “A” esclusivamente tenuto alla gestione di un’informativa estesa contenente tutti i riferimenti di legge?
Il provvedimento del Garante, al momento, sposta invece gran parte degli obblighi proprio in capo all’editore del sito “A” prevedendo oltretutto sanzioni molto salate (multe da 10.000 a 120.000 euro) nel caso in cui le disposizioni non dovessero essere rispettate.

Fingerprinting

Vale la pena ricordare che le grandi società sono in grado, da tempo, di utilizzare tecniche di fingerprinting capaci di identificare univocamente uno stesso browser web, con buona approssimazione, anche senza usare i cookies (ne abbiamo parlato brevemente, ad esempio, nell’articolo EFF esamina le “impronte” lasciate dai browser web).

Auspichiamo che in questi pochi giorni che ci separano dal cookiegeddon, dall’Ufficio del Garante possa arrivare una soluzione tecnica per venire incontro a tutti quegli editori che, allo stato attuale, risulterebbero enormemente penalizzati dall’entrata in vigore del provvedimento.

Ulteriori approfondimenti

– Legge sui cookie: presentato il kit di implementazione
– Legge sui cookie, tra un mese si parte
– Normativa cookie: come adeguarsi da qui a giugno

Aggiornamento: Google ci ha fornito un primo breve chiarimento: “Siamo consapevoli della situazione per le nuove leggi sul Cookie Consent e stiamo in questi giorni lavorando a soluzioni specifiche per i diversi mercati. Rilasceremo comunicazioni ufficiali non appena avremo soluzioni tecniche pronte all’uso per i nostri publishers e partners“.

Aggiornamento: L’ufficio stampa del Garante Privacy ci ha contattato anticipando che nei prossimi giorni, prima della scadenza 2 giugno (vengono esclusi rinvii dell’entrata in vigore del provvedimento), saranno pubblicate delle nuove linee guida ed una serie di chiarimenti sulle criticità emerse nelle ultime settimane.
Al momento non è dato sapere il contenuto della nota che sarà diramata dall’Ufficio del Garante.