Legge sui cookie: presentato il kit di implementazione

Il prossimo 2 giugno sarà una data molto importante per il web italiano perché entreranno ufficialmente in vigore le nuove disposizioni sull’utilizzo dei cookie, da parte di tutti i siti, approvate dal Garante per la protezione dei dati personali ormai un anno fa (vedere anche l’articolo Legge sui cookie, tra un mese si parte).

Tutti gli editori (intesi non soltanto come grandi aziende ma anche come piccole realtà o persone fisiche) che pubblicano online uno o più siti web sono tenuti ad astenersi dal richiedere al client (leggasi, browser web) degli utenti-lettori-visitatori la creazione dei cosiddetti cookie di profilazione, almeno fino all’acquisizione di esplicita autorizzazione (cosiddetto opt-in).
I cookie di profilazione sono strumenti comunemente utilizzati sul web per creare profili relativi all’utente ed utilizzati per visualizzare messaggi pubblicitari in linea con le preferenze e le abitudini manifestate durante la navigazione in Rete.

Il kit di implementazione della cookie law

Quest’oggi, nel corso di incontro tenutosi a Roma, alla presenza del Garante Antonello Soro, le principali associazioni di categoria (DMA Italia, Fedoweb, IAB Italia, Netcomm, UPA) hanno presentato il kit di implementazione della cookie law.
Si tratta di un “vademecum” scaricabile gratuitamente da qui che contiene le linee guida per non trovarsi impreparati in vista della prossima scadenza del 2 giugno. Il documento analizza nel dettaglio il provvedimento e ricorda le soluzioni che gli editori dei siti web dovranno implementare in queste settimane per superare eventuali controlli ed evitare sanzioni amministrative (che sono tra l’altro estremamente salate).

Chi utilizza cookie di terze parti sarà in difficoltà

Dopo una lettura del “kit di implementazione” diffuso quest’oggi e nonostante il punto 2) del provvedimento del Garante (consultabile per intero qui) distingua nettamente la figura dell’editore dalle terze parti, è innegabile che chi utilizza cookie di terze parti si troverà un po´ in difficoltà.
Il provvedimento del Garante, infatti, prescrive che l’editore è comunque tenuto a rilasciare l’informativa e all’acquisizione del consenso anche riguardo ai cookie delle terze parti.

Cosa significa in concreto? Che chiunque si appoggia ad un qualunque circuito di advertising per sostenere economicamente le attività del proprio sito web o del proprio blog (basti pensare al comunissimo Google AdSense, le cui tag sono presenti praticamente sulla quasi totalità dei siti editoriali italiani e stranieri) dal prossimo 2 giugno dovrà visualizzare un’informativa in bell’evidenza astenendosi dal caricare le tag pubblicitarie fintanto che non avrà acquisito esplicito consenso da parte dell’utente-lettore-visitatore.

In altre parole, non potranno essere visualizzati banner pubblicitari dei principali circuiti di advertising che, com’è noto, si appoggiano a cookie di profilazione fintanto che non si sarà acquisito il permesso dell’utente per utilizzare tali strumenti.

Nel documento del “kit di implementazione” si legge: “in alternativa rispetto al suddetto blocco preventivo (…), il titolare del sito potrebbe anche rilasciare cookie di profilazione a condizione che ogni eventuale profilazione possa avvenire solo a seguito del consenso informato dell’utente“.
A tal proposito va osservato che – almeno allo stato attuale – l’editore non ha modo di bloccare i cookie di profilazione delle terze parti pur esponendo il messaggio pubblicitario (caricando le corrispondenti tag).
Per bloccare la generazione dei cookie di profilazione sui sistemi client degli utenti-lettori-visitatori, è necessario impedire – al momento della prima visita sul sito web – il caricamento dell’intero codice del circuito adv perdendo così impressions preziose.

I principali circuiti adv (ad esempio Google AdSense) per adesso non offrono alcun codice che possa essere caricato programmaticamente alla prima visita dell’utente sul sito web e che permetta di bloccare temporaneamente (fino all’avvenuta accettazione dell’informativa breve) la generazione dei cookie di profilazione.
Non ci risulta che questa possibilità sia documentata da nessuna società terza attiva nel settore dell’advertising online.
Il provvedimento del Garante, purtroppo, seppur sia stato approvato con nobili finalità, impatterà quindi negativamente soprattutto sulle realtà editoriali online medio-piccole e sulle persone fisiche nella veste di editori che:

– dovranno informarsi per tempo, entro il prossimo 2 giugno, sul contenuto del provvedimento
– dovranno superare la confusione di questi giorni sulle modalità di implementazione (la soluzione presentata da Google a questo indirizzo, per esempio, non è sufficiente per mettersi in regola con le disposizioni del Garante Privacy italiano)
– dovranno acquisire le competenze tecniche necessarie per adeguarsi alle disposizioni
– dovranno eventualmente acquistare servizi di consulenza dedicati per gestire il nuovo adempimento
– dovranno destinare tempo e risorse (anche economiche) all’implementazione della soluzione tecnica per la visualizzazione dell’informativa e l’acquisizione del consenso
– dovranno probabilmente accettare un incremento del tasso di abbandono del sito (bounce rate) e forse fare i conti con entrate ridotte dalla raccolta pubblicitaria

Informativa e raccolta del consenso anche per chi usa i pulsanti “social”

Anche chi fa uso dei semplici pulsanti “social” di Facebook, Twitter, Google+ o di altri social network (compresi i “social plugins”), stando alla normativa ed a quanto chiaramente indicato nel “kit di implementazione” appena diffuso, sarà tenuto – dal prossimo 2 giugno – a bloccare il caricamento di tali oggetti (si pensi al pulsante “Mi piace” di Facebook), a visualizzare informativa breve ed estesa ed a richiedere il consenso dell’utente-lettore-visitatore.
Non importa se il proprio sito web sia un magazine apprezzato oppure contenga le ricette della nonna. Bisognerà ottemperare per tempo e comunque non oltre il 2 giugno.

I punti ancora oscuri

Permangono poi alcuni dubbi che abbiamo manifestato anche all’ufficio stampa del Garante Privacy:

Come debbono comportarsi gli editori nei confronti di tutti gli utenti-lettori-visitori del sito (si pensi ai lettori abituali) che già hanno ricevuto in passato cookie di profilazione? L’informativa dev’essere esposta anche a loro? In quest’ultimo caso, però, l’editore non avrebbe la possibilità tecnica di rimuovere i cookie di terze parti già impiantati sul sistema client dell’utente ma potrebbe solamente dare suggerimenti su come disabilitarli.

Inoltre, anche se si riuscisse ad individuare una soluzione tecnica per negare temporaneamente un cookie rilasciato da terze parti (studiando ad esempio il codice di siti web come Your Online Choices; vedere più avanti), che diritto ha l’editore per bloccare un cookie di profilazione (ad esempio quello di Google AdSense) che è stato già precedentemente accettato in seguito all’esposizione dell’informativa su un altro sito web italiano od generato sul sistema client del lettore in seguito alla visita di un sito web straniero?

Cosa sono i cookies

Per quanto dipinti come strumenti “invasivi” e lesivi della privacy dell’utente, i cookies sono di per sé semplici file di testo che non pesano più di 4 KB. Non sono oggetti “attivi” in grado di spiare l’utente e non possono da soli monitorare le sue attività online.
Alcune società attive nel settore dell’advertising utilizzano i cookie per stabilire a quali siti si collega uno stesso utente e visualizzare inserzioni pubblicitarie più pertinenti e maggiormente compatibili con i suoi interessi.
L’utente non viene ovviamente identificato con nome e cognome ma, associando un codice univoco al suo browser web, se questi visita un sito di una famosa casa automobilistica od un sito di viaggi è probabile che andando poi a visitare il sito web con le informazioni meteo od il suo magazine preferito veda apparire banner pubblicitari che propongono l’acquisto di una nuova vettura, di una polizza RCA, di un biglietto aereo a prezzi convenienti o di un viaggio verso una meta esotica.

Nessuno spia nulla. Semplicemente, la società che gestisce uno stesso circuito per l’esposizione di messaggi pubblicitari verifica il codice eventualmente presente nel cookie e, attingendo ai propri database, controlla quali siti sono stati visitati da parte di un certo client.

Sui cookie di questo tipo – detti cookie di profilazione – sta puntando il dito il Garante Privacy.

I dati di fatto sono i seguenti:

1) Tutti i browser web, da anni, consentono di cancellare tutti i cookie o quelli di una specifica società di advertising
2) Tutti i browser web, da anni, permettono di bloccare la ricezione di cookie (tutti, quelli generati da uno o più siti web o singoli cookie)
3) Ben noti servizi come Digital Advertising Alliance Consumer Choice e Your Online Choices consentono di bloccare l’utilizzo di cookie di profilazione da parte di varie società attive nel settore dell’advertising online

Ciononostante, salvo auspicabili proroghe dell’ultim’ora, il prossimo 2 giugno entrerà in vigore in Italia quella che a detta di molti sembra una delle normative più stringenti a livello europeo (vedere questa pagina riassuntiva).

Basta lo scrolling per acquisire il consenso dell’utente

Per acquisire il consenso dell’utente all’erogazione di cookie di profilazione è necessario che questi chiuda l’informativa breve, faccia clic su un elemento del sito web o – ed è questa una novità di oggi – effettui lo scrolling.
Sarà però bene indicare chiaramente nell’informativa breve le modalità che avranno come conseguenza la concessione del consenso.

Per maggiori informazioni sui cookie, suggeriamo la lettura del nostro articolo di approfondimento Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web.

Di seguito il video divulgativo pubblicato a gennaio scorso dal Garante Privacy.