Regolamento cookie: obblighi per chi gestisce un sito

C’è un silenzio assordante per quanto riguarda il tema della gestione dei cookie sul web, soprattutto in Italia. A giugno scorso è stato pubblicato in Gazzetta Ufficiale il regolamento sui cookie, approvato ed emanato dal Garante Privacy italiano: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie 8 maggio 2014” (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).

Al termine di una consultazione pubblica, avviata già nel 2012, l’autorità per la protezione dei dati personali ha ritenuto opportuno pubblicare una regolamentazione sull’utilizzo dei cookie (nell’articolo Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web abbiamo spiegato di che cosa si tratta e quali possono rivelarsi pericolosi) che di fatto pone in capo a chiunque, in Italia, amministri un sito web (non importa se a livello amatoriale, professionale o d’impresa) una serie di obblighi piuttosto stringenti.

Come abbiamo spiegato nell’articolo Il Garante Privacy regolamenta l’uso dei cookie sul web, che vi invitiamo a rileggere, prima di ordinare al browser web la creazione di un qualsiasi “cookie di profilazione“, l’editore del sito dovrà aver preventivamente ed esplicitamente ottenuto l’autorizzazione di ciascun utente.

Il Garante consiglia, ad esempio, la visualizzazione di un messaggio al centro della pagina web che contenga le informazioni sulle modalità con cui i cookie di profilazione vengono eventualmente utilizzati e gli strumenti che permetteranno all’utente di concedere il suo benestare.

I siti web che usano solamente “cookie tecnici” (cookie di sessione, cookie utilizzati per la gestione del carrello di un sito di e-commerce, per l’applicazione di filtri sulla visualizzazione dei prodotti presenti in un catalogo, per la memorizzazione delle preferenze sull’utilizzo della specifica applicazione web,…) non sono tenuti all’esposizione del messaggio. Tuttavia, basta anche un semplice banner AdSense od il mero utilizzo del codice di Google Analytics per incorrere negli adempimenti previsti dal Garante.

Cookie di profilazione sono considerabili, per esempio, oltre ai già citati AdSense ed Analytics, quelli dei vari circuiti di advertising, i vari widget di Facebook, Google+, Twitter, YouTube, Disqus oltre a qualsiasi meccanismo (sviluppato in proprio od utilizzato appoggiandosi a servizi di terzi) che possa essere usato per tracciare in qualche modo il visitatore.

Google CookieChoices: è davvero una soluzione?

Sul web sono ancora pochi ad affrontare il problema legato al nuovo regolamento sui cookie. Quei pochi che ne parlano presentano i due strumenti presentati da Google sul sito web CookieChoices.org come una soluzione percorribile sin d’ora.
Per come viene descritta dai più, si tratterebbe di un comodo approccio “copia&incolla“: basta copiare il codice dal sito CookieChoices allestito dai tecnici di Google ed utilizzarlo sul proprio sito web, per mettersi in regola, anche sulla base di quanto previsto dal Garante Privacy italiano.

La risposta è no.
La soluzione proposta da Google, da sé, non risolve il problema della gestione dei cookie di profilazione. Le due soluzioni JavaScript offerte da Google sul sito CookieChoices possono essere considerati solo degli strumenti per informare, in maniera visuale, gli utenti sulle modalità di gestione dei cookie.
Il codice JavaScript di CookieChoices, tuttavia, non modifica e non può d’altra parte modificare i criteri con cui i cookie (compresi quelli di profilazione) vengono rilasciati sui sistemi client dei lettori.
I due JavaScript proposti da Google, infatti, non fanno altro che impiantare un cookie tecnico denominato displayCookieConsent. Tale cookie potrà essere eventualmente utilizzato dallo sviluppatore del sito web per bloccare l’esposizione di contenuti che provochino il rilascio di cookie di profilazione.

Seppur in maniera non proprio evidente, a scriverlo è Google stessa: “questi strumenti non sono progettati per garantire da soli il rispetto delle norme, e devono essere utilizzati esclusivamente come parte integrante di una soluzione ampia“.

In altre parole, spetta sempre allo sviluppatore dell’applicazione web che propone i contenuti agli utenti stabilire se, ad esempio, esporre i banner di AdSense (o di qualunque altro circuito adv) o meno, sulla base del consenso (accordato o negato).

Il codice JavaScript scaricabile su ChookieChoices, quindi, non è di per sé una soluzione.

Chi utilizza piattaforme CMS distribuite come software libero può comunque già trovare alcuni plugin utilizzabili per affrontare il problema. Basta cercare sul motore di ricerca di Google, ad esempio, cookie opt-in seguito dal nome del CMS (i.e. WordPress o Joomla) per trovare qualche buon prodotto.

Cookie opt-in

Il Garante Privacy italiano si è orientato su un approccio opt-in: i visitatori di un sito web, infatti, debbono accettare la ricezione degli eventuali cookie di profilazione prima che questi vengano creati sui loro sistemi.
Su alcuni siti web (ci riferiamo ad esempio a quelli della maggior parte delle case automobilistiche) campeggiano già degli avvisi attraverso i quali l’utente viene informato sui cookie utilizzati. In molti casi, tuttavia, tali messaggi non sono sufficienti e non rispettano la nuova normativa perché, nel frattempo, alcuni cookie di profilazione vengono comunque creati.
È facile accorgersene utilizzando Firefox più Firebug oppure il modulo di Chrome che consente di ispezionare la struttura e l’attività di qualsivoglia pagina web.
Non sono sufficienti neppure quei plugin per WordPress, Joomla e per gli altri CMS che permettono semplicemente di gestire l’opt-out (ossia negare l’utilizzo dei cookie in tempi successivi alla loro creazione).

C’è ancora tempo per mettersi in regola

A parte lo strano silenzio che aleggia attorno alla questione cookies, fortunatamente c’è ancora molto tempo per mettersi in regola. Il Garante ha infatti concesso agli edtori (intesi sia come soggetti privati che imprese) dodici mesi di tempo dalla pubblicazione della normativa in Gazzetta Ufficiale (quindi almeno fino a fine maggio 2015).
A questo indirizzo è possibile paragonare quanto previsto nel nostro Paese con la legislazione europea.

In ogni caso, il rischio legato alla visualizzazione di messaggi d’allerta sull’utilizzo dei cookie potrebbe essere quello di intimorire l’utenza, che potrebbe essere indotta ad abbandonare il sito, e – contemporaneamente – portare ad un’ulteriore riduzione degli introiti per la maggioranza di quegli editori web che, sino ad oggi, hanno utilizzato la pubblicità per sovvenzionare le proprie testate ed offrire contenuti gratuiti ai lettori.
Se la normativa non dovesse subire modifiche entro metà del prossimo anno, la platea degli interessati dal nuovo provvedimento sarà vastissima. Anche perché il provvedimento del Garante parla già di sanzioni: da 10.000 a 120.000 euro per coloro che – pur utilizzando cookie di profilazione – non avranno conseguito il consenso degli utenti (vedere questa pagina).

A questo punto, sarebbe auspicabile anche un intervento delle figure che forniscono servizi ai “publisher” (si pensi ad AdSense, Analytics, YouTube,…). L’attivazione di meccanismi che consentano di disporre il blocco dei cookie di profilazione sugli IP client italiani (pur non disabilitando completamente il servizio) aiuterebbe molto i gestori di siti web, soprattutto quelli che non dispongono delle risorse economiche per gestire adeguatamente la questione.