La scorsa settimana, il Garante privacy ha detto no ai cookie per profilazione senza consenso. In pratica i siti web italiani dovranno inserire sulle loro pagine un banner, ben visibile, nel quale viene indicato chiaramente:
- che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
- che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
- un link a una informativa piรน ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove รจ possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti” [ricordo che un link alla privacy policy รจ comunque giร obbligatorio da tempo];
- l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.
L’utente dovrร a quel punto decidere se accettare (ed entrare sul sito) o non accettare (e quindi uscire).
La notizia non ha destato grande scalpore, ma temo invece che – se il provvedimento non verrร ritoccato – gli editori avranno a che fare con dei bei grattacapi quando la cosa diverrร obbligatoria (ovvero fra 12 mesi). Perchรฉ dico questo? Iniziamo col dire che la normativa divide i cookie in 2 categorie, una tollerata e una no.
Cookie Tecnici = SI
Sono tollerati i cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate), i cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso e i cookie di funzionalitร , che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per semplificare, i cookie dei vari sistemi che “contano gli utenti e le pagine visualizzate” e quelli per la gestione del carrello degli ecommerce possono quindi considerarsi salvi.
Cookie di Profilazione = NO
Non sono invece tollerati i cookie di profilazione, ovvero quelli volti a creare profili relativi all’utente e quelli che vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasivitร che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere cosรฌ il proprio valido consenso.
Hai presente il remarketing (o retargeting), ovvero quei simpatici banner che ti inseguono in giro per il web, una volta che per sbaglio sei capitato su un determinato sito? Se li ospiti sul tuo sito (e sei hai i banner di Google AdSense, giusto per fare un esempio a caso, probabilmente li ospiti), devi esporre il bannerone informativo. Il Garante privacy ha predisposto pure un modello di banner da utilizzare, ovvero questo:
Ora, io capisco benissimo i discorsi circa la tutela dell’utente e della sua sacrosanta privacy, e capisco pure che in altri Paesi del mondo norme simili sono giร in uso da parecchio tempo.
Ma se io stampo in mezzo alle pagine di un tipico sito web italiano un bannerone intimidatorio come quello qui sopra, che parla di “profilazione per inviarti pubblicitร ”, “negare il consenso” e una chiosa finale del tipo “se entri lo fai a tuo rischio e pericolo”, immagino il fuggi-fuggi dell’utente medio, al grido di “cos’รจ ‘sta fregatura? adesso questi sanno pure chi sono, e mi mandano a casa la pubblicitร ? spengo tutto e speriamo di non aver preso qualche virus!” .
Qualche lettore potrร obiettare che il bannerone puรฒ essere ridotto ad una lunga strisciolina, e che l’utente puรฒ comunque navigare sul sito anche se non accetta l’informativa, dimenticandosi della strisciolina in testa o in coda alla pagina. Sbagliato! Se l’utente non da il consenso, non puรฒ ricevere i cookie di profilazione, e se non puรฒ riceverli, il sito non puรฒ esporre (ad esempio) pubblicitร in remarketing/retargeting (che ormai รจ uno standard sul web).
Pertanto, da un lato il risultato sarร quello di far scappare gli utenti meno evoluti, intimoriti da una informativa che ai loro orecchi suona a metร tra una minaccia e una truffa. Dall’altro bisognerร accettare che quelli piรน evoluti possano visualizzare i contenuti, SENZA perรฒ vedere la pubblicitร . Oppure si potrร decidere di sbatterli fuori del tutto dal sito, se si pensa che un utente che non visualizza certi banner sia solo un costo e non una risorsa.
Editori cornuti e mazziati insomma: meno visitatori sul sito, meno banner esposti, e quindi meno soldi in cassa. Ne vedremo delle belle…
UPDATE: Google ha predisposto un sito – CookieChoices.org – che fornisce esempi di codice utilizzabili dagli editori desiderosi di rispettare le leggi europee in ambito di cookie.