La scorsa settimana, il Garante privacy ha detto no ai cookie per profilazione senza consenso. In pratica i siti web italiani dovranno inserire sulle loro pagine un banner, ben visibile, nel quale viene indicato chiaramente:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti” [ricordo che un link alla privacy policy è comunque già obbligatorio da tempo];
  4. l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

L’utente dovrà a quel punto decidere se accettare (ed entrare sul sito) o non accettare (e quindi uscire). La notizia non ha destato grande scalpore, ma temo invece che – se il provvedimento non verrà ritoccato – gli editori avranno a che fare con dei bei grattacapi quando la cosa diverrà obbligatoria (ovvero fra 12 mesi). Perché dico questo? Iniziamo col dire che la normativa divide i cookie in 2 categorie, una tollerata e una no.

Cookie Tecnici = SI

Sono tollerati i cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate), i cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso e i cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso. Per semplificare, i cookie dei vari sistemi che “contano gli utenti e le pagine visualizzate” e quelli per la gestione del carrello degli ecommerce possono quindi considerarsi salvi.

Cookie di Profilazione = NO

Non sono invece tollerati i cookie di profilazione, ovvero quelli volti a creare profili relativi all’utente e quelli che vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso. Hai presente il remarketing (o retargeting), ovvero quei simpatici banner che ti inseguono in giro per il web, una volta che per sbaglio sei capitato su un determinato sito? Se li ospiti sul tuo sito (e sei hai i banner di Google AdSense, giusto per fare un esempio a caso, probabilmente li ospiti), devi esporre il bannerone informativo. Il Garante privacy ha predisposto pure un modello di banner da utilizzare, ovvero questo:

Modello di banner No Cookie del Garante privacy

Ora, io capisco benissimo i discorsi circa la tutela dell’utente e della sua sacrosanta privacy, e capisco pure che in altri Paesi del mondo norme simili sono già in uso da parecchio tempo. Ma se io stampo in mezzo alle pagine di un tipico sito web italiano un bannerone intimidatorio come quello qui sopra, che parla di “profilazione per inviarti pubblicità”, “negare il consenso” e una chiosa finale del tipo “se entri lo fai a tuo rischio e pericolo”, immagino il fuggi-fuggi dell’utente medio, al grido di “cos’è ‘sta fregatura? adesso questi sanno pure chi sono, e mi mandano a casa la pubblicità? spengo tutto e speriamo di non aver preso qualche virus!” Qualche lettore potrà obiettare che il bannerone può essere ridotto ad una lunga strisciolina, e che l’utente può comunque navigare sul sito anche se non accetta l’informativa, dimenticandosi della strisciolina in testa o in coda alla pagina. Sbagliato! Se l’utente non da il consenso, non può ricevere i cookie di profilazione, e se non può riceverli, il sito non può esporre (ad esempio) pubblicità in remarketing/retargeting (che ormai è uno standard sul web). Pertanto, da un lato il risultato sarà quello di far scappare gli utenti meno evoluti, intimoriti da una informativa che ai loro orecchi suona a metà tra una minaccia e una truffa. Dall’altro bisognerà accettare che quelli più evoluti possano visualizzare i contenuti, SENZA però vedere la pubblicità. Oppure si potrà decidere di sbatterli fuori del tutto dal sito, se si pensa che un utente che non visualizza certi banner sia solo un costo e non una risorsa. Editori cornuti e mazziati insomma: meno visitatori sul sito, meno banner esposti, e quindi meno soldi in cassa. Ne vedremo delle belle… UPDATE: Google ha predisposto un sito – CookieChoices.org – che fornisce esempi di codice utilizzabili dagli editori desiderosi di rispettare le leggi europee in ambito di cookie.

ATTENZIONE: dal 2 giugno 2015, il provvedimento generale del Garante privacy è legge. Qui trovi un nuovo articolo che spiega tutti i dettagli della cosiddetta “cookie law“.
Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.