mobile-phone-426559_640Come avrete notato, i siti web di tutta Europa, quelli italiani in testa, da qualche settimana riportano in alto un banner (piccolo, medio o enorme, a seconda dei casi) che informa l’utente sul fatto che la piattaforma che stanno visitando utilizza i cookie per fare profilazione. Qualcuno di voi è mai andato a leggere fino in fondo di che si tratta? Se l’ha fatto, ci ha capito qualcosa? E se anche entrambe queste condizioni fossero soddisfatte, ha poi optato per non visitare il sito in questione pur di non cedere i propri importantissimi dati di navigazione? Crediamo proprio di no (smentiteci pure, se è il caso).

La novità si deve a un provvedimento dell’Autorità garante per la privacy, che ha recepito una direttiva europea nella maniera più bizantina e confusa che si possa immaginare. Doveva essere un provvedimento a difesa dell’utente, ma alla fine si è risolto in una norma che costringe molti siti web di piccole dimensioni ad adeguarsi (spendendo soldi in consulenze informatiche), per non incappare in una sostanziosa multa (si parte da 6mila euro, ma il garante ha detto che «per ora» non ce ne saranno). Il punto è che inserire un banner che avverta l’utente di ciò a cui va incontro visitando il sito in questione non è particolarmente complicato. Molto di più lo è fare in modo che un certo tipo di cookie non venga installato finché l’utente non dà il consenso. I cookie, infatti, si autoinstallano non appena si accede a un sito internet che integra un certo tipo di servizi (dai video di Youtube ai pulsanti di condivisione sui social network), quindi è tecnicamente molto difficile interpretare alla lettera la norma.

Le vie sarebbero in teoria due: la prima è indirizzare l’utente automaticamente su una pagina neutra, esterna al sito verso cui questi punta, in cui l’utente possa dare o meno il proprio consenso, per poi, eventualmente, arrivare a visualizzare la pagina che gli interessa. L’altra sarebbe fare in modo che il sito permetta di installare sul computer dell’utente solo alcuni cookie (quelli tecnici), escludendo quelli di profilazione. Un passaggio, quest’ultimo, per nulla semplice da gestire e che richiederebbe la consulenza di esperti, con il risultato di indurre molti a rinunciare al proprio sito perché impossibilitati ad affrontare il problema. «In pratica – si legge sul blog di Gianluca Diegoli, finché il visitatore non dà l’ok, il sito dovrebbe rimanere “nudo”, senza widget, embed, bottoni social. Il 1999 praticamente, ma con un’informativa lunghissima. Quindi, nella ricetta italiana, tu, proprietario di blog, sitarello qualunque, devi bloccare i cookie traccianti prima che vengano iniettati nel suo browser. Tu, sì, che manco sai la differenza tra WordPress.com e .org. Che usi Blogspot (vabbè, te la sei un po’ cercata, eh). Tu, che hai un forum da dieci anni che sta in piedi per miracolo, e di cui non hai mai toccato il codice». Anche nel primo caso, comunque, pensate alla frustrazione per l’utente di essere rimbalzato qua e là per il web prima di poter visualizzare correttamente il contenuto cercato.

Il tutto ha un che di surreale, se non fosse che le conseguenze potrebbero essere molto tangibili. Peraltro, la direttiva del garante vorrebbe andare verso la difesa dei dati dell’utente, ma la strategia scelta è del tutto fallimentare. Ovvio infatti che nessuno di noi si sognerà mai di negare il proprio consenso all’installazione dei cookie, qualunque sia il suo obiettivo. Ora però, per poter arrivare a vedere, che so, la home page di Corriere.it, tutti dobbiamo accettare espressamente il fatto che tale sito utilizzi cookie traccianti di profilazione anche di terze parti, mettendo quindi nelle mani di questi ultimi (Google, Facebook, ecc.) il nostro consenso informato all’utilizzo dei nostri dati di navigazione. Autorizzazione che prima, se non altro, non era esplicita (altra domanda retorica: qualcuno di voi è mai andato a vedere le condizioni di servizio dei siti web che visita?).

Per cercare di riportare alla realtà una situazione che resta fuori dai suoi confini, è nata una petizione online che chiede un confronto con l’autorità, in modo da spiegare le ragioni di chi col web lavora davvero. Queste le richieste dei promotori: «che i cookie di statistica anonimizzati siano esenti dall’obbligo di consenso preventivo, in quanto la terza parte non accede ai dati disaggregati di analytics a livello di IP; che venga convocato un tavolo con le comunità di sviluppatori dei principali CMS open source affinché si dia avvio alla creazione di strumenti da rendere disponibili a tutti, anche coloro che non hanno competenze tecniche o disponibilità economica adeguate; che venga stabilito un periodo di tolleranza finché questi strumenti non saranno pronti in cui sia sufficiente il banner con l’informativa breve e la pagina con l’informativa estesa sull’uso di cookie da parte del sito». Da ultimo, giusto per farsi una risata, il blog di Iwa Italia segnala che attualmente il sito del garante della privacy non è a norma con la sua stessa direttiva. Forse anche per questo al momento le multe sono sospese.