Se possiedi o gestisci un sito o un blog e non hai ancora attuato le disposizioni normative del provvedimento del Garante 229/2014 sappi che puoi incorrere in multe piuttosto salate, sebbene il provvedimento si sia rivelato del tutto iniquo, obsoleto ed inefficace in termini di tutela della privacy, oltre che mal contestualizzato, difficilmente comprensibile e palesemente vessatorio per gli utenti.

Il 2 giugno 2015 è entrato in vigore il Provvedimento del Garante Privacy dell’8 maggio 2014, eppure pochi fra i non addetti ai lavori se ne sono accorti. Il provvedimento detta le modalità semplificate per l’informativa e l’acquisizione del consenso sull’uso dei cookie nel Web in nome della tutela della privacy di utenti e visitatori del Web.

Qualcuno di voi avrà notato quel nuovo banner di avviso che appare su (quasi) tutti i siti visitati e che tratta di privacy, cookie o qualcosa del genere. Quanti di coloro che l’hanno notato hanno approfondito e pienamente compreso perché da qualche tempo questi banner hanno fatto la loro comparsa sui siti web?

Quanti proprietari di un sito o di un blog hanno capito che dovevano anch’essi adeguarsi alla normativa, in molti casi con obbligo di segnalazione al Garante al costo di ben 150 euro, pena il rischio di subire multe da 6.000 a 120.000 euro? Quanti, fra coloro che l’hanno capito, hanno effettivamente posto in essere tutte le misure necessarie ad essere pienamente conformi alle disposizioni normative?

A chi non aveva ancora appreso questa notizia e, possedendo o gestendo un sito web, ha appena fatto un balzo sulla sedia o non riesce più a reggere il tablet perché preso dal delirium tremens, consiglio di leggere attentamente il testo del provvedimento n. 229/2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014”, le relative FAQ in materia di cookie e il successivo documento di chiarimenti denominato “Chiarimenti in merito all’attuazione della normativa in materia di cookie“.

A chi ha particolarmente fretta, consiglio invece di leggere con altrettanta attenzione le poche pagine dell’utilissimo kit di implementazione della Cookie Law prodotto da Netcomm, DMA, Fedoweb, IAB e UPA, oltre all’articolo “CookieLaw, altre 5 cose da sapere dopo i chiarimenti del Garante“. Qui l’ottimo sito informativo Assocookie dal quale è possibile scaricare il summenzionato kit e un’infografica molto chiarificatrice.

Per tenersi sempre aggiornati sulla propria situazione in merito alla disattivazione dei cookie dai servizi di terze parti consiglio l’utilissimo servizio “Your Online Choices“, una guida sulla pubblicità comportamentale e la privacy online. Nella sezione “Le tue scelte” è possibile consultare, in un’unica lista, la propria situazione sulla disattivazione (opt-out) dei singoli servizi web che raccolgono e utilizzano informazioni utili alla fruizione della pubblicità comportamentale.

Se avete un vostro sito o blog, oppure se gestite il sito della parrocchia, di un’associazione o di un ente privato di utilità sociale, è il momento di informarsi su come rispettare al meglio le norme del Garante per evitare multe particolarmente salate.

L’iniquità del provvedimento nel contesto attuale

A due giorni dall’entrata in vigore è possibile notare come moltissimi siti, in particolare quelli di singoli privati e piccole organizzazioni, non siano ancora minimamente in regola con il provvedimento 229/2014 del Garante. Non è difficile immaginare come il ragazzino adolescente che scrive sul proprio diario online, la casalinga di Voghera che ha un blog di cucina o l’appassionato di modellismo che ha un sito sul tema non abbiano la più pallida idea di cosa preveda il provvedimento, né di come potersi mettere in regola sia dal punto di vista tecnico che da quello squisitamente formale.

Non è difficile nemmeno prevedere che il ricorso al fatidico banner di avviso sull’uso dei cookie e sulla politica di privacy adottata risulterà del tutto inefficace. La quasi totalità dei visitatori, soprattutto gli immigrati e i tardivi digitali tipicamente poco avvezzi a notare dettagli di così poco conto, nemmeno si accorgerà della presenza del banner, mentre quei pochi che lo noteranno si affretteranno a chiuderlo per incomprensione, fastidio o semplice paura (avevo un collega, molto tempo fa, che si affrettava a chiudere i popup di avviso, ovviamente senza leggerne il contenuto, perché gli causavano ansia).

La normativa prevede che l’utente visitatore debba conoscere nel dettaglio quali informazioni che lo riguardano vengono registrate in questi piccoli file testuali, perlopiù illeggibili ai profani, denominati appunto “cookie”, creati dal proprio browser e archiviati nel disco fisso del computer. Si, perché di computer stiamo parlando, visto che la normativa interessa il binomio computer-browser e non tocca minimamente un ambito in rapidissima espansione come quello del mobile.

Inoltre, l’informativa fornita ad utenti e visitatori sull’uso dei cookie e sul trattamento dei dati deve essere chiara, completa, esaustiva e resa ben visibile sul proprio sito. Purtroppo, essa non tiene conto del fatto che il 90% dei blogger e dei proprietari di siti web non ha la minima idea di come allestire l’informativa, di quali cookie effettivamente utilizza e come installare tecnicamente il banner di avviso con i relativi pulsanti di accettazione e rimando all’informativa estesa.

Oltre che palesemente obsoleta e di difficile attuazione, la normativa si rivela alquanto iniqua e, di conseguenza, del tutto inefficace nel tutelare la privacy di utenti e visitatori del Web. Anzi, molti utenti del Web saranno erroneamente indotti a pensare che i cookie (che esistono dal lontano 1994) siano una qualche diavoleria moderna escogitata dagli hacker al pari dei virus informatici, oppure che la rete Internet è diventata ancora più pericolosa di prima.

Sarebbe stato molto più efficace obbligare i produttori di browser di navigazione, come Google, Apple, Microsoft, Mozilla e Opera, ad introdurre il blocco dei cookie come impostazione di default dei propri software, obbligando l’utente a rimuovere manualmente il blocco per specifici siti e servizi Web, inducendolo ad esprimere contestualmente il proprio consenso all’uso dei cookie.

Sarebbe stato molto più efficace contemplare un’analoga misura restrittiva anche per le app mobili, che non usano i cookie (tecnologia obsoleta legata al vecchio mondo dei computer fissi), bensì i ben più persistenti Adv ID, e che richiedono all’utente di accedere, spesso senza motivazione, ai contenuti privati (contatti, foto, video, cronologia, calendario, geolocalizzazione, ecc.), oppure regolamentare gli App Store che non sono ancora sottoposti ad alcuna normativa di tutela della riservatezza degli utenti.

Sarebbe stato molto più efficace regolamentare la raccolta e l’uso delle informazioni da parte di grandi portali, siti di e-commerce, motori di ricerca, social media, piattaforme di comunicazione (Whatsapp, Messenger, ecc.) e servizi di cloud computing (Google Drive, Dropbox, Apple iDrive, ecc.) che, grazie a moderne tecnologie informatiche come il device fingerprinting, non devono più nemmeno far ricorso ai cookie per ricostruire l’attività degli utenti e profilarli in termini di comportamento e preferenze.

Sarebbe stato molto più efficace regolamentare la raccolta e l’uso dei dati di navigazione nei log degli ISP (Internet Service Provider), sia fissi che mobili, che rappresentano un rischio enormemente maggiore in termini di privacy per gli utenti della Grande Rete.

Per non parlare di quante informazioni personali e sensibili vengono raccolte su cittadini e nuclei famigliari da parte della GDO (Grande Distribuzione Organizzata), cioè supermercati, grandi magazzini e centri commerciali, attraverso le famigerate tessere fedeltà che consentono di ricostruire fedelmente il profilo sociale, alimentare, igienico e sanitario dei rispettivi possessori.

Tutto ciò in un contesto sociale che, in tema di privacy, si rivela ogni giorno sempre più distratto e lontano dalle più minime misure di riservatezza, anche quelle semplicemente dettate dal buon senso. Un contesto in cui la maggioranza delle persone pubblica in continuazione informazioni personali, contenuti multimediali e altri dati relativi a sé stessi e ai propri cari su blog, social media e canali video, senza impostare alcuna restrizione d’accesso e senza minimamente preoccuparsi delle possibili conseguenze.

Un contesto in cui i nostri dispositivi informatici e digitali sono farciti di sistemi operativi, applicazioni e servizi che crediamo essere gratuiti, ma che in realtà paghiamo con la concessione totale e senza esclusioni delle nostre informazioni personali, sociologiche, demografiche, psicografiche e comportamentali. Giusto ieri Microsoft mi ha informato che la prossima versione del loro sistema operativo, Windows 10, sarà scaricabile gratuitamente a partire dal 29 luglio, chissà come mai…

Se non l’avete mai fatto, poi, vi invito a leggere (per una volta) le condizioni d’uso dei grandi portali come Google, dei social media come Facebook, oppure delle piattaforme di comunicazione e di cloud computing.

Al limite ci può consolare il fatto che le informazioni raccolte da questi soggetti assumono un senso solo se analizzate in massa e vengono da essi utilizzate soprattutto per questioni pratiche, cioè per definire quanti prodotti ordinare, quali trend di mercato considerare, quali prezzi praticare e così via. Insomma, per quasi tutti i soggetti che si alimentano di informazioni personali noi, presi singolarmente, non contiamo granché.

Inoltre, molti specialisti di marketing non sanno minimamente svolgere il proprio ruolo (d’altronde solo pochi soggetti si spingono a fare del marketing come si deve) perciò quasi sempre veniamo commercialmente ignorati, a meno che non ricadiamo fra le vittime del caro vecchio volantinaggio diffuso sul territorio.

In definitiva, questo provvedimento è grossolanamente indirizzato, mal contestualizzato e palesemente vessatorio nei confronti dei privati cittadini, delle associazioni e delle PMI, molti dei quali già soffrono di difficoltà economiche, oltre che terribilmente inefficace in tema di tutela della privacy individuale. Verrebbe da pensare che il vero scopo risieda nel diffuso ricorso alla dichiarazione al Garante a pagamento che fornisce maggiori garanzie di non incorrere in pesanti sanzioni, oppure nel relegare i normali cittadini alla penalizzante condizione di ricattati per limitarne ulteriormente la libertà d’espressione dopo il Regolamento AGCOM 2014 a tutela del diritto d’autore.

Per quanto riguarda la nostra privacy, se proprio volessimo seriamente preoccuparci, dovremmo farlo nei confronti degli organi governativi e militari, che hanno pieno accesso a qualsiasi dato venga prodotto, trasmesso o archiviato sui di noi, su qualsiasi piattaforma esso si trovi, senza dover sottostare ad alcun controllo o regolamentazione. Ma questa è un’altra storia…

Ettore Guarnaccia

(Articolo aggiornato in data 18 giugno 2015)