I cookie e la rete

Con l’ennesimo provvedimento generale, pubblicato l’8 maggio 2004 e più volte richiamato da successivi comunicati stampa e chiarimenti, il Garante Privacy ha inteso tracciare le linee guida per un corretta informazione agli utenti sull’uso che ciascun sito web fa dei cookie e per la contestuale acquisizione del consenso al trattamento dei dati personali eventualmente gestiti durante la navigazione.

Una prima domanda sorge spontanea analizzando la navigazione sul web: perchè solo in Italia?

E deve propendersi, purtroppo, per una risposta che suscita un sorriso di approvazione ma, al tempo stesso, porta a giudicare impietosamente il comportamento delle istituzioni italiane: perchè solo noi abbiamo, in ogni Ente, Autorità o persona giuridica pubblica, un “Ufficio Complicazione Affari Semplici”.

Chi naviga abitualmente nel web internazionale oggi distingue chiaramente i siti italiani da quelli degli altri paesi europei, non per la presenza del tricolore (che probabilmente susciterebbe ammirazione per l’amor di patria) ma per la visualizzazione di banner multicolore che ostacolano la navigazione per mostrare la c.d. “informativa semplificata” ed acquisire un consenso (il più delle volte obbligatorio, salvo voler rinunciare a visitare il sito) che ha fatto crollare sensibilmente gli accessi degli utenti, infastiditi da tale avviso.

Ce n’era davvero bisogno? La normativa italiana prende spunto da quella europea, alla quale evidentemente gli altri paesi non si sono adeguati, oppure, come al solito, è l’Italia ad essersi adeguata in malo modo, considerando in suoi utenti non sufficientemente alfabetizzati, dal punto di vista informatico, da comprendere l’uso dei cookie e da scegliere consapevolmente se mantenerli o cancellarli dopo aver visitato un sito web (per tacer dei vari programmi che lo fanno automaticamente e che, se installati, garantirebbero la riservatezza dei dati degli utenti molto più di un semplice avvertimento “disturbante”).

I complottisti direbbero che si tratta dell’ennesimo espediente finalizzato a fiaccare la nostra economia a vantaggio di quella di altri Stati dell’Eurogruppo e, a ben vedere, come dar loro torto, dopo un un provvedimento che rende sensibilmente più ostica la navigazione a fronte di un teorico vantaggio, per i presunti soggetti da tutelare, che si traduce nell’accettazione incondizionata di qualsiasi disclaimer?

In effetti, si è già manifestata una variazione dei comportamenti, con lo spostamento degli utenti sulle versioni internazionali di alcuni siti web e con l’accettazione automatica della richiesta di consenso al trattamento da parte degli utenti italiani, ormai in stato di ebbrezza da abuso di banner informativi.

Se nei vari messaggi che popolano la Rete italiana venissero inserite delle barzellette o dei termini volgari, probabilmente nove navigatori su dieci neppure se ne accorgerebbero, essendosi già abituati a far click rapidamente sul tasto “ok” per proseguire nella navigazione.

Con l’effetto diseducativo, tutt’altro che secondario, di non dar peso alcuno a qualsiasi tipo di messaggio veicolato con lo stesso sistema, come se si trattasse di una pubblicità eccessivamente invasiva, disattendendo anche quel minimo di prudenza che, invece, sarebbe opportuno nel visitare un sito che sconosciuto o di fonte incerta. Una soluzione, in sostanza, che ottiene l’effetto contrario a quello che si voleva perseguire. Un eccesso di informazione che si traduce nella più totale disinformazione o, meglio, nel rifiuto dell’informazione ormai ridondante.

Esaminando il provvedimento si nota immediatamente una incongruenza dei contenuti rispetto alle premesse, che si manifesta poi nel web con l’apposizione dei banner, come già detto, solo sui siti italiani: le norme europee non obbligano gli utilizzatori di cookie a manifestare in modo così evidente l’informativa semplificata e la richiesta di consenso al trattamento ma auspicano, invece, un consenso informato, che presuppone una cultura dell’informazione e dell’informatica.

Solo a titolo d’esempio, la Direttiva Europea 2002/58/CE, relativa alle modalità di accesso ai servizi telefonici e telematici, utilizza il condizionale per evidenziare la necessità di informare e rendere edotto il consumatore della possibilità di proteggere le informazioni che lo riguardano, anche attraverso tecniche di cifratura dei dati.

A carico del fornitore di servizi pone invece l’obbligo di garantire la sicurezza dei dati trasmessi in rete dalla cognizione non autorizzata da parte di terzi.

Al punto 25, la Direttiva tratta esplicitamente dei cookie, indicandoli uno strumento legittimo di analisi del funzionamento dei siti web ed evidenziando che l’utente dovrebbe essere informato del loro utilizzo, anche al fine di negare il consenso alla loro installazione.

La Direttiva 2009/136/CE, richiamando al punto 51 la già citata Direttiva 2002/58/CE, da un lato ribadisce la necessità di tutela dei dati personali degli utenti dei servizi di comunicazione elettronica rispetto al trattamento da parte di terzi, dall’altro evidenzia l’opportunità di creare una cultura della sicurezza incentrata sulla valutazione e catalogazione degli incidenti, al fine di formare ed informare i cittadini, diffondendo le buone prassi che hanno consentito di ottenere i migliori risultati nella pratica quotidiana.

Punta il dito, l’Unione Europea, non tanto sulla possibilità che, attraverso i cookie, possano lasciarsi tracce sul computer dell’utente – che qualcun altro, successivamente, potrebbe leggere, anche per fini di profilazione – quanto sulla minaccia costituita da software che registrano le azioni e le abitudini degli utenti a loro insaputa.

In relazione ai cookie, anche la seconda Direttiva ricorda che possono verificarsi tentativi, da parte di terzi, di archiviare informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a notizie già archiviate da altri, ma ribadisce, innanzitutto, che non è necessario alcun consenso nelle ipotesi di memorizzazione di informazioni di natura tecnica, necessarie per il funzionamento di un sito o di un servizio al quale l’utente ha chiesto di poter accedere (richiesta che è insita nella chiamata al sito) e che, in ogni caso, il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione. La Direttiva presuppone, cioè, che per l’utente sia normale configurare il suo browser per accettare, filtrare o rifiutare i cookie.

Il Legislatore Europeo sembra quindi voler affermare che è necessaria una cultura della sicurezza delle informazioni e della prevenzione degli incidenti informatici, che non può essere garantita da un banner proiettato ad ogni primo accesso ad un determinato sito web ma deve costituire il risultato di un lungo percorso di alfabetizzazione informatica, fin dai primi anni di scuola.

Un utente avveduto sa come configurare il proprio browser per accettare solo determinate categorie di cookie o per non accettarne affatto, sa come proteggersi da virus e malware, sa come rimuovere le informazioni che reputa riservate al termine della navigazione (password e user id memorizzate nell’accesso ai vari servizi), sa come ripristinare il programma che utilizza per consultare Internet al fine di cancellare la cronologia e la cache, che possono risultare ben più invasive del semplice cookie.

Un utente disattento o semplicemente ignorante (nel senso che ignora le più elementari cautele) cederà volontariamente quanto inconsapevolmente molte più informazioni di quante possa acquisirne un eventuale malintenzionato semplicemente utilizzando i cookie.

Che molte aziende utilizzino i c.d. “biscottini” per profilare gli utenti e adeguare le offerte commerciali alle ricerche effettuate su Internet è circostanza della quale un navigatore dovrebbe accorgersi semplicemente notando che Facebook propone, a margine del diario, prodotti analoghi a quelli cercati o consultati su Amazon qualche istante prima. Ripristinando le impostazioni di default del programma di navigazione e tornando ad utilizzare Facebook, la pubblicità torna ad essere casuale.

Da tale analisi si può dedurre che il trattamento si svolge in forma anonima, altrimenti al successivo accesso tramite Facebook, il sistema dovrebbe associare nuovamente i dati dell’utente a quelli registrati in precedenza; si può dedurre anche che il cliente ha il controllo della situazione, poiché potrebbe anche cancellare tutti i dati ad ogni utilizzo o impostare il browser per farlo automaticamente

Un disclaimer, ancorchè dotato di richiesta di consenso al trattamento, nulla aggiunge alla sicurezza di tale navigatore, sia perchè l’accesso alla maggior parte dei siti è sempre condizionato al deposito del cookie, sia perchè sa già in precedenza come tutelarsi.

Viceversa, è l’u-tonto che deve preoccupare il Legislatore, poiché, al soggetto che ignora perfino cosa siano i cookie, sia l’informativa semplificata che il consenso al trattamento risulteranno talmente ostici ed incomprensibili da essere inutili e comunque superflui rispetto all’obiettivo da raggiungere, dato che sarà già stato profilato abbondantemente da servizi ai quali egli stesso ha chiesto di accedere.

Un esempio per tutti potrà meglio inquadrare il fenomeno ed il problema: su Facebook impazza da qualche mese la tendenza a sottoporsi ad ogni tipo di test per scoprire somiglianze con attrici e attori, personaggi di film e fumetti, animali reali e mitologici, date di presumibili eventi (dal matrimonio alla morte, dall’incontro con gli Ufo alla vincita dell’Oscar, ecc.).

Qualche tempo fa le richieste di confrontarsi con quiz di vario genere riguardavano aspetti della vita quotidiana come andare in auto, in moto, in treno, preferire nell’acquisto determinati tipi di cibo o bevande, scegliere la possibile meta della vacanza da sogno o del fine settimana più ricercato.

Contemporaneamente si moltiplicano i profili di controinformazione, dedicati a diete e cure alternative per patologie di vario genere, a consigli della nonna o suggerimenti su come piegare magliette o sbucciare banane, e così via in un crescendo di specchietti per allodole che hanno l’unico scopo di tracciare un profilo dettagliato e preciso del soggetto che si cimenta nelle risposte o che accede a determinate informazioni, eventualmente condividendole o apprezzandole con il classico “like”.

Ebbene, alla luce di quanto sopra, non sembra che sia il cookie tecnico (o anche quello di profilazione) il principale problema del cittadino italiano rispetto al trattamento dei dati personali.

Senza considerare, ovviamente, il rischio connesso alla frequentazione di siti a contenuto pornografico, dai quali proviene la maggior parte dei rischi connessi al prelievo di virus, malware e spyware di vario genere, o di siti contenenti programmi e opere cinematografiche protette dal diritto d’autore, rigorosamente distribuite il modo illecito e in forma gratuita assieme ad una quantità industriale di backdoor e programmi di accesso remoto alle informazioni del malcapitato navigatore.

Ad abundantiam, è appena il caso di sottolineare che, ancora oggi, la maggior parte degli utenti utilizza sistemi privi di firewall e antivirus o, quantomeno, dimentica spesso di aggiornarli, vanificandone la protezione, e che la crescente diffusione di smartphone e tablet amplifica in modo esponenziale il rischio di perdita di dati e di riservatezza (anche per il rischio di furto o smarrimento).

Nel tornare all’oggetto della dissertazione, occorre ricordare che la profilazione degli utenti era soggetta all’acquisizione del consenso degli interessati e alla notifica al Garante, ex art. 37, D.Lgs. 196/2003, a prescindere dal provvedimento di carattere generale emesso nel mese di giugno 2014, il quale, peraltro, costituisce comunque un documento con delle linee guida, vincolante per i destinatari solo nella misura in cui, osservandolo pedissequamente, subiscono un sinistro e possono dimostrare di aver adempiuto correttamente alle indicazioni dell’Autorità. Al contrario, discostarsi dalla prassi indicata dal Garante non comporta automaticamente l’irrogazione della sanzione ma la necessità di spiegare i motivi della diversa interpretazione data alla norma di riferimento, che resta il Codice della Privacy.

Dopo tale lunga premessa – all’esito della quale, ovviamente, sarebbe interessare conoscere le ragioni che hanno determinato un simile impegno di tempo e risorse per un problema che è solo marginale rispetto agli altri già delineati, e le ulteriori ragioni che, invece, hanno indotto il Legislatore Italiano e l’Autorità Garante per la Privacy ad ignorare, ad esempio, la formazione nelle scuole di ogni ordine e grado, università incluse – è opportuno delineare brevemente quali adempimenti sono effettivamente a carico dei gestori italiani di siti web che utilizzano cookie tecnici, di profilazione, di terze parti.

Il cookie tecnico, necessario per migliorare l’esperienza di navigazione ed attivare programmi ed opzioni, senza trattamento dei dati personali dell’utente o con trattamento in forma anonima, non necessita di alcun banner e di alcun consenso preventivo da parte dell’utente, potendosi ritenere assolto ogni obbligo informativo con la privacy policy del sito.

I cookie che eseguono l’analisi della navigazione e dei comportamenti degli utenti sono assimilati a quelli tecnici (nessun banner, nessun consenso), anche se forniti da terze parti, quando si limitano migliorare la fruibilità del sito per caricare più velocemente le informazioni e utilizzano tecniche di anonimizzazione, anche parziale, che impediscono il trattamento dei dati dell’utente anche ai fini della connessione con altri dati.

I collegamenti a risorse esterne, tramite link, banner pubblicitari, collegamenti a social network non sono soggetti all’obbligo di informazione ed acquisizione del consenso nell’ipotesi in cui non richiedano l’installazione di cookie di profilazione.

In sostanza, l’obbligo di utilizzare un banner informativo, che avverta l’utente dell’installazione di cookie di profilazione, evidenziando che qualsiasi attività di prosecuzione della navigazione diversa dalla chiusura del browser comporterà consenso esplicito al trattamento, esiste solo nei confronti dei soggetti che, dichiaratamente, trattano i dati dell’utente per tracciarne i comportamenti e rilevarne le abitudini, al fine di costruirne un profilo dettagliato da utilizzare per ragioni commerciali.

In tal caso, il consenso potrà essere richiesto anche per singole categorie di dati e sarà comunque necessario procedere alla notifica del trattamento all’Autorità Garante per la Privacy, ai sensi dell’art. 37, D.Lgs. 196/2003 (come del resto era necessario fare anche in precedenza).

Un chiarimento opportuno, anche se non necessario, riguarda la possibilità di effettuare una sola notifica per tutti i siti web gestiti nell’ambito dello stesso dominio (all’evidente fine di limitare il versamento dei diritti di segreteria).

Qualche perplessità, invece, desta l’obbligo di ottemperare per quei soggetti che, pur non avendo sede in Italia, sono tecnicamente in grado di scaricare cookie sui computer degli utenti italiani, sia per la difficoltà di pretendere un simile adempimento da parte di soggetti estranei alla giurisdizione italiana, sia per la oggettiva difficoltà di procedere con l’irrogazione delle eventuali sanzioni.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *