La Cooke Law all’italiana

L’hanno chiamata “cookie law” ma la sua versione italiana è più “il biscottino del garante”. In tutti i sensi.

Chiariamo, per l’ennesima volta, in sintesi, cosa è e cosa dovrebbe essere.
La direttiva europea di riferimento è la numero 2009/136 che ha modificato la direttiva “e-Privacy” (2002/58/CE). Le date contano, almeno se ci ricordiamo che già la normativa del 2002 era “vecchia” e che nei sette anni che ci sono voluti per rinnovarla il web è cambiato notevolmente. Un solo esempio: nel 2002 non esistevano nemmeno i social network, e nel 2009 nemmeno si immaginava quanto profonda sarebbe stata la profilazione degli utenti.

In estrema sintesi l’Europa dice agli stati, che scaricano sugli utenti, un concetto molto semplice: esistono dei sistemi che raccolgono i dati di navigazione, e lo fanno a scopo commerciale (ad esempio suggerire altri acquisti, conoscere le abitudini e i gusti degli utenti etc.): questi sistemi vanno tutti autorizzati esplicitamente.
Fatta la legge trovato immediatamente l’inganno, e in questo caso l’inganno era insito nella normativa per almeno due motivi di fondo: il primo, che nessuno vuole mettersi contro le grande aziende del web, da Google a Facebook. L’effetto è stato fare una legge sostanzialmente inutile che serve a dire che della privacy ci si è occupati. Ma è una norma che non limita nulla, anzi favorisce i Big, perché per come è stata concepita sostanzialmente se vuoi continuare a usare “GMail fai click qui” e se non accetti non ti faccio usare un servizio, oppure Facebook, che ti dirà “accetta o non accedi al tuo profilo”. In concreto, chi mai dirà no? E in sostanza BigG si mette in regola, come la coscienza del Garante.
E qui veniamo al secondo motivo, l’ignoranza e incompetenza del legislatore europeo in materia. E su questo non ci sono mediazioni o declinazioni che addolciscano la pillola. Non comprendere un fenomeno, e pretendere di trattare il web (per sua natura mondiale) come qualsiasi fenomeno della old economy.

Nemmeno questo tema è nuovo, ed esattamente due anni fa ne scrissi a proposito dell’istruttoria dei Garanti Privacy di alcuni paesi europei sui servizi di Google, che già all’epoca rispose “La nostra normativa sulla privacy rispetta la legge europea e ci permette di creare servizi più semplici e più efficaci. Siamo stati costantemente in contatto con le diverse autorità coinvolte nel corso di questa vicenda e continueremo a esserlo in futuro”.

Quanto grande fosse questo mercato e quali forze in campo stavano combattendo una vera e propria guerra per aggiudicarselo era chiaro già leggendo cosa davvero ci fosse “sotto” il Datagate, e da quel momento il rapporto tra i “giganti del web” e le istituzioni di regolamentazione è stato non solo “da pari a pari” ma qualche volta con i soggetti privati in posizione di decisivo vantaggio.
Il messaggio era chiaro: “ci fate la morale e volete limitare la nostra profilazione commerciale, mentre voi per primi non solo fate di peggio, ma ascoltate anche arbitrariamente telefonate e leggete le mail di chiunque, anche senza scopo o necessità”.

Cosa è cambiato questa volta? Lo aveva spiegato molto bene e dettagliatamente (con alcune immagni e indicazioni utili) Francesco Panico su blogfacile.net a maggio “Per rispettare la nuova normativa, è necessario implementare un banner con una informativa breve da mostrare all’utente alla sua prima visita, preparare una pagina con l’informativa completa sulla privacy e richiedere all’utente il consenso all’installazione dei cookie “di profilazione”. La nuova legge specifica chiaramente che nessun cookie può essere installato, ad eccezione dei cookie tecnici, prima che il consenso venga fornito dall’utente. Quindi, stop all’uso libero dei cookie di profilazione.

In proposito il Garante, un po’ alla wikipedia, aveva chiarito che i cookie “tecnici” sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure […] e i cookie “di profilazione” sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
Continua Panico “Implementare un banner che avvisa gli utenti dell’uso dei cookie non è difficile. Il vero problema è la notificazione dei cookie di profilazione che dovrà essere effettuata telematicamente attraverso questa pagina e comporterà il pagamento di spese di segreteria che ammontano a circa 150,00€. Omettere questa notificazione espone i proprietari dei siti web a multe che vanno da 20.000€ a 120.000€.”
E come previsto, la bomba è stata lanciata e i dibattiti si sono scatenati.

Un esempio per tutti è il post di Claudia Vago, che ha scritto lanciando la campagna contro questa normativa “Oggi entra in vigore la Cookie Law. Il tuo sito è in regola? Te lo dico io: no. E non lo è nemmeno questo blog. Anche se togliessi i bottoni per la condivisione social, sparsi qua e là ci sono video embeddati da YouTube. Nel post prima di questo, per esempio, c’è un video preso da Sky. E quel video lì vi installa un cookie di Sky e io non so cosa fa quel cookie lì, probabilmente profila ad uso e consumo di Sky e della sua pubblicità.”

Il punto vero in tutta questa questione è anche in questo caso – come tutte le volte che ho affrontato il tema della privacy applicata al web – sul rapporto tra obiettivo vero e obiettivo dichiarato, e sul come ci si approccia al web ed a come fare le eventuali norme che lo regolamentano.

Se il tuo problema è la profilazione, non è una questione di scrivere migliaia di pagine di normative e distinguo: esisteranno sempre e ovunque avvocati che troveranno il modo per fare un banner che bypassa lo scopo della norma.
Perché – mi chiedo e chiedo un po’ a tutti – fare un click o chiudere questi banner durante la navigazione, tutela in qualche modo davvero l’utente o limita la profilazione sostanzialmente? Sappiamo bene tutti che la risposta è chiaramente no.

Se il tuo problema è impedire le macroraccolte di macrodati, è semplice, basta vietarli e basta: non puoi fare questa cosa. Punto. Se una cosa è vietata lo è e basta, non è che ci può essere un banner che te la rende legittima. Peggio ancora in un web in cui le aziende hanno sedi legali e amministrative in qualsiasi paese del mondo, e se il dato viene reso residente altrove e gestito in un altro luogo ancora e conservato in un altro continente ulteriore, allora si, la normativa nazionale anche in tema di sanzionabilità conta davvero poco.

Se il tuo problema è il controllo sui cookie, beh di certo questi non vengono programmati o gestiti da un utente medio (che non sa nemmeno come sono fatti questi discottini), e allora invece di delegare una spesa di 150 euro per “spese di segreteria” al singolo titolare del singolo sito – nella peggiore delle tradizioni iper burocratiche nazionali, in un paese in cui solo il 5% delle aziende è davvero sul web con una attività reale (lasciamo stare i siti vetrina) – se davvero ti interessa la privacy, imponi la procedura ai titolari dei coockie, chiedilo a Google, a Facebook, a Twitter, ad Amazon eccetera…
Sono loro che li programmano, sono loro che li “embeddano” sono loro che devono essere autorizzati, non certo l’ultimo blogger su wordpress che non sa nemmeno che li usa perché per avere uno straccio di report sugli accessi al suo sito usa Analitycs.

Infine c’è una questione di Privacy che va posta al Garante e riguarda se stesso.
E’ come se si stesse dicendo a tutto il web italiano di comunicare ad un’unica banca dati che strumenti usano, quali applicativi, quali cookie e quali dati raccolgono. E che titolo ha il Garante per questa raccolta dati commerciali? Quali garanzie abbiamo – tutti – che questo macrodato (che ha una rilevanza strategica ed economica enorme) non finisca nelle mani degli stessi giganti del web? Perché una cosa è che Google sappia, sito per sito, tutti i siti che usano il suo coockie di analitycs (e potrebbe risolvere la questione in un secondo comunicandola al Garante direttamente pagando per tutti i famosi 150 eurini una volta sola), ben altra è che Google sappia tutti gli altri cosa usano e come… E se non vogliono dirglielo saranno già problemi di privacy loro, non certo del Garante.