La “cookie law” è in vigore. Complicazione burocratica o opportunità digitale?

Entrato in uso il provvedimento che obbiga i siti a raccogliere preventivamente il consenso all’uso dei cosidetti “cookie di profilazione” che servono (o possono servire) per l’erogazione di pubblicità mirata. Ecco le novità

di Simone Freddi
03 giugno 2015
Cookie-Law

A un anno esatto dalla pubblicazione nella Gazzetta Ufficiale (ma in tanti si erano persi nel count-down) mercoledì è entrata in vigore la cosiddetta “Cookie law”, ossia l’obbligo per i siti internet – tutti: dai maggiori ecommerce al piccolo blog verticale – a raccogliere preventivamente il consenso all’uso dei cosidetti “cookie di profilazione”, ossia quelli che servono (o possono servire) per l’erogazione di pubblicità mirata.

In breve, con l’entrata in vigore della cookie law, dal 2 giugno non è più possibile installare cookie di profilazione (mentre per quelli “tecnici”, ossia che servono per il corretto funzionamento del sito, non c’è problema) non prima di:

  • Aver predisposto e mostrato all’utente un banner informativo
  • Aver predisposto e mostrato all’utente una cookie policy
  • Aver richiesto il consenso agli utenti

Per chi non si fosse adeguato, IAB Italia, DMA Italia, Fedoweb, Netcomm, UPA hanno realizzato un vademecum (il “kit di implementazione”) scaricabile gratuitamente che contiene le linee guida per mettersi a norma.

In generale, è bene ricordare che il provvedimento, stabilito a maggio 2014 dal nostro Garante per la Privacy, non nasce dal nulla e non è altro che un atto dovuto di adeguamento della normativa Italiana a quanto già disposto in sede europea: la cookie law, infatti, è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l’intento di arginare la diffusione dei cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.

Nonostante questo, non sono mancate le polemiche – in rete sono già comparse le prime petizioni per cambiare la norma, come “Blocca il Cookie ” – in particolare a causa di alcuni punti di difficile soluzione tecnica, considerando le sanzioni per il mancato adeguamento, che arrivano fino a 120 mila euro.

Il punto più contestato è la necessità di bloccare i cookie di profilazione, inclusi quelli di terze parti, fino al consenso informato del visitatore. Le istruzioni del kit di implementazione sono piuttosto chiare su questo punto:

“Al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie non tecnici (di profilazione) non possono essere rilasciati: questi ultimi dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito. Quanto alle modalità procedurali che permettono di adempiere alle disposizioni si rileva l’opportunità di modificare il codice del proprio sito”.

La difficoltà risiede nel fatto che il provvedimento riguarda anche i cookie di terze parti, che sono assai numerosi: oltre ai servizi pubblicitari tipo AdSense, qualunque sito abbia integrato un sistema di statistiche come quello di Google Analytics (se non anonimizzato) o un plug-in sociale come quello di Facebook (si pensi al classico pulsante “Mi piace”) trasmette, spesso senza nemmeno saperlo, dei cookie di terze parti ai propri utenti fungendo da tramite mediante le proprie pagine web.

Un risvolto curioso del provvedimento, inoltre, è che per memorizzare il consenso dell’utente il sito non può che usare… un cookie, che permetterà al sito di non dover ripetere la procedura alla visita successiva (fino alla cancellazione della cronologia). Un aspetto in un certo senso paradossale, perché se da un lato ribadisce l’importanza dei cookie per il funzionamento dell’ecosistema digitale a cui siamo abituati, dall’altro soffre dello stesso vizio di forma “tecnico” che da sempre affligge i “biscottini” come strumento di profilazione per il mercato adv, e che sta portando i maggiori player all’adozione di metodi di tracciamento differenti, come quelli basati su login o sul “fingerprinting”: i cookies sono associati a un browser, non a una persona. Le due cose non necessariamente collimano, e non è difficile prevedere che questo fatto possa costituire una crepa non da poco della stessa “cookie law”.

In ogni caseo, se il giudizio prevalente, come spesso accade per le nuove normative, risulta – almeno curiosando in rete – negativo, di tutt’altro segno è l’opinione di Maria Cristina Murelli, senior partner dello Studio Legale Chieffi-Murelli, specializzato in diritto della comunicazione e proprietà intellettuale, la quale invita a giudicare il provvedimento nell’ambito di un più ampio processo di “regolamentazione” di internet che offre opportunità tangibili per chi è in grado di usare a proprio favore la presenza di regole chiare e trasparenti.

Maria Cristina Murelli

«Da terra indisciplinata a favore e a sfavore degli utenti, con l’introduzione di precise regole di e-commerce, l’adozione di codici di condotta da parte dei prestatori di servizi, la repressione della fruizione di contenuti digitali protetti, internet sta perdendo il suo carattere “selvaggio” e sta diventando suolo sempre più urbanizzato», commenta a Engage Maria Cristina Murelli.

«Il provvedimento del Garante Privacy – osserva l’avvocato – non va letto, a mio avviso, in termini negativi, come l’ennesima burocratizzazione di tedenza europeista o come una limitazione per le imprese, ma, al contrario, come un’opportunità per il mondo digitale».

«Da un lato», continua Murelli «una corretta informativa consente all’utente di navigare con maggiore consapevolezza di comportamento; dall’altro, una informativa chiara e cristallina, differenzia e premia l’impresa “seria” che instaura, sin dall’inizio, un rapporto di fiducia e trasparenza con il consumatore, da quella che considera l’utente come una preda da inseguire e cacciare virtualmente».

«Non dimentichiamo poi» aggiunge l’avvocato «che la profilazione di un utente – che si realizza monitorandone, ad esempio, il comportamento  al momento dell’acquisto o analizzando i suoi gusti, le sue abitudini e gli interessi in base alle visite che effettuata, consente alle aziende di definire offerte mirate e puntuali. Questa attività di personal shopper, se eseguita apertamente e nel rispetto delle regole, può rivelarsi estremamente vantaggiosa e profittevole».

 

Engage nella tua e-mail. Gratis, ogni giorno