Cookie e privacy

La normativa sui cookie che entrerà in vigore il 2 giugno 2015, sta creando una serie incredibile di problemi tecnici ai siti (probabilmente compreso questo). La normativa, vaga, è stata interpretata in più modi, alcune volte sensati, altri più discutibili, e pretenderebbe che ogni sito acquisisse un consenso informato da parte dell’utente prima di utilizzare certi tipi di cookie.

Il documento più completo che ho trovato è l’interpretazione data da una “opinione” di un gruppo di lavoro europeo e la trovate qui. Contiene una serie di casi reali e ben spiegati sull’utilizzo dei cookie, in particolar modo quelli sui “plugin” social che ormai ogni sito contiene.

In ogni caso ricordiamo un fondamento: bisogna proteggere la privacy dell’utente. Se non viene dimostrata questa violazione è un po’ difficile pensare di poter procedere legalmente contro qualcuno.

Alla fine delle casistiche, offro anche una possibile soluzione per i network pubblicitari e quindi per i siti che li utilizzano.

I plugin social

Tutti potete immaginare che un bottone “like” di Facebook messo in un sito sia fornito da Facebook. Quindi Facebook viene “chiamato” quando visualizzate il suo bottone su un articolo e potenzialmente Facebook potrebbe fare operazioni di tracciamento. Se questo avviene, quel bottone di Facebook non può essere messo senza l’esplicito consenso e lo spiega il documento che ho citato.

Il documento chiarisce però nel dettaglio: sarebbe illegale se Facebook utilizzasse la presenza di quel bottone per tracciare genericamente un navigatore, mentre è lecito che ci sia uno scambio di cookie se l’utente ha fatto login sul social network e si aspetta che quel bottone funzioni.

Facebook, se navigate in modo anonimo NON scambia alcun cookie. Quindi potete lasciare quel bottone come molti altri.

I video

I video erogati da un sito sono di fatto erogati da servizi esterni come YouTube e Vimeo. Quindi c’è la possibilità per queste “terze parti” di tracciare l’utente (fermo restando un problema di legalità generale dell’operazione). Ma il video è anche parte integrante del servizio richiesto dall’utente (ovvero la pagina che ha chiesto di vedere) e quindi rientra nei criteri di non necessità di consenso.

L’interpretazione prevederebbe che i cookie eventualmente utilizzati dal player di terze parti siano solo volti all’erogazione del video e si cancellino alla fine della sessione (attenzione qui al concetto di sessione, che non sempre è relativo alla chiusura del browser e quindi discutibile se necessario). Quello che sappiamo noi è che quei cookie servono per l’erogazione del video, se poi YouTube ne fa un uso illegale, è un altro problema. YouTube in ogni caso è un social, quindi se l’utente è connesso si aspetta che YouTube eroghi una coerente esperienza di visualizzazione del video e, essendo connesso, avrà già espresso su YouTube le sue preferenze sui cookie di YouTube ed il loro utilizzo.

I social ed i loro “plugin” non dovrebbero quindi essere un problema, se sono “legali”.

  1. Gli utenti connessi al social hanno già espresso il loro consenso al momento della registrazione e quindi in quanto connessi non si crea alcun problema nei siti che utilizzano i plugin.
  2. Se gli utenti non sono connessi quei “plugin” dovrebbero utilizzare solo cookie tecnici atti ad erogare il contenuto (ad esempio il video) o non utilizzare alcun cookie (bottone like di Facebook).

Il problema: la pubblicità

In realtà il problema non è la pubblicità, in quanto non c’è alcun riferimento al fatto che un sito debba chiedere il consenso ad erogare pubblicità. Sarebbe come chiedere il consenso ad un lettore prima di comperare una rivista per la pubblicità che c’è all’interno!

Non solo: è mia opinione che la pubblicità sia parte integrante del servizio richiesto dall’utente (la pagina web) e che quindi eventuali cookie di servizio per far apparire quella pubblicità siano assolutamente leciti, un po’ come nel caso dei video.

La questione riguarda i cookie utilizzati da chi eroga pubblicità e che servono ad ottimizzarla tracciando, ad esempio, l’utente. Questi cookie richiedono autorizzazione preventiva. Se non vengono utilizzati cookie traccianti (ed in genere la terza parte non fa cose non consentite) non c’è problema per la privacy dell’utente e quindi non si applicano tutte queste complicate norme.

Ricordiamoci sempre che siamo nell’illegalità quando violiamo la privacy dell’utente.

Il reale problema è che non è in questo momento possibile escludere i cookie traccianti lasciando la sola pubblicità perché i network non danno questa possibilità. Eventualmente permettono all’utente di esprimere questo consenso direttamente da loro, in qualche pagina di servizio.

L’interpretazione quindi imporrebbe una richiesta preventiva all’utente per visualizzare la pubblicità nel suo complesso visto che contiene dei cookie traccianti indissolubilmente connessi al banner. Una bella rogna.

I cookie analitici

Sono i cookie utilizzati per le statistiche del traffico del sito. L’interpretazione dedica una paragrafo speciale a questo tipo di cookie perché non sono necessari ad erogare il servizio. Senza entrare nel dettaglio di che cosa siano i first-party ed i third-party cookies e facendo finta di avere Google Analytics (che utilizza first-party cookies), nell’intepretazione si dice: “the Working Party considers that first party analytics cookies are not likely to create a privacy risk“.

Consentono di utilizzarli senza preventivo consenso.

Richiamano all’attenzione di come sia necessario informare l’utente e dargli delle garanzie come, ad esempio, la possibilità di disabilitare la raccolta dati o di attivare l’anonimizzazione dell’indirizzo IP. Ma la garanzia può banalmente essere quella di dirgli che se non vuole essere parte questa raccolta di dati aggregati, può uscire dal sito immediatamente.

Una soluzione (facile) per i network

Alla prima visita su una pagina di un sito la pubblicità potrebbe essere erogata solo con eventuali cookie tecnici (di cui uno che segna la prima visita). Il sito, presentando una informativa che viene accettata continuando la navigazione (e quindi comprensiva anche degli avvisi di utilizzo di terze parti), permette alla seconda impressione di scrivere i cookie traccianti (se utilizzati).

Se l’utente alla prima visita ha già un cookie tracciante di una terza parte, significa che ne ha dato il consenso altrove (ad esempio in un altro sito che utilizza lo stesso network), ed il problema non si pone per definizione.

Qualche pensiero

Il “Do Not Track” (anche DNT)

Se ci fanno questo regalo, esiste una specifica del W3C (che dovrebbe diventare raccomandazione a metà giugno 2015) per cui un browser può comunicare al sito di non tracciare, ovvero di non inserire elementi identificativi o in ogni caso di non processarli.

I browser supportano già questa modalità, i network di advertising… non si sa. Se però diventa una raccomandazione ufficiale e i siti di advertising iniziano a rispettare la direttiva, basta che il proprio sito utilizzi solo servizi conformi al DNT e l’utente potrà navigare senza essere tracciato (se configura adeguatamente il browser).

Ad esempio, se l’utente è entrato nel sito e si è beccato un cookie tracciante ma gli vengono date le indicazioni per attivare subito il DNT sul suo browser, quel cookie tracciante verrebbe “bloccato” (ora e per sempre). Mancherebbe il consenso preventivo, in ogni caso.

L’assurdità della selezione dei cookie

Purtroppo si legge in giro che l’utente dovrebbe (occhio al condizionale, è importante) poter selezionare quali cookie vuole e quali no. Detta in questo modo, solo i cookie di WordPress per un utente connesso sono almeno 5 e nessun utente ne capirebbe il significato. Ed in ogni caso non sarebbe possibile per un sito bloccare selettivamente i cookie di un player o di un plugin social.

Come al solito scrivono le cose senza che possano avere una applicazione reale. Ma visto che nell’interpretazione c’è un “dovrebbe” e visto che è obbligatorio dargli la possibilità di non essere tracciato, la soluzione è semplice: se resti ti prendi tutti i cookie, altrimenti esci.

Riferimenti

  • http://www.privacy.it/codiceprivacy.html#art122
  • http://www.garanteprivacy.it/cookie
  • http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
  • http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
  • http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf

Ecco altri articoli:

Lavorando nel campo del web, mi è capitato di vedere decine e decine di progetti grafici di siti e/o...
Se la domanda vi sembra ovvio perché sapete benissimo cosa avete dentro il vostro profilo Facebook,...
Le pagine di Facebook hanno lo scopo di creare una versione facebook-social di un elemento del mondo...
Il problema fondamentale del fotovoltaico è che produce in modo intermittente e che è difficile accumulare...
Lo scorso fine settimana, 24 e 25 maggio 2013, c'è stato l'annuale raduno delle mamme blogger organizzato...

1 Comment on Cookie e privacy

  1. Andrea
    28 maggio 2015 at 22:18

    Ciao,
    sono giorni che cerco di farmi un’idea sulla cosa ed ho trovato molto interessante il tuo discorso, ed in effetti è come dovrebbe essere.

    Praticamente la “problematica” dei cookie di terze parti (social,youtube,mappe e anche ADV) esclusi quelli di vera profilazione, è demandata al “fornitore” del servizio che è vero mi rilascia un cookie ma per quanto ne so io potrebbe essere tecnico.

    Poi se ne rilasciano dei cookie che profilano sono loro in difetto.
    Al momento non ci metterei la mano sul fuoco, poi il 2 alle 0.00 chissà.

    Certo è che fosse così allora che in molti ci potevano rispariamiare mal di testa e nottataccie.

    Che valore legale possono avere quei documenti wp194_en/wp208_en.pdf. Possono essere presi come fondamenta per costruire il tutto? E’ vero sono linkati nel provvedimento sotto “TENUTO CONTO” ma poi ci sono altre 6 pagine.

    Relativamente a “assurdità della selezione dei cookie”, come interpreti questo punto?
    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 – paragrafo 4.1 – lettera d)

    Ciao

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 Avvisami di nuovi commenti