Legge sui cookie per la privacy – Perché è dannosa, superata e poco utile

3 Giugno 2015 | Web e siti internet

Introduzione

[L'articolo esprime opinioni personali da parte dell'autore]

Il Garante per la Privacy ha reso pubblica una nuova normativa, che è entrata in vigore il 2 giugno 2015. Il testo completo lo potete leggere sulla pagina ufficiale e sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014.

Visto che si tratta di un provvedimento ufficiale – e date le multe salate in cui si può incorrere in caso di inadempienza, che partono da ben 6 mila euro, cifra a nostro parere del tutto ingiustificata – lo staff di One Mind si è dovuto adeguare. Per cui troverete il banner fastidioso su tutte le pagine del sito (che comunque, una volta chiuso, non si ripresenterà alla vostra prossima visita usando lo stesso pc o dispositivo mobile).

Mi sento in dovere di esporre le mie critiche a riguardo. Puntualizzo che One Mind è sempre stato favorevole a preservare la privacy dei suoi visitatori e, infatti, come ribadito più volte non farà mai uso dei loro dati se non all’interno del portale stesso o se non espressamente indicato. Nonostante questo, sono contrario a queste forme invasive e obbligatorie che il Garante della Privacy impone senza tenere conto a sufficienza – o ignorando volutamente – le conseguenze negative.

Facciamo una breve panoramica della legge e, subito dopo, vediamo di analizzare i motivi per cui la normativa è da ritenersi scarsamente utile, superata e addirittura dannosa. L’analisi è stata effettuata sia sulla base di motivazioni logiche, sia attraverso una ricerca sulle critiche già presenti nel web.

La normativa in breve

Per dettagli su cosa sia un cookie e sulle varie tipologie di cookie, fate riferimento alla pagina informativa sulla privacy che trovate nel sito. Di seguito vedremo solo di descrivere la legge nelle parti che ci sono utili.

Sintetizzando, la legge prevede che qualsiasi sito che faccia uso di cookie capaci di recuperare dati (più o meno) sensibili dai visitatori, è obbligato a mostrare un avviso (banner) in tutte le pagine e a stendere un’informativa che varia a seconda della tipologia.

In altre parole, se nel vostro sito fate uso di quei cookie che vengono chiamati “di profilazione”, cioè che raccolgono le preferenze di navigazione degli utenti, siete obbligati a:
– creare un banner presente in tutte le pagine e ben visibile: deve spiegare in breve che fate uso di cookie con cui si raccolgono i dati; il banner deve avere un link che riporti alla pagina di informativa sui cookie;
– creare una pagina di informativa sui cookie.

Contenuto della pagina di informativa

La pagina di informativa deve contenere:
– il link alla norma ufficiale del Garante
– descrizione di cosa siano i cookie
– i tipi di cookie che usate
– il link a eventuali siti esterni di cui vi avvalete e che fanno uso a loro volta dei cookie per darvi il servizio

Quest’ultimo punto è il più increscioso. In pratica dovete elencare i siti esterni a cui vi appoggiate e che potrebbero installare cookie sul pc dei visitatori. Qualche esempio: Google Adsense, Google Analytics, il widget di Twitter e il “mi piace” di Facebook. Per ognuno dovete anche linkare la loro pagina dove spiegano come fanno uso dei cookie.

Cosa succede in caso di inadempienza?

Le multe sono molto pesanti. Da 6.000 a 36.000 € per informativa non idonea o mancante, e da 10.000 a 120.000 € per l’inserimento di un cookie che non è stato specificato nella nostra pagina della privacy.

Adesso vediamo un elenco del perché ci sentiamo di condannare questo ennesimo provvedimento da parte del Garante della Privacy.

Si noti che, nella normativa, si dichiara che il Garante ha impostato la legge sulla base della discussione avvenuta con le associazioni dei consumatori e di altre categorie economiche. Se seguite il ragionamento di alcuni punti, sembra impossibile che con un così grande numero di intervenuti non si sia trovato un accordo meno invasivo.

1. Il banner è fastidioso

Se vedete il banner come un elemento di “fastidio”, sappiate che non siete i soli. Dopotutto è un elemento in più che non c’entra niente con gli argomenti del sito. Siamo già subissati da pubblicità, avvisi e quant’altro. Sappiamo bene che l’utente preferirebbe poter vedere soltanto la pagina nuda e cruda, ma spesso questo non è possibile. Lo stesso One Mind fa uso di pubblicità per sostenere i costi e per poter continuare a scrivere. Un altro ostacolo alla navigazione, tra l’altro obbligatorio, è davvero fuori posto.

2. Va a incidere sull’usabilità dell’utente

Una delle regole auree nel costruire un sito web è l’usabilità dell’utente. In pratica, il visitatore deve poter accedere ai contenuti il più presto possibile, senza dispersioni e con facilità. Chi visita le pagine vuole arrivare presto e subito alla notizia che gli interessa.

Statisticamente, una buona parte degli utenti visita un sito per pochi secondi e, se non trova la notizia che cerca, lo chiude, perché tanto la può trovare altrove (magari in un sito che non ha bisogno di aggiungere banner, o che si naviga abitualmente e per il quale il banner è già stato chiuso dall’utente). È il risultato della vita frenetica di tutti i giorni. La pagina deve essere raggiunta il più presto possibile e l’aggiunta di un ulteriore banner, che comporti un altro click, può scoraggiare la navigazione.

Il fatto che il banner sia obbligatorio solo alla prima visita dell’utente cambia poco: alcuni siti si avvalgono di visitatori unici e, tra l’altro, è il primo impatto quello che conta (anche questa informazioni è facilmente reperibile dai dati statistici).

3. Calo di visite

Conseguenza del punto 2. Più difficoltà nel raggiungere la pagina significa meno probabilità che il visitatore decida di proseguire o di tornare.

Inoltre, il visitatore poco abituato a navigare potrebbe “spaventarsi” quando incontra un banner a tutto schermo che lo avvisa della manipolazione dei dati: “manipolazione” che c’è sempre stata, il banner non cambia la natura di un sito, ma che aumenta l’allarmismo negli utenti che non si rendono conto pienamente del suo significato.

4. Aumento della confusione nel web

Come spiegato nel punto 1, gli elementi fastidiosi in un sito sono già abbastanza; proprio non serviva un ulteriore elemento di disturbo. Adesso ci ritroveremo con i siti invasi da questi banner.

Se la ritenete un’esagerazione, provate a navigare e noterete un aumento spropositato di siti dotati di banner. Certo, ci si fa l’abitudine. Ma se poi leggete i post sui social, vi rendete conto che i visitatori che non sono a conoscenza della norma si sono trovati spaesati e hanno cominciato a chiedersi con allarme il perché di queste improvvise apparizioni.

Ma la cosa peggiore è la legge stessa: così come è scritta, lascia ambito ad ambiguità e a interpretazioni, al punto che i più preferiscono correre ai ripari scrivendo nella normativa testo aggiuntivo inutile per la natura del loro sito. O, ancora peggio, c’è chi preferisce chiudere il proprio blog proprio perché non riesce a immaginare in quale campo rientri (si veda il punto 5).

Il Garante stesso non riesce a dare una spiegazione soddisfacente e definitivamente chiara. E se nemmeno chi ha scritto la legge è in grado di farlo, come si può pretendere che i soggetti coinvolti si adeguino?

5. Chiusura dei blog minori: limite alla libertà di espressione

È il punto cruciale e per il quale mi chiedo come il Garante abbia potuto non prevederlo.

Anche questo punto lo potete facilmente notare seguendo i post sui social: tra i piccoli blogger è sfociato un allarmismo, spesso ingiustificato per il semplice fatto che non riuscivano a interpretare a dovere la norma. Anche quando non rientravano nella norma, preferivano oscurare definitivamente il sito per non incorrere nelle pesanti sanzioni.

Il risultato è, come sempre, che a rimetterci sono i gestori di piccoli siti, che magari non hanno le competenze per poter introdurre il banner o non vogliono correre rischi.

Il banner in sé non è difficile da inserire, ma richiede comunque un minimo di competenza tecnica che non tutti sono capaci di assimilare. Per capirci, mentre per integrare un banner di Adsense è sufficiente copiare in un punto della pagina un codice fornito da Google, per inserire un banner come quello richiesto si deve avere una qualche nozione di Javascript e CSS, oppure si deve riuscire a prendere un codice pronto dal web e a inserirlo dove voluto e nella maniera voluta (sperando che non sorgano conflitti di codice). I piccoli blogger non si avvalgono di programmatori esterni, perché il costo non vale la candela: di conseguenza sono i primi a rimetterci.

Disparità tra privati e aziende

Infine, una considerazione. Le multe, per quanto salate, non saranno mai abbastanza alte da impensierire le grandi aziende; saranno però spropositatamente grandi da mandare nel panico i piccoli blogger, i siti dei freelance, i mini e-commerce e chi cerca soltanto di arrotondare in maniera pulita mettendo qualche pubblicità nel proprio portale. Data la crisi era il caso di “tassare” in questo modo poco chiaro, danneggiando i piccoli siti?

Per alcuni può essere un punto a favore: i siti minori scompaiono, tanto la rete ne è piena. Ma vogliamo parlare dei freelance, che spesso incanalano la loro clientela tramite un sito vetrina? E dove la mettiamo l’intraprendenza del singolo individuo che cerca di darsi da fare con la creatività?

A mio avviso è una limitazione alla libertà di espressione e un altro caso di discriminazione nei confronti dei «più deboli».

6. Multa spropositata e costi elevati

Abbiamo visto sopra che la multa per inadempienza parte da ben 6 mila €: uno sproposito ingiustificato, considerando che si sta legiferando su qualcosa che esiste da sempre (la raccolta delle preferenze degli utenti) e su cui si è sempre lasciato correre senza provocare disastri irrecuperabili.

È naturale immaginare che il Garante si aspetta delle violazioni alla legge, anche perché – come potete vedere dagli altri punti – non è sempre semplice da applicare. Chiaramente, è un motivo per fare cassa.

Aggiungiamo a questo i costi che le aziende devono sostenere per aggiornare le pagine di informativa e il codice dei siti, nonché per la ricerca e l’acquisizione delle pagine informative sui cookie di terze parti – situazione che, tra l’altro, comporta un probabile margine di errore: come si comporterà il Garante se noterà la buona volontà dell’azienda, ma questa si dimentica o non trova il link al sito esterno per un cookie creato da terze parti? Farà favoritismi? Sarà clemente?

7. Scarsa utilità

Il banner è stato creato per permettere ai visitatori di essere a conoscenza che i loro dati possono essere salvati da qualche parte nel sito o fuori dal sito. È come scoprire l’acqua calda. Se non tutti, almeno gran parte dell’utenza sa bene che i siti si avvalgono di strumenti per misurare il loro passaggio.

Il banner esplicita soltanto una prassi di uso comune, rendendosi di fatto inutile se non in casi particolari in cui ricadono per esempio:
– navigatori estremamente attenti alla privacy (in altre parole, “ossessivi”: si veda il punto 8)
– navigazione in siti dove i dati sono effettivamente raccolti e usati per arrecare danno all’utente.

Nascono, però, delle domande ovvie che vanificano i punti di cui sopra:
– i navigatori ossessivi non sono forse portati a rinunciare a una visita quando vedono comparire il banner, temendo che i loro dati siano utilizzati in modo improprio anche quando così non è?
– il visitatore davvero si metterà a leggere l’informativa, una pagina ricoperta di testo in parte tecnico? Lo farà davvero, considerando che i siti si navigano sempre in fretta e che gli utenti non leggono nemmeno la privacy quando installano un programma sul computer, nel pensiero che sia sempre «la solita solfa»?

Chi naviga sul web sa – o scopre proprio attraverso il web – che i suoi dati sono presi e spesso usati in qualche modo. Pensate davvero che un banner di avviso modifichi questo meccanismo? Si potrebbe obiettare che almeno l’utente sa dove finiscono i suoi dati, ma davvero l’utente medio è a conoscenza di come i suoi dati vengono usati anche se legge l’informativa? Non potrebbe fraintendere e vedere il fatto da un punto di vista più grave di quanto è nella realtà?

8. La privacy nel web è diversa rispetto al mondo esterno

Uno degli errori più grandi della burocrazia è cercare di legiferare la privacy nel web come avviene per le situazioni “concrete”, di tutti i giorni. Qua si dovrebbe aprire un discorso lungo – molto lungo -, ma con un minimo di ragionamento si può capire che è una pretesa impossibile.

Con le leggi si cerca di governare un mondo “libero”, che è il web stesso. Il fatto stesso che non ci siano restrizioni nell’entrare in un sito web (cosa che, per esempio, non succede nelle abitazioni) implica che non ci possono essere leggi successive a limitare la navigazione. Per il semplice fatto che naviga in un sito web di un altro, l’utente dovrebbe accettare le regole che trova al suo interno: un po’ come quando si entra in una casa altrui.

Naturalmente, un minimo di normativa è necessaria, per garantire ai visitatori di non cadere vittima di truffe: dopotutto, anche se entro nella casa di un altro non è che il padrone ha il diritto di pretendere i soldi che ho nel taccuino o di spararmi perché non gli sto simpatico. Ma devono essere leggi essenziali, che coprono le situazioni più gravi; normative più restrittive hanno poco senso di esistere.

Dobbiamo farcene una ragione: sul web la nostra privacy è estremamente ridotta. Qualsiasi link o pagina visitiamo, è un’impronta che ci lasciamo dietro. Che sia un banner o meno a dircelo poco importa: nessuno di noi può rinunciare a navigare su internet pur sapendo che la sua privacy a rischio, non nella società tecnologica in cui viviamo.

Le associazioni dei consumatori hanno esagerato con le pretese e spesso non riescono a usare un tipo di pensiero laterale. È un controsenso attuare una legge del genere quando, per esempio, qualsiasi utente continua a usare Google come motore di ricerca e si collega quotidianamente a Facebook, due dei più grandi “contenitori di dati sensibili” che esistano sul web.

9. Impraticità e surplus di lavoro per i programmatori

Sulla normativa del Garante si legge:

Il Garante è consapevole dell’impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.
In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate.

Qua si nota chiaramente che il Garante non ha idea di come funziona davvero la realtà del web e la psicologia di un cliente che gestisce un sito web – o, se ce l’ha, ha preferito volutamente soprassedere e difendersi con questa dichiarazione.

Com’era prevedibile, i clienti dei siti web hanno chiesto la modifica solo all’avvicinarsi della data di scadenza.

Parlo per esperienza personale, in quanto programmatore di professione, e sulla base dei lavoratori del mio settore, che si sono dovuti sobbarcare un enorme lavoro in pochissimo tempo. D’altronde sappiamo benissimo che «la legge non conosce ignoranza», ma che allo stesso tempo le leggi italiane sono così intricate, numerose e tecniche che è impensabile seguire la Gazzetta Ufficiale giornalmente (buona parte delle leggi, ammettiamolo, sono create soltanto per aumentare la confusione e creare introiti temporanei: di fatto sono di utilità a pochissime persone, è normale che la gente comune se ne disinteressi).

Difficoltà tecniche e costi

Un altro motivo, che dimostra la scarsa conoscenza del Garante sulle questione tecniche del web, è la difficoltà che la normativa comporta ai programmatori dal punto di vista del codice. Sulla legge è scritto che i cookie di profilazione non possono essere installati prima che l’utente dia il suo consenso proseguendo nella navigazione. Creare un codice che faccia questo non è semplice nemmeno per un programmatore, figurarsi per un utente che non ha competenze tecniche: un conto è creare un banner, un altro è nascondere il codice (cioè impedire che si esegua) fino a quando si manifesta un evento (in questo caso un click o la prosecuzione della navigazione). Senza contare che se si installa nuovo codice di profilazione in futuro, bisogna ricordarsi di creare il procedimento anche su questo.

Non solo: alcuni siti sono costruiti con tecnologie piuttosto vecchie e hanno richiesto ancora più tempo per effettuare la modifica. Un copia e incolla da un sito a un altro, tanto per capirci, non è sufficiente, senza contare che l’informativa si deve adattare in base alla natura del sito stesso.

Per quanto riguarda l’impatto economico, proprio come specificato nella legge, non è proprio dei più leggeri. Visto che si tratta di un obbligo normativo, le aziende sono costrette a spendere – e magari ad accettare costi più alti del normale, data anche l’urgenza della questione.

Ribadirlo nella legge è una buona cosa, ma non serve assolutamente a niente, poiché non sono proposte soluzioni. Soprattutto considerando l’entità della multa in caso di inadempienza.

Fonti principali
Etichette
Etichette:,
Ultimi Commenti
  1. SAM

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.