Una rivoluzione è in arrivo sui cookie dei siti web e in particolare per quelle finestre che si aprono ogni volta che accediamo a un sito nuovo chiedendoci di accettare i cookie. Ossia quei piccoli file che, caricati sui nostri dispositivi, permettono ai siti di ricordarsi di noi, anche allo scopo di un trattamento pubblicitario.

Le principali novità

Domani escono in Gazzetta Ufficiale le linee guida, da tempo attese, con cui il Garante Privacy impone a tutti i siti web nuove regole a favore degli utenti. Due le principali novità. Sarà possibile rifiutare i cookie con un solo click e non dovremo ribadire la nostra scelta ogni volta che accediamo al sito.

I problemi attuali

Al momento uno dei problemi è che alcuni siti ci ripresentano la stessa richiesta – accettare o no i cookie – se l’abbiamo rifiutata in precedenza. Della serie: ci prendono per sfinimento. Idem per l’altro problema affrontato dalle linee guida: a volte i siti ci danno solo due opzioni, accetta tutti i cookie oppure accetta solo i cookie selezionati. “Ma quando entriamo su un sito vogliamo leggere subito i contenuti, pochissimi hanno la pazienza di cliccare sulla seconda opzione; scomoda per altro sui piccoli schermi dei cellulari”, spiega Guido Scorza, del Garante Privacy. “Noi vogliamo rendere il rifiuto facile come l’accettazione”, aggiunge.

Come cambia il meccanismo

Le nuove regole impongono ai siti di permettere agli utenti di rifiutare tutto con un semplice clic, su una “X” che chiuda la finestra di richiesta consenso. I siti hanno sei mesi di tempo per adeguarsi (a partire dalla pubblicazione in Gazzetta Ufficiale), dopodiché si applicano le possibili sanzioni del Garante Privacy, che in quest’ambito possono essere abbastanza salate (fino al 20% del fatturato mondiale dell’azienda in questione).

Sarà semplice rifiutare i cookie

Potremo insomma limitarci “a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretti ad accedere ad altre aree o pagine a ciò appositamente dedicate”, si legge nel provvedimento. “Tale comando dovrà avere una evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali idonei ad esprimere le altre scelte nella disponibilità dell’utente, di cui si dirà in appresso. Le modalità di prosecuzione nella navigazione senza prestare alcun consenso dovranno, in altre parole, essere immediate, usabili e accessibili quanto quelle previste per la prestazione del consenso”.

Il Garante così para il colpo dei dark pattern, ossia quegli stratagemmi tecnici con cui moltissimi siti (anche Amazon, come risulta da una recente inchiesta del Wall Street Journal) mette in evidenza grafica l’opzione favorevole all’azienda e sbiadita quella opposta. Così da indurre l’utente a cliccare in un certo modo, prestando un consenso privacy o rinnovando un abbonamento (ad esempio).

Il dark pattern è una forma di manipolazione dell’utente (come evidenziato da molti studi, come uno di maggio scorso dell’università di Chicago, pubblicato sul Legal Analysis Journal). È quindi molto lontano dai principi del Gdpr (regolamento privacy) europeo, improntato a trasparenza e un corretto rapporto tra utenti e aziende.

“In altri termini, il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal Regolamento”, si legge infatti nel regolamento.

Per la precisione, tale banner dovrà allora contenere, oltre alla X in alto a destra, almeno le seguenti indicazioni ed opzioni: l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici; una informativa minima relativa al fatto che il sito utilizza – se così è ovviamente – cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve (cfr. punto iv che segue), utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web; il link alla privacy policy, ovvero ad una informativa estesa posizionata in un second layer – che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio cui l’utente accede – ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie o altri strumenti tecnici (cfr., al riguardo, il successivo paragrafo 8); un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento; il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti – il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti – ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

In quest’ultima ipotesi, quando cioè i cookie siano raggruppati per categorie omogenee, qualora si verificassero successive modifiche nel novero delle terze parti corrispondenti ai link posizionati in questa area e dunque ulteriori soggetti terze parti venissero aggiunti alla lista, è rimessa alla prima parte, cioè al gestore del sito, la loro accurata selezione, come pure la necessaria attività di vigilanza per assicurare che l’ingresso di tali soggetti ed il trattamento che ne discende permanga in linea con il raggruppamento per categorie omogenee come già effettuato.

Anche in questo caso, il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie, e che pertanto l’utente possa, esclusivamente, accettarne, anche appunto in modo granulare, il posizionamento.

Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

Possibilità di modificare le scelte

Non solo. “Gli utenti, naturalmente, dovranno essere posti in condizione di modificare le scelte compiute – sia in termini negativi che in termini positivi e dunque prestando un consenso negato o revocando un consenso prestato – in ogni momento e ciò in maniera semplice, immediata e intuitiva attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga”, si legge ancora nel provvedimento.

Non si potrà richiedere il consenso ancora e ancora

L’osservazione del comportamento dei siti web e le segnalazioni pervenute al Garante Privacy hanno evidenziato “l’ulteriore problematica della spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto”. “Una implementazione che, se da un lato compromette la fluidità della user experience, non trova ragione negli obblighi di legge ed ha contribuito sin qui ad una probabile sottovalutazione del valore del contenuto con esso proposto”.

La riproposizione potrà avvenire solo se ricorre almeno una di queste tre variabili: quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”; quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati); quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

I prossimi passi

Le linee guida erano molte attese. Da tempo il problema cookie era all’attenzione del Garante Privacy, ma pendeva l’approvazione del regolamento ePrivacy, destinato a cambiare le regole del settore. L’approvazione è stata rimandata tante volte e non è ancora in vista. L’intervento sui cookie non era però più rimandabile.

Altri aspetti andranno però risolti

“Il Garante torna a sottolineare tuttavia l’importanza di avviare nelle sedi più opportune e tra tutti i soggetti interessati (accademia, industria, associazioni di categoria, decisori, stakeholder etc.) una riflessione circa la necessità dell’adozione di una codifica standardizzata relativa alla tipologia dei comandi, dei colori e delle funzioni da implementare all’interno dei siti web per conseguire la più ampia uniformità, a tutto vantaggio della trasparenza, della chiarezza e dunque anche della migliore conformità alle regole”, si legge nel provvedimento. “Tale esigenza, che sulla base dei contributi pervenuti nell’ambito della consultazione pubblica risulta essere unanimemente avvertita e condivisa, non ha tuttavia sin qui trovato delle proposte concrete idonee al conseguimento dello scopo”.

I commenti

“Abbiamo cercato una posizione di equilibrio tra l’esigenza di garantire agli utenti più trasparenza e controllo sui dati personali e quella di non demonizzare dei trattamenti che, se posti in modo corretto, possono contribuire a rendere sostenibile l’attività degli editori online”, spiega Scorza.

“Il fatto che questo provvedimento abbia origine da una consultazione pubblica dimostra un approccio rivoluzionario da parte dell’authority: il Garante ha dimostrato di voler applicare principi che siano attinenti alla realtà dei fatti e alle prassi, ponendosi in equilibrio di interessi tra l’utente e il marketing delle aziende, ma con la consapevolezza come presupposto assoluto”, aggiunge l’avvocato Antonino Polimeni.

Apprezzamento anche dall’avvocato Rocco Panetta: “Le Linee guida cookie e altri strumenti di tracciamento adottate dal Garante a valle della consultazione pubblica avviata lo scorso novembre rappresentano un provvedimento lungimirante e di grande dettaglio operativo”.

Aggiunge Polimeni: “Il Garante vuole evitare che l’accettazione dei cookie diventi un gesto quasi involontario da parte dell’utente che pur di continuare a navigare clicca sul pulsante “accetta tutto”. Si punta alla coscienza del navigatore ma, in caso egli sia distratto, nei siti web dovrà essere sempre presente un tasto di chiusura alternativo all’accettazione, di pari grandezza e di equivalente semplicità di click”, continua.

Conferma l’avvocato Massimiliano Nicotra: “Le nuove linee guida, anche rispetto a quelle già adottate da altre autorità di controllo (come quella spagnola, francese ed inglese) appaiono di respiro più ampio, confermando da una parte l’illegittimità di pratiche che si erano affacciate nell’immediata entrata in vigore del GDPR (come i cd. “cookie Wall”), ma esaminando in maniera più dettagliata rispetto a quanto fatto negli altri paesi la possibilità di utilizzare lo “scrolling” quale forma di manifestazione del consenso (se rappresentativo di una scelta inequivoca e consapevole). Un plauso inoltre deve essere compiuto alla valorizzazione da parte del Garante italiano degli strumenti di “legal design” per facilitare la comprensione degli utenti, in attuazione del principio di trasparenza codificato nell’art. 5 del GDPR”.

Fonte www.repubblica.it