L'Unione Europea ha approntato una riforma che sta facendo molto discutere, specialmente gli americani che l'hanno ribattezzata impropriamente "no cookie law". Si tratta di una modifica alla direttiva privacy del 2002 che introduce novità in tema di riservatezza dei dati personali degli utenti, pensate appunto per garantire una maggiore tutela della privacy nella rete internet.
Con la direttiva 2002/58 CE il legislatore europeo ha posto le basi per la regolamentazione dei dati personali nelle comunicazioni elettroniche, laddove nel considerando 24, riferendosi ai marcatori (cioè i cookie), afferma che il loro uso dovrebbe essere consentito unicamente per scopi legittimi e che l'utente interessato dovrebbe esserne a conoscenza.
Con la direttiva 2009/136 CE (E-Privacy) si ha una modifica alla disciplina dei cookie, laddove tale direttiva aveva come termine ultimo di recepimento il maggio del 2011. L'Italia solo con legge del dicembre 2011 ha affidato l'incombenza al Governo per un recepimento entro aprile 2012.
A gennaio 2012 la Commissione europea ha presentato una proposta di Regolamento sulla privacy, destinato a sostituire la direttiva 95/46/CE ancora in vigore, con efficacia immediata per tutti gli Stati membri. Al considerando 25 (art. 4 n. 8 ) tale regolamento disciplina i marcatori/cookie: "Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all'interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un'apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo".
È chiaro che l'applicazione della nuova normativa coinvolgerà necessariamente le autorità per la protezione dei dati personali dei singoli Stati membri, per l'Italia il Garante per la protezione dei dati personali, che dovranno emanare le norme di secondo livello, ad esempio tramite una classificazione dei cookie a seconda della loro pericolosità per la privacy.
I destinatari finali di tale regolamentazione dei cookie sono le imprese e i fornitori di comunicazione elettronica con sede o rappresentanza o con infrastrutture principali allocate nell'Unione. Essi dovranno ottenere il consenso da parte dei visitatori per acquisire e conservare i dati personali degli stessi a mezzo dei cosiddetti cookie.
Quindi di fatto si passa dal vecchio sistema dell'opt-out, in base al quale era consentito ai siti raccogliere dati tramite cookie fin quando i visitatori non esprimevano dissenso, in genere disabilitando l'uso dei cookie nel browser, all'opt-in che invece prevede un consenso preventivo prima di poter implementare qualsiasi cookie e raccogliere informazioni personali.
Piuttosto significativa è la levata di scudi contro questa normativa, definita "no cookie law" e tacciata di essere contro l'innovazione e anti-business, perché criminalizzerebbe oltre il 90% dei proprietari di siti web. La campagna contro la "no cookie law" si estrinseca a mezzo di un sito e addirittura una petizione. Il concetto su cui si fonda è che il cookie sarebbe fondamentale per il corretto funzionamento dei siti.
I cookie, infatti, sono comunemente usati per l'accesso, la condivisione sociale, per ricordare chi ha commentato un articolo, per l'analisi del funzionamento del sito, per le statistiche... L'applicazione della riforma avrebbe, secondo i critici, degli effetti disastrosi al limite dell'impraticabilità, con devastanti cadute sull'innovazione e sull'imprenditoria, in particolar modo sull'editoria i cui redditi sarebbero dati dalla pubblicità personalizzata. Da cui accuse all'UE di incompetenza in materia, di analfabetismo tecnologico se non addirittura di arroganza per voler legiferare sulla rete mondiale.
Orbene è interessante notare che le critiche più pesanti vengono per lo più si tratta dell'industria ("industry reaction") oppure da ambienti americani. Andando al succo del problema, infatti, la critica principale è sempre la stessa che gli americani da anni sollevano a tutte le richieste della UE di una maggiore attenzione alla privacy degli utenti europei. Una maggiore attenzione alla privacy, infatti, vuol dire anche diminuire i guadagni generati dall'uso disinvolto dei dati personali degli utenti, perché chiedere ogni volta se si possono conservare i dati personali (compreso l'Ip) dell'utente di turno vuol dire non poter eseguire quella profilazione che è essenziale per realizzare campagne pubblicitarie estremamente personalizzate.
Stiamo parlando della pubblicità comportamentale, una tecnica che si basa sul tracciamento delle attività degli utenti su internet, registrando e conservando le pagine di navigazione al fine di associare tali dati con altri (tipo luogo di residenza) per poi veicolare messaggi pubblicitari che sono estremamente mirati, al punto di poter suggerire il posto più vicino dove poter acquistare quel determinato prodotto. Tutto ciò avviene a mezzo del cookie, un file che viene memorizzato direttamente sul computer dell'utente e che ne consente l'identificazione univoca.
È chiaro che in questa prospettiva è un problema più politico, ma volendo analizzarlo dal punto di vista strettamente giuridico le critiche sembrano fuori luogo se non addirittura strumentali. Infatti la nuova norma non prevede l'obbligo di consenso per tutti i cookie, di certo non per quelli che sono legati all'uso del sito, né quelli che sono legati all'uso del servizio espressamente richiesto dall'utente, ma solo per quelli che risultano particolarmente invadenti, e quindi tracciano l'utente conservando tutti i suoi dati personali (navigazione, pagine visitate, ecc...) al fine di realizzare una profilo accuratissimo, e tutto questo senza che l'utente ne abbia alcuna contezza. Se la normativa attuale in materia di privacy prevede che per il trattamento dei dati personali è necessario un consenso, non si vede perché in rete debba essere diverso. Paradossalmente sarebbe uno dei rari casi nei quali, per interesse esclusivo dell'industria, alcuni comportamenti vietati nella vita reale risulterebbero invece del tutto leciti in rete.
Allora il punto è che se io chiedo espressamente un servizio, in rete, non c'è necessità di consenso all'uso dei cookie, perché si ritiene presunto dalla richiesta del servizio, mentre, dice la riforma, il consenso serve solo se io non ho chiesto nulla e il sito mi vuole per forza mandare qualche cosa (ricordiamo che il cookie di fatto è un file che viene registrato direttamente sul computer dell'utente!). Non si prevede affatto un blocco della pubblicità (che peraltro è possibile bloccare grazie a plugin per i vari browser), ma solo che i dati personali degli utenti non possano essere registrati senza esplicito consenso, cosa che eventualmente inficerebbe solo la personalizzazione della pubblicità.
Insomma, se il sito mi vuole mandare pubblicità basata sull'uso dei miei dati personali, grazie alla quale pubblicità il sito guadagna un sacco di soldi, è così strano che io debba sapere che il sito registra quei miei dati personali e che mi sia data la possibilità di scegliere se dare o meno il consenso?
Il nucleo delle normativa in materia di privacy, almeno in Europa, è dato dalla necessità di un consenso, che sia anche informato. Laddove oggi per lo più la raccolta dei dati personali in rete avviene senza che gli utenti ne sappiano nulla. Gli utenti, invece, dovrebbero sapere che i siti registrano i suoi dati, quali dati registrano, e dovrebbero essere in grado di scegliere.
Non si tratta di tecnofobia, oppure di ignoranza tecnologica, quanto piuttosto di implementare soluzioni che siano nel contempo rispettose degli utenti e non determinino ricadute negative sull'innovazione.
La riforma in materia di cookie non prevede affatto impedimenti al funzionamento dei siti, ma solo degli oneri in più specialmente per coloro i quali sfruttano commercialmente i dati degli utenti. Del resto su ogni sito o quasi ormai troviamo il classico disclaimer, le policy privacy e i termini di servizio. Non risulta particolarmente complicato spiegare ai visitatori anche quali sono i dati che vengono raccolti tramite cookie e consentire agli utenti di scegliere quali cookie attivare e quali no.
Esistono vari tipi di cookie, alcuni poco invadenti che si preoccupano di mantenere aperto il Login al sito, altri più invadenti che invece raccolgono dati per la profilazione. Quello che la riforma UE vuole è che tali cookie siano tenuti separati e che gli utenti, opportunamente avvertiti, possano scegliere quali attivare e quali no.
Situazioni simili sono implementabili senza grandi problemi, come ad esempio già oggi notiamo in molti siti (es. economist.com che avverte in home con un box dell'uso dei cookie e rimanda ad una pagina interna per le spiegazioni dettagliate).
Ed in questa prospettiva tale riforma appare, anche se potrebbe sembrare strano, utile alle aziende, in quanto da alcuni sondaggi risulta che la gente sta perdendo fiducia nel commercio online e gli utenti sono estremamente scontenti dell'uso spregiudicato dei loro dati. Molti utenti, nel momento in cui si rendono conto del saccheggio dei loro dati, più che preoccuparsi di ricevere pubblicità mirata perdono invece fiducia nelle aziende coinvolte, rendendosi conto di essere loro stessi il prodotto venduto.
E da questa situazione che nasce l'esigenza di una maggiore protezione per la privacy degli internauti, proprio per difendere l'innovazione, l'economia, ed impedire una disassuefazione degli utenti per l'uso disinvolto delle nuove tecnologie da parte delle aziende. Esigenza particolarmente sentita in Europa ma anche negli USA, viste le recenti proposte di un DNT anche oltre oceano.
La proposta di legge americana, del 2011, però non prevede l'obbligo per i browser di avere attivo di default il DNT, rivelandosi in tal modo più debole della corrispondente europea, determinando incertezza negli utenti su come agire per una maggiore tutela della propria privacy.
La riforma europea, invece, è qualcosa di diverso rispetto al Do not track standard (DNT), in quanto il DNT prevede un comportamento attivo dell'utente per la regolamentazione dei cookie, quindi è di fatto un opt-out, mentre l'Europa stabilisce invece che sia il titolare del sito a dover chiedere il consenso all'uso dei cookie (opt-in), per cui anche in assenza di una risposta il cookie invadente non potrà essere inviato al computer dell'utente. Anche se poi alcune dichiarazioni del Commissario Kroes hanno confuso la situazione parlando semplicemente di DNT, probabilmente anche per la volontà di raggiungere un accordo globale con gli USA. Ma rimane il fatto che la normativa europea definisce una protezione per la privacy degli utenti decisamente maggiore rispetto alla proposta USA.
Quindi, fermo restando che l'applicazione "pratica" della riforma dipenderà molto dalle norme secondarie che introdurranno le varie autorità per la protezione della privacy negli Stati membri, ad una accurata analisi le critiche alla legge appaiono decisamente eccessive. Non c'è alcun pericolo per l'innovazione, c'è solo una richiesta di maggior rispetto dei dati personali quando si tratta di aziende che quei dati li usano per arricchirsi, generalmente senza nemmeno avvertire gli utenti del saccheggio dei loro dati. Del resto, tra le tante accuse mosse verso l'Europa, ad onor del vero l'unica accusa mai sollevata è proprio quella di non preoccuparsi della tutela degli utenti!
