Sta per entrare in vigore la direttiva e-Privacy che richiede ai colossi del web di ottenere sempre il consenso prima di installare sui Pc i file utilizzati per monitorare le attività online degli utenti. Ma è caos sull’implementazione della normativa
di Nicola Bruno
Si chiamano cookie (termine inglese per “biscotto”), ma non hanno nulla a che vedere con i dolci.
Sono file di testo scambiati tra il computer con cui navighiamo e i server dei siti web che consultiamo. Nati per semplificare la vita dell’utente online (permettendogli, ad esempio, di poter visualizzare il proprio carrello sempre pieno mentre va avanti e indietro sulle pagine di un sito di e-commerce), col tempo sono diventati sempre più sofisticati, tanto che ora si distingue tra cookie “buoni” e cookie “cattivi”.
BUONI E CATTIVI - I cookie buoni sono quelli ospitati dalla maggior parte dei siti web: consentono, ad esempio, di non doversi autenticare ogni volta che si torna su Facebook e l’email, o di personalizzare l’esperienza su un sito web. Quelli “cattivi”, invece, sono utilizzati per tracciare le attività degli utenti, permettendo di capire quali sono i nostri gusti e così offrirci inserzioni sempre più mirate.
I cookie possono infatti raccogliere informazioni molto dettagliate sul computer da cui provengono: mettendo insieme più biscottini è possibile creare profili sulle abitudini degli utenti, per poi bombardarli con pubblicità mirata (hai visitato un sito sulla gravidanza? Ecco comparirti sempre più inserzioni su pannolini e biberon). Ma non finisce qui: col tempo è nato tutto un business dedicato al compravendita dei profili, che costituiscono un bottino prezioso per chi vive di pubblicità online. Ma anche una pericolosa forma di invasione della privacy degli utenti, che al momento possono difendersi solo attraverso gli strumenti di navigazione anonima offerti da alcuni browser.
LA DIRETTIVA - L’Unione Europea ha da tempo dichiarato guerra ai cookie cattivi e a tutto il business che ci gira intorno. Nel 2009 Bruxelles ha approvato la direttiva e-Privacy che prova a mettere ordine in un settore del tutto deregolamentato e così garantire maggiore riservatezza agli utenti. Tra le novità introdotte: la necessità di chiedere sempre il consenso agli utenti prima di installare un cookie (opt-in) e semplificazione del processo attraverso cui si chiede di non essere più monitorati (opt-out). La normativa dovrà essere recepita dagli stati membri proprio in questi giorni, ma non è ancora chiaro quali saranno le conseguenze pratiche per i gestori di siti web e per gli stessi utenti. Da una parte perché qualsiasi sito web utilizza cookie buoni che non per forza minacciano la privacy dell’utente. Dall’altra perché nel tempo sono nati i cosiddetti cookie-terzi (gestiti cioè dalle compagnie che offrono pubblicità su più siti web), che vanno a complicare ulteriormente le cose: secondo un’interpretazione severa della direttiva per navigare sulla maggior parte dei siti web dovremmo dare più di un’autorizzazione.
Si aggiunga a ciò che l’Unione Europea è stata del tutto ambigua sulle misure specifiche da adottare e quindi c’è il rischio - come mette in luce il Wall Street Journal - che in fase di attuazione ogni Paese interpreti la normativa in maniera diversa, dando così vita ad una vera e propria babele giuridica.
COSA CAMBIA - L’iter che ha portato all’approvazione della direttiva e-Privacy è stato a dir poco travagliato. In un primo momento il testo della normativa prevedeva che un sito web doveva sempre chiedere il consenso anticipato (opt-in) all’utente prima di installare un cookie sul suo computer. I giganti della pubblicità online si sono però duramente battuti contro questa norma, perché ritenuta troppo macchinosa e potenzialmente disastrosa per i propri interessi. Il giro d’affari della pubblicità online nell’Unione Europea si aggira infatti intorno ai 14,7 miliardi di euro all’anno. Proprio alla vigilia dell’approvazione della direttiva, la lobby della réclame online è riuscita a far eliminare la parte in cui si parlava di “consenso anticipato”. E così nella bozza finale si parla solo di un’autorizzazione generica. Come e dove ottenere questo consenso costituisce ora il pomo della discordia. Così come controverse sono le modalità attraverso cui i gestori di siti web dovranno consentire agli utenti di non essere tracciati (opt-out).
LE DIFFICOLTA’ - “Gli stati membri recepiranno la normativa in maniera del tutto frammentata” ha spiegato a Bloomberg Kimon Zorbas, vice presidente di IAB Europe, il gruppo che riunisce le maggiori aziende che operano online nel vecchio continente. Secondo Korbas, la normativa è “molto confusa” e “potrebbe portare incertezza legale e nervosismo sui mercati”.
Al momento solo Estonia e Danimarca hanno recepito la direttiva. Olanda e Gran Bretagna si sono orientate verso una forma di consenso leggero e non invasivo, da ottenere attraverso le impostazioni del browser (ad esempio: basta dare l’autorizzazione una volta a Facebook e poi questo potrà installare tutti i cookie che vuole). Ma secondo Article 29 Data Protection Working Party, il gruppo di lavoro che riunisce tutti i Garanti per la Privacy dell’Ue, sarebbe meglio chiedere all’utente il consenso per ogni singolo cookie installato sul computer.
Insomma le interpretazioni divergono. Ad aggiungere caos al caos è poi anche la posizione di IAB Europe che spinge invece per un “codice di autoregolamentazione” con cui i colossi pubblicitari si impegnano ad offrire un consenso “informato”. Tra le proposte c’è anche quella di un’icona da far comparire su ogni banner pubblicitario; cliccando su di essa si potrebbe visualizzare le informazioni raccolte e nel caso disattivare del tutto il monitoraggio.
In mezzo a tutta questa confusione, la maggior parte degli stati membri sta per ora a guardare.
Il Parlamento italiano è ancora in ritardo sull’approvazione della direttiva: al momento è in discussione alla Camera, poi dovrebbe passare al Senato e infine approdare al Ministero dello Sviluppo Economico che è tenuto infine a emanare le linee guida per i gestori di siti web.
Si chiamano cookie (termine inglese per “biscotto”), ma non hanno nulla a che vedere con i dolci.
Sono file di testo scambiati tra il computer con cui navighiamo e i server dei siti web che consultiamo. Nati per semplificare la vita dell’utente online (permettendogli, ad esempio, di poter visualizzare il proprio carrello sempre pieno mentre va avanti e indietro sulle pagine di un sito di e-commerce), col tempo sono diventati sempre più sofisticati, tanto che ora si distingue tra cookie “buoni” e cookie “cattivi”.
BUONI E CATTIVI - I cookie buoni sono quelli ospitati dalla maggior parte dei siti web: consentono, ad esempio, di non doversi autenticare ogni volta che si torna su Facebook e l’email, o di personalizzare l’esperienza su un sito web. Quelli “cattivi”, invece, sono utilizzati per tracciare le attività degli utenti, permettendo di capire quali sono i nostri gusti e così offrirci inserzioni sempre più mirate.
I cookie possono infatti raccogliere informazioni molto dettagliate sul computer da cui provengono: mettendo insieme più biscottini è possibile creare profili sulle abitudini degli utenti, per poi bombardarli con pubblicità mirata (hai visitato un sito sulla gravidanza? Ecco comparirti sempre più inserzioni su pannolini e biberon). Ma non finisce qui: col tempo è nato tutto un business dedicato al compravendita dei profili, che costituiscono un bottino prezioso per chi vive di pubblicità online. Ma anche una pericolosa forma di invasione della privacy degli utenti, che al momento possono difendersi solo attraverso gli strumenti di navigazione anonima offerti da alcuni browser.
LA DIRETTIVA - L’Unione Europea ha da tempo dichiarato guerra ai cookie cattivi e a tutto il business che ci gira intorno. Nel 2009 Bruxelles ha approvato la direttiva e-Privacy che prova a mettere ordine in un settore del tutto deregolamentato e così garantire maggiore riservatezza agli utenti. Tra le novità introdotte: la necessità di chiedere sempre il consenso agli utenti prima di installare un cookie (opt-in) e semplificazione del processo attraverso cui si chiede di non essere più monitorati (opt-out). La normativa dovrà essere recepita dagli stati membri proprio in questi giorni, ma non è ancora chiaro quali saranno le conseguenze pratiche per i gestori di siti web e per gli stessi utenti. Da una parte perché qualsiasi sito web utilizza cookie buoni che non per forza minacciano la privacy dell’utente. Dall’altra perché nel tempo sono nati i cosiddetti cookie-terzi (gestiti cioè dalle compagnie che offrono pubblicità su più siti web), che vanno a complicare ulteriormente le cose: secondo un’interpretazione severa della direttiva per navigare sulla maggior parte dei siti web dovremmo dare più di un’autorizzazione.
Si aggiunga a ciò che l’Unione Europea è stata del tutto ambigua sulle misure specifiche da adottare e quindi c’è il rischio - come mette in luce il Wall Street Journal - che in fase di attuazione ogni Paese interpreti la normativa in maniera diversa, dando così vita ad una vera e propria babele giuridica.
COSA CAMBIA - L’iter che ha portato all’approvazione della direttiva e-Privacy è stato a dir poco travagliato. In un primo momento il testo della normativa prevedeva che un sito web doveva sempre chiedere il consenso anticipato (opt-in) all’utente prima di installare un cookie sul suo computer. I giganti della pubblicità online si sono però duramente battuti contro questa norma, perché ritenuta troppo macchinosa e potenzialmente disastrosa per i propri interessi. Il giro d’affari della pubblicità online nell’Unione Europea si aggira infatti intorno ai 14,7 miliardi di euro all’anno. Proprio alla vigilia dell’approvazione della direttiva, la lobby della réclame online è riuscita a far eliminare la parte in cui si parlava di “consenso anticipato”. E così nella bozza finale si parla solo di un’autorizzazione generica. Come e dove ottenere questo consenso costituisce ora il pomo della discordia. Così come controverse sono le modalità attraverso cui i gestori di siti web dovranno consentire agli utenti di non essere tracciati (opt-out).
LE DIFFICOLTA’ - “Gli stati membri recepiranno la normativa in maniera del tutto frammentata” ha spiegato a Bloomberg Kimon Zorbas, vice presidente di IAB Europe, il gruppo che riunisce le maggiori aziende che operano online nel vecchio continente. Secondo Korbas, la normativa è “molto confusa” e “potrebbe portare incertezza legale e nervosismo sui mercati”.
Al momento solo Estonia e Danimarca hanno recepito la direttiva. Olanda e Gran Bretagna si sono orientate verso una forma di consenso leggero e non invasivo, da ottenere attraverso le impostazioni del browser (ad esempio: basta dare l’autorizzazione una volta a Facebook e poi questo potrà installare tutti i cookie che vuole). Ma secondo Article 29 Data Protection Working Party, il gruppo di lavoro che riunisce tutti i Garanti per la Privacy dell’Ue, sarebbe meglio chiedere all’utente il consenso per ogni singolo cookie installato sul computer.
Insomma le interpretazioni divergono. Ad aggiungere caos al caos è poi anche la posizione di IAB Europe che spinge invece per un “codice di autoregolamentazione” con cui i colossi pubblicitari si impegnano ad offrire un consenso “informato”. Tra le proposte c’è anche quella di un’icona da far comparire su ogni banner pubblicitario; cliccando su di essa si potrebbe visualizzare le informazioni raccolte e nel caso disattivare del tutto il monitoraggio.
In mezzo a tutta questa confusione, la maggior parte degli stati membri sta per ora a guardare.
Il Parlamento italiano è ancora in ritardo sull’approvazione della direttiva: al momento è in discussione alla Camera, poi dovrebbe passare al Senato e infine approdare al Ministero dello Sviluppo Economico che è tenuto infine a emanare le linee guida per i gestori di siti web.
