Le avvisaglie si erano gi\u00e0 notate un mese o due fa, ma nell’ultima settimana c’\u00e8 stata un’escalation incredibile. Tutti o quasi i siti mostrano un avviso che spunta sulla pagina e che ci comunica che il sito usa i cookie e se noi vogliamo continuare a stare sul sito dobbiamo accettarli. In effetti non mi \u00e8 mai capitato di trovare un sito che permetta di rifiutare i cookie e ti lasci continuare la navigazione: non \u00e8 poi cos\u00ec strano, come vedremo tra poco. Il guaio \u00e8 che tutta questa storia avrebbe anche una sua logica: peccato che ormai sia diventata non solo inutile ma persino controproducente…<\/p>\n
La storia<\/a> inizia addirittura nel 1994, quando Netscape introdusse i primi cookie per sapere se l’utente era gi\u00e0 passato dal suo sito. Il cookie non \u00e8 altro che un’informazione che viene passata avanti e indietro tra un browser e un sito quando si va a leggere una pagina web, e permette di trasformare quello che inizialmente era un sistema “a domanda, rispondo” in un’interazione vera e propria. (Per la cronaca, Netscape brevett\u00f2 i cookie, e il brevetto sembra ora essere in mano a Microsoft<\/a>). Almeno in linea teorica, dunque, i cookie dipendono dal browser usato e dal sito contattato: in pratica le cose sono un po’ diverse, come vedremo.<\/p>\n Si pu\u00f2 fare a meno dei cookie? Non sempre, proprio perch\u00e9 diventeremmo come Dory in Alla ricerca di Nemo<\/i>: ci serve spesso sapere un po’ del nostro passato. I cookie sono tutti uguali? Assolutamente no. Ci sono cookie di sessione<\/b>, che quando chiudiamo il browser svaniscono nel nulla. Ci sono cookie di autenticazione<\/b>, che usiamo per esempio quando facciamo acquisti in rete per farci riconoscere. Ci sono cookie analytics<\/b>, che sono quelli che contano quanta gente \u00e8 andata a vedere il nostro bellissimo e importantissimo sito senza per\u00f2 tenere a mente chi<\/i> ci \u00e8 andato. Ci sono infine cookie di profilazione<\/b>, che sono quelli usati per farci vedere la cosiddetta “pubblicit\u00e0 mirata” – che poi sembra spesso che prendano la mira ad occhi chiusi, ma tant’\u00e8 – e quindi mantengono molte, forse troppe informazioni su di noi a nostra insaputa. Peggio ancora, soprattutto questi ultimi cookie possono essere di terze parti<\/b>; cos\u00ec pu\u00f2 capitare che io vada sul sito B e il server sappia che sono stato sul sito A. Non esattamente una bella cosa.<\/p>\n L’Unione Europea, che \u00e8 sempre stata attenta alla privacy, trattava questi temi gi\u00e0 nel 2002<\/a>(!), e nel 2003 abbiamo avuto il nostro Codice per la tutela dei dati personali<\/a>. Nel 2009 c’\u00e8 stato un nuovo pronunciamento UE, nel 2012 e nel 2013 sono state emesse delle linee guida, e finalmente a maggio 2014 il Garante per la Privacy ha emesso la sua sentenza<\/a>, anche a seguito di una consultazione pubblica dei cui risultati non sono riuscito a trovare traccia, e dando un anno di tempo a tutti per adeguarsi. Ricordo qualche piccolo commento l’anno scorso, ma come sempre ci siamo ridotti all’ultimo momento, sperando sempre che cambiasse qualcosa o almeno che ci fosse qualcuno da cui copiare il codice.<\/p>\n Bene: dal 2 giugno la norma \u00e8 in vigore, e cos\u00ec abbiamo tutti questi begli avvisi ovunque. Beh, su Facebook io non li ho visti, e su Google nemmeno, a dire il vero; e dire che quelli dovrebbero essere i siti principe che ci profilano. Noi poveri tenutari di blog possiamo fare come Massimo Mantellini<\/a>, che ha deciso di fare resistenza attiva e non mettere nulla; oppure cercare soluzioni precotte come quelle di Iubenda<\/a> che almeno tra i miei contatti sembra andare per la maggiore. Io ho scelto una via di mezzo, che dovrebbe seguire le direttive del Garante: in fin dei conti non ho pubblicit\u00e0 e quindi non mi \u00e8 mai stato necessario profilare gli utenti. In questo caso \u00e8 permesso evitare di chiedere all’utente di accettare i cookie, e si pu\u00f2 semplicemente mostrare l’informativa sui cookie presenti; il plugin Cookie Law Info<\/a> mi permette di mettere un avviso che dopo un po’ se ne va via da solo e non rompe troppo il visitatore – almeno spero. <\/p>\n Visto che poi il Garante permette la <\/p>\n \u00abpossibilit\u00e0 per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni\u00bb<\/p><\/blockquote>\n ho pensato di inserire nell’informativa un link a questa guida di Salvatore Aranzulla<\/a> che spiega come si pu\u00f2 aprire una sessione del browser per navigare in incognito. In questo modo tutti i cookie vengono cancellati quando si chiude la finestra, e il Garante \u00e8 contento. La cosa pi\u00f9 divertente \u00e8 che in questo modo probabilmente il numero di visitatori unici misurato dai cookie analytics crescer\u00e0<\/b>, il che male non fa per l’ego dei blogger; anzi forse la cosa pi\u00f9 divertente \u00e8 che la navigazione in incognito viene tipicamente usata… per visitare i siti porno, il che dimostra come questo continui ad essere una delle forze innovative principali per l’umanit\u00e0.<\/p>\n Una considerazione finale: sono gi\u00e0 apparsi script per nascondere<\/a> gli avvisi sui cookie, rendendoli quindi inutili. D’altra parte, come potete leggere per esempio qui<\/a>, sono gi\u00e0 disponibili varie tecniche per profilare un utente che non usano cookie, e quindi non sono toccate da questa normativa; e ci sono siti come http:\/\/fingerprint.pet-portal.eu\/ – non metto apposta il link – che come proof-of-concept ti fanno una fotografia della tua utenza… e peggio ancora usando tecniche indipendenti dal browser con cui ti connetti. Insomma, la solita idea magari nata con le migliori intenzioni ma che all’atto pratico \u00e8 diventata di impiccio solo per chi forse non sapeva neppure cosa succedeva dietro le quinte e certamente non faceva nulla di male con i dati degli utenti, e soprattutto rende la vita pi\u00f9 complicata a tutti noi.<\/p>\n Post Scriptum<\/b>: dopo una discussione su Twitter, mi sono accorto che il Garante avrebbe potuto anche dire che nel caso di semplice obbligo di informativa era sufficiente che l’informativa stessa fosse richiamata dalla home page del sito e\/o in una locazione specifica (un po’ come il file robots.txt). Il risultato pratico per il navigatore era lo stesso, e la complicazione per il gestore del sito molto minore…<\/p>\n