Le avvisaglie si erano già notate un mese o due fa, ma nell’ultima settimana c’è stata un’escalation incredibile. Tutti o quasi i siti mostrano un avviso che spunta sulla pagina e che ci comunica che il sito usa i cookie e se noi vogliamo continuare a stare sul sito dobbiamo accettarli. In effetti non mi è mai capitato di trovare un sito che permetta di rifiutare i cookie e ti lasci continuare la navigazione: non è poi così strano, come vedremo tra poco. Il guaio è che tutta questa storia avrebbe anche una sua logica: peccato che ormai sia diventata non solo inutile ma persino controproducente…

La storia inizia addirittura nel 1994, quando Netscape introdusse i primi cookie per sapere se l’utente era già passato dal suo sito. Il cookie non è altro che un’informazione che viene passata avanti e indietro tra un browser e un sito quando si va a leggere una pagina web, e permette di trasformare quello che inizialmente era un sistema “a domanda, rispondo” in un’interazione vera e propria. (Per la cronaca, Netscape brevettò i cookie, e il brevetto sembra ora essere in mano a Microsoft). Almeno in linea teorica, dunque, i cookie dipendono dal browser usato e dal sito contattato: in pratica le cose sono un po’ diverse, come vedremo.

Si può fare a meno dei cookie? Non sempre, proprio perché diventeremmo come Dory in Alla ricerca di Nemo: ci serve spesso sapere un po’ del nostro passato. I cookie sono tutti uguali? Assolutamente no. Ci sono cookie di sessione, che quando chiudiamo il browser svaniscono nel nulla. Ci sono cookie di autenticazione, che usiamo per esempio quando facciamo acquisti in rete per farci riconoscere. Ci sono cookie analytics, che sono quelli che contano quanta gente è andata a vedere il nostro bellissimo e importantissimo sito senza però tenere a mente chi ci è andato. Ci sono infine cookie di profilazione, che sono quelli usati per farci vedere la cosiddetta “pubblicità mirata” – che poi sembra spesso che prendano la mira ad occhi chiusi, ma tant’è – e quindi mantengono molte, forse troppe informazioni su di noi a nostra insaputa. Peggio ancora, soprattutto questi ultimi cookie possono essere di terze parti; così può capitare che io vada sul sito B e il server sappia che sono stato sul sito A. Non esattamente una bella cosa.

L’Unione Europea, che è sempre stata attenta alla privacy, trattava questi temi già nel 2002(!), e nel 2003 abbiamo avuto il nostro Codice per la tutela dei dati personali. Nel 2009 c’è stato un nuovo pronunciamento UE, nel 2012 e nel 2013 sono state emesse delle linee guida, e finalmente a maggio 2014 il Garante per la Privacy ha emesso la sua sentenza, anche a seguito di una consultazione pubblica dei cui risultati non sono riuscito a trovare traccia, e dando un anno di tempo a tutti per adeguarsi. Ricordo qualche piccolo commento l’anno scorso, ma come sempre ci siamo ridotti all’ultimo momento, sperando sempre che cambiasse qualcosa o almeno che ci fosse qualcuno da cui copiare il codice.

Bene: dal 2 giugno la norma è in vigore, e così abbiamo tutti questi begli avvisi ovunque. Beh, su Facebook io non li ho visti, e su Google nemmeno, a dire il vero; e dire che quelli dovrebbero essere i siti principe che ci profilano. Noi poveri tenutari di blog possiamo fare come Massimo Mantellini, che ha deciso di fare resistenza attiva e non mettere nulla; oppure cercare soluzioni precotte come quelle di Iubenda che almeno tra i miei contatti sembra andare per la maggiore. Io ho scelto una via di mezzo, che dovrebbe seguire le direttive del Garante: in fin dei conti non ho pubblicità e quindi non mi è mai stato necessario profilare gli utenti. In questo caso è permesso evitare di chiedere all’utente di accettare i cookie, e si può semplicemente mostrare l’informativa sui cookie presenti; il plugin Cookie Law Info mi permette di mettere un avviso che dopo un po’ se ne va via da solo e non rompe troppo il visitatore – almeno spero.

Visto che poi il Garante permette la

«possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni»

ho pensato di inserire nell’informativa un link a questa guida di Salvatore Aranzulla che spiega come si può aprire una sessione del browser per navigare in incognito. In questo modo tutti i cookie vengono cancellati quando si chiude la finestra, e il Garante è contento. La cosa più divertente è che in questo modo probabilmente il numero di visitatori unici misurato dai cookie analytics crescerà, il che male non fa per l’ego dei blogger; anzi forse la cosa più divertente è che la navigazione in incognito viene tipicamente usata… per visitare i siti porno, il che dimostra come questo continui ad essere una delle forze innovative principali per l’umanità.

Una considerazione finale: sono già apparsi script per nascondere gli avvisi sui cookie, rendendoli quindi inutili. D’altra parte, come potete leggere per esempio qui, sono già disponibili varie tecniche per profilare un utente che non usano cookie, e quindi non sono toccate da questa normativa; e ci sono siti come http://fingerprint.pet-portal.eu/ – non metto apposta il link – che come proof-of-concept ti fanno una fotografia della tua utenza… e peggio ancora usando tecniche indipendenti dal browser con cui ti connetti. Insomma, la solita idea magari nata con le migliori intenzioni ma che all’atto pratico è diventata di impiccio solo per chi forse non sapeva neppure cosa succedeva dietro le quinte e certamente non faceva nulla di male con i dati degli utenti, e soprattutto rende la vita più complicata a tutti noi.

Post Scriptum: dopo una discussione su Twitter, mi sono accorto che il Garante avrebbe potuto anche dire che nel caso di semplice obbligo di informativa era sufficiente che l’informativa stessa fosse richiamata dalla home page del sito e/o in una locazione specifica (un po’ come il file robots.txt). Il risultato pratico per il navigatore era lo stesso, e la complicazione per il gestore del sito molto minore…

Aggiornamento: (6 giugno) Il Garante ha aggiunto dei chiarimenti che chiariscono poco – sarebbe stato più comodo avere qualche esempio specifico 🙂