Cookie: nuove regole?

In questi giorni i titolari e gestori di siti web sono alle prese con un problema di non poco conto: adeguare i loro siti alla nuova normativa in materia di cookie.

In realtà la normativa non è propriamente “nuova”, in quanto risale al 2009. Per la precisione già nel 2002 la direttiva europea n. 58 prevedeva una specifica regolamentazione per i cookie, trasfusa anche nel nostro Codice per la protezione dei dati personali (nel quale si faceva riferimento ai “marcatori”). Tale regolamentazione è stata modificata dalla direttiva ePrivacy (2009/136/CE) recepita, però, con un certo ritardo dall'Italia, solo nel 2012. Dopo di ché si è dovuto attendere la regolamentazione di dettaglio, in materia di semplificazione per l'acquisizione del consenso, redatta dal Garante per la protezione dei dati personali, e pubblicata con il provvedimento 229/2014.

Con tale atto il Garante ha concesso un ulteriore termine di un anno per mettere a norma i siti web, termine che scade il 3 giugno 2015.

Cookie, ancora incertezze

Al di là delle problematiche tecniche e giuridiche per mettere a norma il sito web, alcune questioni sono comunque rimaste irrisolte, e le semplificazioni del Garante non aiutano a dirimere i dubbi.
Il problema principale riguarda i cookie di “terze parti”, cioè i cookie che provengono da soggetti esterni rispetto al sito visitato. Sono, per capirci, quelli installati da servizi di analisi del traffico, come Google Analytics, oppure i sempiterni plugin sociali, quei pulsanti (button) che consentono di condividere un articolo sul proprio profilo, Facebook, Twitter, LinkedIn, Google+, con un semplice click.

A tale proposito il provvedimento del Garante, sopra menzionato, rimarca che non è possibile porre in capo al gestore del sito l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie anche per quelli di terze parti. Questo perché il gestore del sito può non avere gli strumenti e le capacità per comprendere esattamente quali cookie vengono veicolati e con quali finalità.

Ma nonostante ciò, comunque le istruzioni del Garante precisano che il gestore del sito deve in ogni caso bloccare i cookie di terze parti fino a quando non ha ottenuto il consenso del visitatore alla loro installazione. L'incongruenza è in realtà spiegabile se si considera esattamente come funzionano i social plugin, visto che il problema si pone per questo tipo di servizi esterni.

Dalla normativa di riferimento europea e dalle istruzioni delle istituzioni, compresi i Garanti, si ricava che per i social plugin si deve distinguere a seconda dei casi. Se l'utente naviga in internet essendosi già loggato nel social di riferimento (es. Facebook), allora si ritiene che abbia già acconsentito a utilizzare il servizio di social plugin (al momento dell'iscrizione), e di conseguenza anche ad essere tracciato da Facebook, o Twitter o altro social. In tale caso il servizio rientra nell'esenzione di cui al criterio B del provvedimento del Garante (cioè cookie collegati ad un servizio espressamente richiesto).

Caso ben diverso si ha quando, invece, il visitatore del sito non si è loggato nel social di cui il sito presenta i plugin oppure, a maggior ragione, se non è nemmeno iscritto al social. In questo caso è ovvio che si tratta di servizio non espressamente richiesto che, tra l'altro, effettua una profilazione dell'utente. Per cui il cookie è soggetto a consenso preventivo.

Un cookie per trovarli

In teoria, quindi, la situazione dovrebbe essere semplice da gestire. Ma purtroppo non lo è affatto. E questo perché, mentre Google ha approntato strumenti per disabilitare alcuni dei suoi servizi così consentendo agli utenti almeno un opt-out, sembra che Facebook tracci i visitatori di un sito, attraverso i suoi plugin anche se non sono iscritti o loggati. Insomma registra tutto quello che fanno i visitatori di un sito che presenta i suoi social button, anche se non sono suoi utenti. Ecco perché il problema diventa anche dei gestori dei siti web, che devono di fatto sopperire alle carenze del social in blu.

Non si tratta di una novità, in quanto già in passato le autorità di garanzia tedesche avevano accusato Facebook di tali pratiche arrivando ad imporre ai siti istituzionali di alcuni lander la rimozione dei social plugin per evitare il tracciamento dei cittadini tedeschi. Lo stesso Garante italiano nella Relazione per il 2010 analizzava i comportamenti del social network rilevando «un’attività di profilazione dell’utente non iscritto, cui sono infatti associati periodicamente una serie di “potenziali amici” tra gli utenti della piattaforma». Cosa che documentò tecnicamente il ricercatore Nick Cubrilovic.
All'epoca Facebook si trincerò dietro al classico bug informatico, da risolvere in breve tempo. Ma come stanno le cose adesso?

Negli ultimi mesi alcuni Garanti europei (ma non il Garante italiano, sembra, nonostante le conclusioni della Relazione del 2010) hanno avviato indagini nei confronti di Facebook per analizzare le modalità di tracciamento degli utenti. In particolare il Garante del Belgio ha pubblicato un corposo documento basato su una ricerca del centro interdisciplinare di diritto e ICT (ICRI), del dipartimento di sicurezza informatica e crittografia dell'Università di Leuven e dal dipartimento dedicato alle telecomunicazioni, ai media e all'informatica (Smit) della Vrije Universiteit di Bruxelles. L'allegato riguardante l'utilizzo di cookie da parte di Facebook è estremamente esplicativo.

Un cookie per domarli

Secondo tale ricerca Facebook imposta dei cookie anche per i visitatori non iscritti al social network (non-users), che vengono inviati al dispositivo del “non utente” quando visitano una pagina Facebook ma anche altri specifici siti (es. myspace, mtv, ecc...). Una volta impostato il cookie, tutte le ulteriori visite vengono tracciate anche se il “non utente” naviga su un sito non appartenente a Facebook ma che incorpora i social plugin, e anche se detti plugin non vengono cliccati (quindi non vengono usati per condividere contenuti su Facebook).
I cookie di Facebook vengano impostati anche se si visita il sito europeo della Digital Advertising Alliance, un programma di autoregolamentazione delle aziende online in merito al tracciamento degli utenti a fini di profilazione, che fornisce un servizio per bloccare (opt-out) praticamente tutti i tracker di profilazione. Ebbene, visitando il sito europeo della DAA Facebook imposta un nuovo cookie (della durata di 2 anni, nonostante la UE preveda un massimo di 12 mesi per i cookie di profilazione), cosa che però, stranamente, non accade sull'equivalente sito americano o canadese.

In conclusione i social plugin, anche se non sempre impostano loro i cookie, sono in grado di leggerli, e secondo la ricerca commissionata dal Garante belga, lo fanno senza preoccuparsi del fatto se il visitatore è iscritto o meno al social network o è loggato oppure no in quel momento nel social network. E questo tracciamento non è interrotto nemmeno se l'utente si disiscrive da Facebook, oppure effettua l'opt-out dal sito che sta visitando.
Quindi Facebook realizza una profilazione (shadow profiles) anche di persone che non solo non hanno mai acconsentito, ma non ne hanno alcuna consapevolezza, così violando la normativa europea in materia di protezione dei dati personali. Tale profilazione è utilizzata per vendere spazi pubblicitari a terze parti, le quali potranno sfruttare i dati in possesso del social, quindi informazioni su età, sesso, stato sociale, relazioni, amicizie, contatti, educazione, lavoro, ecc...

e a Facebook incatenarli

Stando così le cose l'unico modo per impedire una profilazione del visitatore in assenza di consenso sta nell'imporre al gestore di un sito web di acquisire il consenso prima di veicolare i cookie dei social button, e così ha fatto il Garante belga.
Insomma, pare proprio che le difficoltà che incontrano i gestori di siti web nel mettere a norma i propri siti siano dovute non tanto ad una normativa carente, quanto piuttosto a scarsa adesione del social in blu.

Facebook ha, ovviamente, contestato tali conclusioni, sostenendo che lo studio contiene delle inesattezze e che loro rispettano la regolamentazione del Garante irlandese, dove si trova la sede europea dell'azienda. Bisogna però dire che il Garante per la privacy irlandese tende a porre particolare attenzione alle esigenze delle grandi aziende nell'attuazione della normativa in materia. A riprova di ciò un tribunale irlandese ha rinviato alla Corte di Giustizia europea la decisione in relazione ad un ricorso di un cittadino austriaco, laddove la stessa istanza era stata definita dal Garante “frivola e vessatoria”!

Al momento l'unico modo per prevenire tale tracciamento è utilizzare specifiche estensioni, come Privacy Badger, Ghostery o Disconnect, sviluppate proprio per bloccare le operazioni di tracciamento che non rispettano eventuali indicazioni contrarie degli utenti (come il Do Not Track del browser).
In ogni caso le autorità europee proseguono nelle loro indagini che potrebbero sfociare in una vera azione contro l'azienda di Zuckerberg.