05 febbraio 2011

Come cambia la disciplina dei Cookies

Il 25 maggio si avvicina, e entro questa data sarà necessario che gli Stati membri dell’EU implementino la nuova disciplina sui Cookies prevista dalle modifiche alla Direttiva 58/2002 (Direttiva ePrivacy).

Flashback. Prima del novembre 2009, la Direttiva prevedeva che per usare i Cookies (sia in fase di distribuzione/storage nei computer degli utenti, sia per il successivo accesso/lettura da parte di siti/network) fosse necessario fornire una informativa e la facoltà di opt-out.  In altre parole, era sufficiente che il sito visitato o il servizio usato fornisse (magari nelle privacy policy) una spiegazione delle modalità e finalità dell’utilizzo dei Cookies. E dall’altra parte, al browser spettava il compito di fornire un modo per rifiutare l’utilizzo dei Cookies, di fatto predisponendolo tra le preferenze di configurazione.

Cosa cambia dopo il 25 maggio. Le modifiche alla Direttiva prevedono che sia l’utente, sempre previa informativa, a fornire attivamente il proprio consenso all’utilizzo dei Cookies.  La modifica ha cambiato la regola di default e ha trasformato il meccanismo di consenso (prima di opt-out) in un opt-in

Ovviamente, le conseguenze per l’user experience potrebbero essere considerevoli, senza contare quello che ha da anni dimostrato lo studio del behavioral economics, cioè che quando a un individuo è presentata una scelta complicata (ma neanche tanto complicata), se non obbligato a scegliere, sceglierà di non scegliere (BTW, se non avete ancora letto Predictably Irrational andate a comprarlo).  Altrimenti detto, il numero degli utenti che presterà il consenso sarà una minima frazione di quelli che oggi ricevono i Cookies.

Il Working Party, interpretando la Direttiva, ci ha tenuto a specificare che tale consenso deve essere prestato liberamente, deve essere specifico e deve essere revocabile in ogni momento.  Pertanto, secondo il Working Party, le impostazioni di default dei browser, e le pratiche di default degli Ads Networks dovrebbero tutte tenere i Cookies “spenti” fino al momento in cui non sia l’utente, attivamente, a richiederne l’attivazione.

La Direttiva (alquanto restrittiva nello spirito) tuttavia lascia aperti, per gli Stati membri, spazi di manovra non indifferenti che potrebbero portare a una certa flessibilità applicativa (e una discrasia tra le varie regolamentazioni nazionali).

Ad esempio, il consenso ai Cookies non è richiesto se l’utilizzo di Cookies è strettamente necessario alla prestazione del servizio richiesto dall’utente.  Cosa si intende per strettamente necessario è difficile da definire, soprattutto considerato che i servizi online si evolvono sempre più velocemente.

È necessario che il sito consenta l’accesso senza password, ricordandosi dell’utente? È necessario che il sito condivida l’identità dell’utente con altri siti (ad esempio per postare automaticamente contenuti su Facebook o Twitter)? È necessario che il servizio sia in grado di selezionare contenuti rilevanti per l’utente?  La risposta dipende da cosa si intende per strettamente necessario... e, a costo di una scarsa user-experience, niente è necessario.

Ancora, potrebbero esservi interpretazioni diverse e differenze tra uno Stato e un altro rispetto alle modalità con cui il consenso deve essere ottenuto. Un form sul sito, un tick sul browser, una email con un link per confermare –queste modalità saranno considerate sufficienti a garantire che il consenso prestato sia libero, specifico e, soprattutto, revocabile?  E ancora, la disciplina sulla durata (o expiration) dei Cookies prevede che questa sia limitata al tempo necessario alle finalità del servizio offerto— ecco di nuovo che si parla di user-experience.  Va da sé che i Cookies di un sito di on-line banking non avranno la stessa natura e funzione di quelli di un on-line magazine, ma definire cosa sia “necessario” non è semplice.

Insomma, il potenziale per discussioni e variazioni interpretative è ingentissimo e nel frattempo si affacciano nei parlamenti nazionali i progetti di legge per l’implementazione della direttiva.  Nei parlamenti Francese, Olandese e Tedesco rispettivamente il dibattito sembra essersi orientato verso un approccio flessibile nell’interpretare il paradigma dell’opt-in, posto alla base della Direttiva.  Con ciò si delinea una certa sensibilità per le ricadute che un approccio restrittivo potrebbe avere sull’intera industria e il risultato potrebbe essere quello di considerare sufficienti meccanismi di informativa più trasparenti e rigorosi.   In particolare, in Germania pare che l’esistente legge federale possa essere considerata sufficiente a soddisfare la Direttiva modificata e, quindi, nulla cambierà.

Da parte nostra, aspettiamo di vedere presto quale sarà l’approccio del legislatore italiano e di potere apprezzare la sua sensibilità verso un industria che, proprio in Italia, già stenta a competere con quella degli altri paesi europei.

Qui sotto, il testo della modifica alla Direttiva, per esercitarsi a prevederne l’implementazione :)

Article 5(3) shall be replaced by the following:

3. Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal  equipment  of a subscriber  or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service.

22 giugno 2010

Servizi di Certificazione per Privacy Policy

In questi giorni ho avuto modo di valutare se era il caso di ottenere, per la mia start-up, un sigillo di garanzia sulla privacy policy.  Alla fine ho deciso di no... E ho scritto un post (in inglese) dove considero brevemente i pro e i contro di questo tipo di servizi di certificazione.
Questo e' il LINK.

23 maggio 2010

Facebook Pensa di Cambiare le Privacy Policy. Di Nuovo...

Ci avevamo messo un po' a capire le nuove policy e soprattutto tutte le opzioni disponibili, gli affiliate programs, l'accesso da parte delle application etc.  E adesso, pare sia ora di ricominciare da capo a studiare le privacy policy di Facebook.
Mark si e' reso conto che qualcosa non andava ed era davvero il caso di porre rimedio...
Pero' cambiare con tale frequanza le policy costitutisce gia' un ostacolo alla effettiva capacita' del pubblico di capire cosa succede ai propri dati.
Almeno spero FB invii ai propri utenti una notifica delle modifiche... e magari anche una spiegazione di come usare le opzioni disponibili.

14 maggio 2010

Google: Impegni con AGCM

A seguito di una instruttoria aperta dall'Autorita' Antitrust, su segnalazione della Federazione Italiana Editori di Giornali, Google si e' impegnato a mantenere una condotta piu' trasparente e pro-competitiva in relazione a due dei suoi prodotti di punta:  Google News e AdSense.
In particolare, Google promette di continuare a tenere separati i crawler di Google News da quelli di Google Search; e di rivelare piu' dettagli sul calcolo dei compensi spettanti ai publisher affiliati ad AdSense.
Qui il documento con gli impegni presentati da Google alla autorita'.
Mi pare che la questione in effetti riguardi soprattutto quello che succede nella scatola nera di AdSense.
Il problema della trasparenza dell' intermediazione nel mercato della pubblicita' online e' noto a chiunque ha provato a giocare un po' con AdSense e AdWords per capire cosa succede nel mezzo.  Fino ad ora Google ha fatto leva sui suoi trade secrets per portare avanti un approccio del tipo: "come, non ti fidi di me?"
A questo punto entra in gioco Google News e il contestato abuso di posizione dominante per il rischio esclusione dei contenuti.  E allora visto che la minaccia di pull-out da Google tout court sarebbe stata una "idle threat", cioe' un suicidio (oltre che di fatto un danno enorme per la liberta' di espressione) si sono separati i meccanismi di indicizzazione.
Search da una parte e News dall'altra. In realta' questi erano separati gia' da prima, ma Google non si era mai impegnato a mantenerli separati per il futuro.  In questo modo si garantisce ai publisher la possibilita' di sottrarsi al content-aggregator e al contempo di continuare a fruire dei referral di google search.
Tuttavia, a ben vedere c'e' dell'altro: utilizzando contenuti di publishers "istituzionali",  Google News deve aver intaccato le revenues dei publishers e probabilmente i meccanismi di rev-share creati da AdSense non sono stati considerati sufficientemente appetibili e trasparenti per compensare la perdita di traffico diretto sui siti di tali publisher...
Peraltro, l'impegno di Google a una maggiore trasparenza sui dettagli di rev-share con AdSense potrebbe avere ulteriori conseguenze pro-concorrenziali ove si mettessero in luce meccanismi di price discrimination tra publisher e altri content provider. E anche il piccolo blogger ne potrebbe beneficiare.
older post

Post più popolari