05 febbraio 2011

Come cambia la disciplina dei Cookies

Il 25 maggio si avvicina, e entro questa data sarà necessario che gli Stati membri dell’EU implementino la nuova disciplina sui Cookies prevista dalle modifiche alla Direttiva 58/2002 (Direttiva ePrivacy).

Flashback. Prima del novembre 2009, la Direttiva prevedeva che per usare i Cookies (sia in fase di distribuzione/storage nei computer degli utenti, sia per il successivo accesso/lettura da parte di siti/network) fosse necessario fornire una informativa e la facoltà di opt-out.  In altre parole, era sufficiente che il sito visitato o il servizio usato fornisse (magari nelle privacy policy) una spiegazione delle modalità e finalità dell’utilizzo dei Cookies. E dall’altra parte, al browser spettava il compito di fornire un modo per rifiutare l’utilizzo dei Cookies, di fatto predisponendolo tra le preferenze di configurazione.

Cosa cambia dopo il 25 maggio. Le modifiche alla Direttiva prevedono che sia l’utente, sempre previa informativa, a fornire attivamente il proprio consenso all’utilizzo dei Cookies.  La modifica ha cambiato la regola di default e ha trasformato il meccanismo di consenso (prima di opt-out) in un opt-in

Ovviamente, le conseguenze per l’user experience potrebbero essere considerevoli, senza contare quello che ha da anni dimostrato lo studio del behavioral economics, cioè che quando a un individuo è presentata una scelta complicata (ma neanche tanto complicata), se non obbligato a scegliere, sceglierà di non scegliere (BTW, se non avete ancora letto Predictably Irrational andate a comprarlo).  Altrimenti detto, il numero degli utenti che presterà il consenso sarà una minima frazione di quelli che oggi ricevono i Cookies.

Il Working Party, interpretando la Direttiva, ci ha tenuto a specificare che tale consenso deve essere prestato liberamente, deve essere specifico e deve essere revocabile in ogni momento.  Pertanto, secondo il Working Party, le impostazioni di default dei browser, e le pratiche di default degli Ads Networks dovrebbero tutte tenere i Cookies “spenti” fino al momento in cui non sia l’utente, attivamente, a richiederne l’attivazione.

La Direttiva (alquanto restrittiva nello spirito) tuttavia lascia aperti, per gli Stati membri, spazi di manovra non indifferenti che potrebbero portare a una certa flessibilità applicativa (e una discrasia tra le varie regolamentazioni nazionali).

Ad esempio, il consenso ai Cookies non è richiesto se l’utilizzo di Cookies è strettamente necessario alla prestazione del servizio richiesto dall’utente.  Cosa si intende per strettamente necessario è difficile da definire, soprattutto considerato che i servizi online si evolvono sempre più velocemente.

È necessario che il sito consenta l’accesso senza password, ricordandosi dell’utente? È necessario che il sito condivida l’identità dell’utente con altri siti (ad esempio per postare automaticamente contenuti su Facebook o Twitter)? È necessario che il servizio sia in grado di selezionare contenuti rilevanti per l’utente?  La risposta dipende da cosa si intende per strettamente necessario... e, a costo di una scarsa user-experience, niente è necessario.

Ancora, potrebbero esservi interpretazioni diverse e differenze tra uno Stato e un altro rispetto alle modalità con cui il consenso deve essere ottenuto. Un form sul sito, un tick sul browser, una email con un link per confermare –queste modalità saranno considerate sufficienti a garantire che il consenso prestato sia libero, specifico e, soprattutto, revocabile?  E ancora, la disciplina sulla durata (o expiration) dei Cookies prevede che questa sia limitata al tempo necessario alle finalità del servizio offerto— ecco di nuovo che si parla di user-experience.  Va da sé che i Cookies di un sito di on-line banking non avranno la stessa natura e funzione di quelli di un on-line magazine, ma definire cosa sia “necessario” non è semplice.

Insomma, il potenziale per discussioni e variazioni interpretative è ingentissimo e nel frattempo si affacciano nei parlamenti nazionali i progetti di legge per l’implementazione della direttiva.  Nei parlamenti Francese, Olandese e Tedesco rispettivamente il dibattito sembra essersi orientato verso un approccio flessibile nell’interpretare il paradigma dell’opt-in, posto alla base della Direttiva.  Con ciò si delinea una certa sensibilità per le ricadute che un approccio restrittivo potrebbe avere sull’intera industria e il risultato potrebbe essere quello di considerare sufficienti meccanismi di informativa più trasparenti e rigorosi.   In particolare, in Germania pare che l’esistente legge federale possa essere considerata sufficiente a soddisfare la Direttiva modificata e, quindi, nulla cambierà.

Da parte nostra, aspettiamo di vedere presto quale sarà l’approccio del legislatore italiano e di potere apprezzare la sua sensibilità verso un industria che, proprio in Italia, già stenta a competere con quella degli altri paesi europei.

Qui sotto, il testo della modifica alla Direttiva, per esercitarsi a prevederne l’implementazione :)

Article 5(3) shall be replaced by the following:

3. Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal  equipment  of a subscriber  or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service.

Post più popolari