L’Unione Europea e la grana dei cookie

Da alcuni mesi, il Wall Street Journal sta dedicando molta attenzione alla protezione dei dati personali online con numerosi articoli e inchieste. Paul Sonne e John W. Miller si occupano oggi sulle pagine del giornale dell’Unione Europea e dei suoi tentativi di regolamentare l’utilizzo dei “cookie”, i file che vengono caricati sui nostri computer quando visitiamo un sito web o compiamo delle particolari azioni come fare acquisti online o autenticarci in un social network. Questi file consentono di fatto di monitorare la navigazione su Internet degli utenti, e per questo motivo le istituzioni cercano da tempo di regolamentarne l’utilizzo, ma produrre leggi chiare e applicabili in materia non è semplice.

Lo scorso anno l’Unione Europea ha approvato una direttiva che impone alle società di richiedere il consenso degli utenti prima di utilizzare i cookie. Gli stati membri tardano però a recepire le nuove norme perché mancano regole chiare da inserire nelle leggi dei singoli paesi.

Le società che si occupano di Internet, gli inserzionisti pubblicitari, i legislatori, gli esperti di privacy e gli stati membri dell’UE non riescono a trovare un accordo sul significato della direttiva. È sufficiente richiedere il consenso agli utenti mentre impostano le preferenze dei loro browser per i cookie? Un piano messo in piedi dalle società per consentire agli utenti di vedere quali informazioni vengono tracciate sarebbe sufficiente? L’utente dovrebbe scegliere se accettare o meno un cookie ogni volta che visita un sito web?

Gli interrogativi sono molti, ma fino a ora l’Unione Europea non è riuscita a rispondere efficacemente alle obiezioni degli stati membri e degli altri soggetti che si occupano di Internet. Salvo cambiamenti di programma, l’UE fornirà le linee guida entro i primi mesi del 2011 ed entro maggio i singoli stati dovranno tradurre le direttive in leggi nazionali. Il timore, spiegano sul Wall Street Journal, è che ogni stato provveda con regolamenti diversi, che potrebbero complicare la vita non solo agli utenti, ma anche alle società che gestiscono i siti Internet, accessibili senza limitazioni geografiche.

La storia delle nuove direttive sui cookie è iniziata più di due anni fa. Secondo la precedente direttiva, una volta entrati in un sito web, gli utenti potevano scegliere di non utilizzare i cookie cambiando una impostazione del loro browser. Salvo impostazioni predefinite diverse del programma per navigare online, la decisione di impedire l’uso dei cookie era quindi successiva alla visita di un sito web. Nel corso della discussione per la nuova direttiva, alcuni membri del Parlamento europeo hanno proposto di invertire la procedura, così da consentire agli utenti di scegliere se consentire o meno l’utilizzo dei cookie prima di visitare un sito web. Nella bozza della direttiva comparve così un riferimento alla necessità di ottenere un “consenso anticipato” da parte degli utenti prima di lasciare sui loro computer un cookie.

Quella proposta allarmò le società che si occupano della pubblicità online in Europa, che genera volumi d’affari annui intorno ai 14,7 miliardi di euro, stando alle rilevazioni dell’Interactive Advertising Bureau. Un consenso anticipato era «qualcosa con cui non saremmo potuti sopravvivere» ricorda Kimon Zorbas, il vicepresidente del Bureau. In una lettera dell’aprile del 2009 inviata ai legislatori, il Bureau e cinque altre organizzazioni hanno definito la proposta costosa e dannosa. Del Bureau fanno parte anche Facebook, Google e Amazon.

Le principali società attive sul Web fecero molte pressioni e alla fine ottennero, a poche ore dal voto della direttiva nel maggio 2009, che la parte sul consenso anticipato venisse rimossa dal testo. Alle nuove norme fu però aggiunto un passaggio molto vago sulla necessità di avere il consenso anticipato attraverso le impostazioni dei browser, una aggiunta poco chiara e ambigua che ora potrebbe portare a interpretazioni diverse da parte dei singoli stati membri e dagli operatori del settore.

Secondo le società che gestiscono i siti web la direttiva non cambierebbe di fatto le precedenti regole sui cookie: le impostazioni del browser per la loro gestione sarebbe quindi sufficiente e non ci sarebbe motivo di dover accettare ogni volta i singoli cookie. Per le associazioni a tutela della privacy, invece, la direttiva stabilisce che «nessun cookie, nessun sistema per spiare o tracciare le attività degli utenti devono essere presenti sui computer salvo diversa indicazione».

Neelie Kroes, il commissario europeo per l’agenda digitale, dovrà cercare di mediare tra le due interpretazioni, fornendo linee guida chiare. Kroes ha inoltre proposto alle società che operano online di adottare un codice di autoregolamentazione comune, che potrebbe consentire all’UE di applicare regole meno rigide. L’Interactive Advertising Bureau ha proposto di introdurre negli spazio per la pubblicità online una piccola icona, uguale per tutti, sulla quale cliccare per visualizzare le informazioni tracciate dal cookie e per consentire a chi lo desidera di disattivare la raccolta di informazioni. La proposta sarà presentata il prossimo 16 dicembre e l’UE fornirà un proprio parere sul nuovo sistema nelle prime settimane del prossimo gennaio, prima di pubblicare le linee guida per l’applicazione della nuova direttiva sui cookie.