L’Unione Europea ci sta ripensando, sui cookies

Dal 2018 chiunque navighi su un sito all’interno dell’Unione Europea deve innanzitutto cliccare su un banner per accettare o meno i cosiddetti cookies. La legge europea sulla privacy che ha imposto questi banner ha avuto un impatto enorme sulla navigazione online, rallentando l’esperienza quotidiana degli utenti e rendendo alla lunga il click su “accetta” un comportamento automatico per molti.

Ora, secondo alcuni documenti ottenuti da Politico, la Commissione Europea ci sta ripensando, e vorrebbe cambiare la legge per renderla meno rigida. Tra i motivi ci sono le pressioni delle piattaforme online e le accuse di aver imposto troppi limiti allo sviluppo digitale e tecnologico nell’Unione Europea.

I cookies sono piccoli file di testo che i siti salvano nei dispositivi degli utenti per riconoscerli e ricordare le loro preferenze. È grazie ai cookies, per esempio, che i siti di e-commerce “ricordano” i prodotti che gli utenti hanno aggiunto al loro carrello. In questo senso i cookies sono strumenti che rendono la vita più facile agli utenti. Possono però anche essere sfruttati per ottenere informazioni personali sugli utenti da vendere a terzi, motivo per cui l’Unione Europea era intervenuta per regolamentarli.

Tutto iniziò nel 2002, con la Direttiva ePrivacy (poi rivista nel 2009), secondo la quale i siti dovevano ricevere il consenso esplicito da parte degli utenti per poterne utilizzare i cookies. L’impatto della Direttiva fu una prima proliferazione sui siti di banner e finestre per il consenso. Per quanto riguarda l’Italia, un passaggio importante è stato il provvedimento con cui, nel 2014, il Garante della Privacy ha stabilito ulteriori regole, ad esempio con l’istituzione di due banner: uno breve a comparsa immediata contenente la richiesta di consenso ai cookies, e una sua versione estesa.

Nel 2018 entrò in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR). Tra le altre cose estese e regolamentò ulteriormente l’utilizzo dei cookies, rendendo gli avvisi sui siti obbligatori e inevitabili, quantomeno nell’Unione Europea. Questo ha reso le norme europee che regolano il settore digitale tra le più stringenti al mondo, tanto che molte grandi aziende tecnologiche (perlopiù statunitensi) hanno accusato l’Unione Europea di rallentare l’innovazione e approfittare dei progressi fatti altrove.

Secondo Politico, la Commissione vuole risolvere il problema introducendo un numero di casi in cui i siti possono fare a meno di chiedere il consenso agli utenti. Un’altra opzione prevede che gli utenti possano impostare le loro preferenze riguardo ai cookies una sola volta (dalle impostazioni del loro browser) e non a ogni visita di un sito web. Secondo quanto rivelato da Politico, inoltre, la Commissione vorrebbe presentare a dicembre un testo con cui eliminare alcuni obblighi imposti agli editori digitali.

I funzionari della Commissione hanno, secondo Politico, incontrato alcuni rappresentanti dell’industria tecnologica per discutere di come cambiare la gestione dei cookies. L’iniziativa segue di pochi mesi la proposta del governo danese, che ha la presidenza di turno del Consiglio dell’Unione Europea, di rimuovere l’obbligo di consenso sui cookies quando i dati vengono raccolti per «funzioni tecnicamente necessarie e semplici statistiche».

L’eventuale modifica di queste norme potrebbe avere un impatto globale. L’influenza delle leggi europee al di fuori dell’Unione, infatti, è nota da tempo: lo chiamano “Bruxelles Effect”, ed è la tendenza delle leggi europee a influenzare quelle degli altri paesi. Anche il GDPR aveva avuto un effetto simile, ispirando leggi sul settore digitale in Canada, Brasile, Cina e India, tra gli altri.

Ciò nonostante, il GDPR è stato anche molto criticato, e non solo perché ha reso l’esperienza del web un po’ più fastidiosa, con finestre pop-up spesso moleste. Nel settembre del 2024, l’ex presidente del Consiglio e della Banca Centrale Europea Mario Draghi aveva presentato un rapporto sui limiti dell’Unione Europea e sulla sua mancanza di competitività rispetto ad altri paesi, in cui aveva criticato apertamente le norme europee sul settore tecnologico e digitale.

Nel suo rapporto, Draghi si era concentrato soprattutto sull’eccessiva regolamentazione nell’UE, che avrebbe lasciato buona parte dell’innovazione nel settore tecnologico agli Stati Uniti. Draghi ha citato in particolare il GDPR e l’AI Act, la legge europea per regolare le intelligenze artificiali entrata in vigore nel 2024, che avrebbero contribuito a creare «barriere normative alla crescita particolarmente gravose nel settore tecnologico, soprattutto per le aziende giovani».