La nuova normativa privacy sui cookie dal 3 giugno impatta su chiunque faccia business, a vario titolo, con e attraverso il web. È per questo motivo che viene percepita come un piccolo terremoto per l’ecosistema web italiano, a maggior ragione se si considera che il digitale non è riuscito ancora a mettere solide radici nell’imprenditoria italiana (siamo agli ultimi posti in Europa per uso di internet da parte delle Pmi, di cui solo il 5,1% vende online). La normativa del Garante Privacy, che attua la direttiva europea 2009/136, ha un effetto diverso a seconda di due circostanze: se il sito usa o no “cookie di profilazione”. Questi sono usati abitualmente per profilare gli utenti a scopo pubblicitario. Ad avere questi cookie sono quindi certo tutti i siti che vivono di pubblicità. Ma anche quelli e-commerce, che devono profilare per personalizzare l’offerta di prodotti.
Non solo: ci si può ritrovare, sul sito, cookie di profilazione anche se non siamo noi a usarli e quindi a “profilare” i nostri utenti. Capita con i cookie di terze parti, ossia perlopiù quelli di Google/Youtube e Facebook. La casistica è ampia: gli esercenti, i ristoratori che sul sito pubblicano una mappa di Google con il proprio indirizzo o integrano i “Mi Piace” della propria pagina Facebook. Chiunque usi Google Analytics per tenere traccia dei visitatori o usi bottoni per la condivisione social o faccia “embed” di un video YouTube in un post.
È possibile, con vari plugin o opzioni di pubblicazione, impedire che questi strumenti usino cookie di profilazione. Chi ha solo quelli di terze parti e non vuole guadagnare dalla pubblicità ha interesse a evitare cookie di questo tipo. In tal modo, avendo soltanto “cookie tecnici”, potrà limitarsi a pubblicare una informativa privacy informale sul proprio sito.
Altrimenti, chi non può evitare cookie di profilazione, è sottoposto agli aspetti più onerosi della nuova normativa. Dovrà fare apparire un banner all’utente informandolo che il sito usa cookie di profilazione, con un link a un’informativa estesa, dove dovrà fornire i dettagli e la possibilità di negare il consenso all’installazione di qualsiasi cookie. L’utente può dare il consenso in vario modo: non solo con un clic sul banner ma anche semplicemente chiudendolo o “scrollando”.
Il gestore del sito dovrà anche notificare il Garante, nel caso di cookie di profilazione. L’aspetto più gravoso è che dovrà attrezzare il sito per bloccarli prima che l’utente vi dia il consenso. Al momento non c’è un modo semplice ed efficace per farlo, alla portata di tutti. Molte Pmi ed esercenti che non hanno risorse informatiche all’interno dovranno quindi pagare un tecnico.
Il rischio è di un effetto scoraggiamento a stare sul web, per alcune piccole imprese o esercenti. Oppure potrebbero essere indotti ad affidare tutta la propria presenza online a piattaforme come Facebook o (per l’e-commerce) Amazon, eBay. «Effetto paradossale, se si considera che la normativa europea era pensata per ricondurre a regole privacy le grandi piattaforme americane.
È infatti un tassello di una grande battaglia che l’Europa sta conducendo per limitarne il potere, con misure che vanno dal fisco, alla privacy, all’antitrust», dice Ernesto Belisario, avvocato esperto di diritto digitale. Critico è anche Roberto Liscia, presidente di Netcomm (Consorzio del Commercio elettronico), che ora sta interloquendo con il Garante per addolcire alcuni termini della legge. Su chi non ottempera pende la minaccia di sanzioni da 6 mila fino a 120 mila euro, ma il Garante ha già comunicato che per ora si asterrà dal farle, confermando il clima di dialogo con le parti.
