Indice
L’interminabile battaglia dell’utente contro il banner
La reazione tipica al banner dei cookie è di fastidio. Ma dal momento in cui compare in avanti, è difficile generalizzare il comportamento degli utenti. Molti sono ancora piuttosto disinteressati al tema privacy, e scelgono la via semplice: “Accetta tutto”. Che è come avere un ospite e invitarlo a fare come fosse a casa propria. Può andar bene, semplifica la relazione… ma qualcuno più indiscreto potrebbe prenderla alla lettera, sentendosi autorizzato a curiosare immediatamente in tutti gli armadi, aprire ogni anta, rovistare nei cassetti, verificare tutto quel che c’è nel frigo, ecc.
E i siti web, spesso, sono come l’ospite indiscreto. Per cui, sempre più persone hanno iniziato a difendere il diritto di non essere sottoposte a pratiche di profilazione. Ci si oppone ormai attivamente alla cessione di informazioni verso quei soggetti che, coi dati, hanno costruito dei veri e propri imperi economici.
Così, come tanti Don Chisciotte a difesa della propria autodeterminazione informativa, ci si trova a sfidare i mulini a vento dei banner, alla ricerca di un (solitamente meno raggiungibile) “Accetta solo i cookie selezionati”, “Rifiuta tutto”, “Usa solo i cookie necessari”. Nei casi più assurdi, ci si può perfino imbarcare in lunghe marce di “de-selezione” di consensi pre-flaggati che autorizzano i legittimi interessi del titolare. Un paradossale controsenso divenuto tuttavia piuttosto diffuso.
Una battaglia impegnativa, talvolta inutile, e che non dovremmo essere tenuti a ingaggiare. Soprattutto se l’abbiamo già combattuta, e addirittura vinta, magari una settimana fa, o ieri, o solo qualche ora fa.
A cosa serve il banner?
Sia chiaro, il problema non è il banner in sé. Il banner rappresenta “la cortesia del sito”. I banner è il suo modo di raccontarci cosa deve sapere per poter continuare a dialogare con noi, cos’altro vorrebbe sapere di noi anche se può farne a meno, ed è il suo modo di chiederci il permesso di farsi gli affari nostri. È, quindi, la soluzione migliore di cui dispone al momento per consentirci di esprimere il nostro diritto alla riservatezza. Un sito senza banner, come il ladro che si infiltra di nascosto passando per la porta sul retro, sarebbe ben peggio dell’ospite indiscreto. Ma sul ladro non abbiamo dubbi, è chiaro a tutti che non dovrebbe avere accesso ai nostri spazi.
Più subdola, invece, è l’“eccessiva cortesia” di chi, continuando a offrirci qualcosa, o qualcosa in più, si mostra sordo al dissenso. Facendo leva sulla nostra fretta, o sullo sfinimento, ci porta a compiere scelte che non ci rappresentano. Usando le parole del Garante, rappresenta una problematica comune la “ridondante e invasiva riproposizione […] del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito”.
In parole povere, se ho già rifiutato i tuoi cookie una volta, non è il caso di insistere.
Quali sono le prassi corrette?
Un buon sito deve invece registrare la scelta dell’utente, anche e soprattutto quando è negativa, e deve evitare sollecitazioni finalizzate a ottenere nuove espressioni e nuove risposte. Le uniche 3 eccezioni in cui ciò è ammesso (anzi, è corretto), sono ben esplicitate nelle nuove Linee guida del Garante a tutela degli utenti.
Con tale documento, l’Autorità ha finalmente riportato un po’ di chiarezza sulle pratiche corrette in materia di cookie, dopo che i contenuti del Provvedimento generale del 2014, non esattamente stravolti ma comunque divenuti in qualche modo obsoleti, stavano vivendo un periodo di “caos” interpretativo, complici l’entrata in vigore del GDPR nel 2018 e la diffusione delle Linee guida dell’EDPB sul consenso nel 2020.
Ma torniamo alle 3 eccezioni. Nelle nuove linee guida (e nella chiara Scheda di sintesi che le accompagna), è stato reso ora molto esplicito e impossibile da fraintendere. I siti web possono, e dovrebbero, riproporre il banner:
1) se c’è qualcosa di nuovo da mostrare all’utente – perché il banner serve anche a informare su significative modifiche ai trattamenti di dati;
2) se non sono in grado di riconoscere l’utente – ad esempio, perché quest’ultimo ha cancellato la cronologia dal suo dispositivo;
3) se si sono sinceramente dimenticati delle scelte fatte dall’utente – perché, in linea col principio di limitazione della conservazione, la memoria delle informazioni non dev’essere mai a tempo indeterminato.
L’ultimo punto ci porta dritti al dunque.
Dopo quanto tempo ripresentare il banner?
Nel configurare il proprio sistema di gestione dei consensi, molti sviluppatori di siti finiscono col domandarsi: quanto tempo devo mantenere registrata l’informazione sulla scelta fatta dall’utente? Dopo quanto tempo, posso ripresentare il banner?
La risposta è secca ed è sempre il Garante a indicarla nell’ultima versione delle Linee guida: 6 mesi dalla precedente presentazione del banner.
6 mesi è il periodo di tempo dopo il quale puoi legittimamente pensare che l’utente, forse, sia ora pronto ad assaggiare i tuoi biscotti.
Attenzione, perché 6 mesi è anche il periodo di tempo che l’Autorità ci ha concesso per “digerire” le sue ultime indicazioni e rendere i nostri siti pienamente conformi. Dal 9 gennaio 2022, quindi, potremmo iniziare a vedere qualche controllo in più. E il rischio di sanzione legato a una cattiva gestione dei cookie (spesso trascurato “perché tanto non si è ancora adeguato nessuno”) potrà diventare molto più realistico.