L’obbligo di acquisire il consenso degli utenti che accedono a siti e piattaforme online crea confusione e costi nelle aziende. E non protegge la privacy degli utenti
di Andrea Monti – PC Professionale
Dal 2 giugno è in vigore la cookie law che, in nome della tutela della privacy, obbliga i gestori di piattaforme online ad acquisire il consenso all’utilizzo dei cookie degli utenti che vi accedono. Questo ennesimo (e inutile) carico burocratico ha creato molta confusione nel mondo delle imprese e fra gli utenti che utilizzano mezzi individuali di espressione (blog, per esempio) oltre al timore di subire sanzioni pesantissime da parte del Garante dei dati personali. Lo stato di cose è stato accentuato da articoli e commenti poco informati e dai soliti “venditori di insicurezza” che non hanno perso l’occasione per accreditarsi come i “salvatori della patria”.
In realtà la situazione creata dalla “cookie law” è molto meno grave di quanto sia stato detto come è facile capire semplicemente leggendo la normativa.
Innanzi tutto, la “cookie law” non è una legge, ma un provvedimento del Garante dei dati personali, che applica in modo molto soggettivo la direttiva comunitaria sulla profilazione degli utenti. Per esempio, il provvedimento in questione reitera l’errore concettuale di pensare che Internet sia esclusivamente fatta di HTTP e non considera che gli utenti potrebbero avere javascript e altre forme di interazione software disabilitate e che dunque determinati meccanismi di avviso potrebbero non funzionare.
Trattandosi di un provvedimento e non di una legge, la “cookie law” non può creare più responsabilità di quelle che già ci sono, né istituire nuove sanzioni, dovendo riferirsi a quelle previste dalle norme vigenti.
Le norme vigenti – in particolare la direttiva europea sulla protezione dei dati personali e il Codice dei dati personali che la applica in Italia – tutelano i dati personali intesi come quelli che da soli o insieme ad altri rendono identificata o identificabile una persona. Dal che deriva che i dati anonimi possono essere trattati liberamente.
Vediamo come incide questo ragionamento sui servizi online e partiamo dalla fase dell’accesso alla rete.
Quando l’utente dell’operatore A si collega alla rete di quest’ultimo, egli si autentica, riceve un numero IP e comincia a scambiare dati con risorse di rete. Fino a quando l’utente rimane sulla rete dell’operatore A, quest’ultimo è in grado, almeno presuntivamente, di sapere chi stia usando il terminale che sta accedendo. È chiaro che l’operatore A sta trattando dati personali.
Se invece l’utente appartenente alla rete dell’operatore A si collega a una risorsa disponibile sulla rete dell’operatore B, per quest’ultimo l’utente è del tutto anonimo. Fino a quando, infatti, l’utente si limita a consultare la risorsa in questione senza effettuare login o senza usare altre forme di autenticazione, tutto ciò che il sistema acceduto registra è un insieme di dati di traffico privi della caratteristica che li trasforma in dati personali: le generalità dell’utente. Le cose,ricordiamolo, stanno diversamente per l’operatore A (quello che fornisce l’accesso). Egli, infatti, autentica e identifica il cliente e ha dunque la possibilità di associare i dati di traffico all’identità del sottoscrittore del contratto. Certo, l’utente materiale potrebbe essere diverso da chi ha acquistato l’accesso, ma per semplificare il ragionamento poniamo che le due figure siano coincidenti.
Consegue da questo ragionamento che qualsiasi forma di profilazione basata sui soli dati di traffico indeboliti (perché non contengono l’identità della persona) è del tutto lecita anche senza il consenso dell’interessato. Dunque per questa categoria di utenti la “cookie law” non si applica.
Altro discorso vale per le piattaforme di e-commerce, social-networking e – in generale – tutti quei servizi che presuppongono l’identificazione certa dell’utente, e infatti già in fase di registrazione. Ma sulla base degli obblighi vigenti anche prima della “cookie law”, i clienti avevano il diritto di manifestare il proprio consenso informato e selettivo anche per l’utilizzo dei cookie a scopo di profilazione individuale. Anche per questa categoria di operatori, dunque, la “cookie law” è inutilmente sovrabbondante.
Ma se le cose stanno così, perché è stata emanato un provvedimento sostanzialmente inutile? Una possibile risposta è che il Garante dei dati personali abbia finalmente realizzato che la profilazione costruita su dati anonimi è altrettanto, se non più, efficace di quella eseguita su dati personali, e che rifiuti di non avere potere su una mole di trattamenti veramente enorme. E dunque, pure se i dati anonimi sono al di fuori della sua “giurisdizione”, cerca di farli entrare sotto il suo controllo con una singolare e discutibile interpretazione della legge.
In conclusione, dunque, siamo di fronte all’ennesimo inutile fardello burocratico che, senza tutelare effettivamente i diritti degli utenti, diventa l’ennesima scure brandita sull’industria digitale italiana. Che, con visione pragmatica delle cose, si è subito adattata a fare quello che chiede il Garante: tutelare la privacy degli utenti pubblicando un banner e un’informativa.
Non c’è che dire: da oggi, grazie alla “cookie law” possiamo dormire sonni più tranquilli.
Andrea Monti
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte