Un QR Code è come un Bacio: esaltante, ma spesso ci sono delle complicazioni.

Questo titolo potrebbe tranquillamente essere scritto dentro la carta dei cioccolatini... Oops!
I Baci Perugina (che Dio li benedica) sono leggendari, il cioccolatino per eccellenza.
Sul pianeta, chiunque sa che questi piccoli capolavori, oltre al piacere del cioccolato, nascondono un segreto: sul bigliettino con infinite frasi, citazioni e variazioni sull'amore.
Il foglietto dei baci perugina fa parte di noi, da sempre, è inimitabile, rimarrà il solo ed unico come accade anche per i post-it, per lo scotch, per le zip, per i tappi a corona della birra e per pochissime altre cose destinate a diventare un mito vivente.
Ma da oggi qualcosa è cambiato. Ricorderemo San Valentino 2025 come l'anno che ci ha portato via le frasi dei cioccolatini, lasciandoci un QR Code.
Ho visto la promozione di San Valentino e non ho potuto resistere alla tentazione, pur subodorando cosa sarebbe accaduto da lì a poco.

Sei fantastici Baci che divorerei volentieri ma che, diligentemente, ho portato alle mie figlie. Loro non sono a dieta.
È stato divertente vederle aprire la confezione e frugare alla ricerca del foglietto per leggere la frase e sognare ad occhi aperti, una continuità generazionale che si è presto interrotta quando, al posto della frasetta, hanno trovato un QR Code.
Pur sapendo benissimo come usare il QR Code, con mia poca sorpresa, hanno appallottolato e gettato il foglietto assieme al resto dell'incarto, senza cercare di nascondere una certa delusione.
Ho recuperato l'incarto ed eccoci qui:

Nel cartiglio ho trovato un codice digitale leggibile solo con un telefono. Per essere utilizzato deve essere scansionato con uno smartphone (o un computer) perché un essere umano non è in grado di decifrarlo. In effetti, i QR Code sono nati pensando alle macchine, per sveltire le operazioni di lettura tramite dispositivo: sono una evoluzione del codice a barre, esattamente come quello presente sulla confezione che è lo standard per la lettura ottica dei prodotti in cassa. Ma siamo sicuri che lo standard delle frasi d'amore sia il QR Code? A giudicare dalla reazione delle mie figlie, direi di no.
In questo momento ho avuto la mia prima delusione. Non sarebbe costato molto aggiungere nella stampa anche l'indirizzo web con caratteri leggibili ad un essere umano. Sarebbe bastato questo: https://nes.tl/q/cartiglio20 . Non vorrei pensare male, ma avrei un sospetto del perchè non sia stato aggiunto l'indirizzo in chiaro e leggibile, temo che si desideri evitare proprio che venisse letto. Dalla sua decodifica è facile immaginare che cambiando il numerino finale (20) si possa accedere ad un contenuto differente senza dover divorare un altro Bacio. Sarebbe altrettanto facile capire che la serie è assai limitata perchè, aver provato i numeri fino a zero e dopo aver provato i numeri crescenti, sarebbe arrivato un messaggio di errore: l'ultimo url valido. Fine del gioco.
Come DPO non posso che pensare a quanto sia sbagliato proporre un QR Code senza indicare anche l'indirizzo di destinazione. Significa fare di tutto per portare l'utente ad utilizzare uno smartphone, facendo affidamento sulla sua pigrizia, sulla praticità e sulle abitudini tipiche di ogni utente. Questo si avvicina molto a ciò che io definirei un "Dark Pattern" e non mi piace affatto perchè è un modo per comprimere la libertà di scelta della gran parte delle persone che scarteranno un Bacio. Un ulteriore problema è dato dalla normalizzazione del QR Code senza indicazione della destinazione: non deve diventare la normalità, ogni utente dovrebbe poter vedere prima dove lo porterà la scansione dell'immagine.
Il QR Code che ho recuperato è uno di una serie di venti. Significa che siamo passati da una sconfinata raccolta di romantici pensieri e poesie a sole venti variazioni sul tema. Seconda delusione.
Analizzando il foglietto si può verificare che contiene il link ad un sito breve, un sistema di abbreviazione degli indirizzi lunghi che viene spesso utilizzato per poter reindirizzare verso pagine web con un indirizzi illeggibili e, in effetti, la destinazione ha un url decisamente lungo:
La terza delusione è stata grande, molto grande. Per fortuna che l'amore per i Baci è forte perché, se così non fosse, avrebbe potuto vacillare.
Quello che ora mi domando è se questo amore sia reciproco e se il rapporto che potrà nasce sarà consensuale... più no che sì.
Il sito di destinazione è una cornucopia di tracker e strumenti di profilazione dell'utenza. Ho marcato quelli che mi preoccupano di più:

Alcune delle voci indicate sono perfettamente legittime, anzi, utili, come nel caso delle CDN. Altre sono un incubo per la riservatezza e la protezione dei dati personali dei visitatori e sono identificati come analytics o fingerprinting.
In pratica cosa accade? Che ogni visitatore che capita su queste pagine viene radiografato da cime a fondo, il server cerca di recuperare ogni possibile informazione relativa al dispositivo utilizzato ma anche al suo proprietario come, ad esempio, la sua posizione geografica. i dati sono poi interconnessi con quelli già raccolti dai partner. Tutte queste informazioni sono utilizzate per fare delle elaborate statistiche, utili per capire dove sono graditi i Baci e dove occorre fare più promozione o abbassare i prezzi. Purtroppo gli stessi dati vengono silenziosamente condivisi con una serie di soggetti terzi, i partner, altre aziende che hanno un solo scopo nella vita: profilare l'utenza e vendere i dati per finalità di marketing. Sono le voci con un numero maggiore di faccine arrabbiate. Alcune di queste sono comunemente identificate come minacce per la riservatezza degli utenti e bloccate da quasi tutti i filtri per la protezione della navigazione. Ma non tutti sanno usare questi filtri e, pensando agli smartphone, la percentuale delle persone che installano queste protezioni è decisamente esigua... hoi hoi, ora il sospetto iniziale sta a prendendo forma e mi piace ancora meno.
Visitando la pagina si apre il cookie banner che spiega cosa sta accadendo.
Parafraso: "Ti ho messo la mano sul culo ma lo sto facendo per il tuo bene.".
Si, lo ammetto, un po' della poesia che i Baci hanno sempre suscitato in me sta sfumando.

Il banner è fatto bene, prevede tutti gli elementi che il Garante Privacy e il GDPR richiedono, prevede la possibilità di scelta tra accettare o rifiutare, non ci sono dark pattern, punta all'informativa privacy generale del sito e alla cookie policy .
C'è un "ma", anzi un paio di "ma"
1) i contenuti annidati nel cookiebanner non sono completi, non sono descritti tutti i tracker presenti nel sito. Anzi, la maggior parte non sono citati. Il banner fa riferimento sostanzialmente ad una parte di essi.
2) i cookie di facebook sono definiti come funzionali, in realtà, dovrebbero attivarsi solo quando l'utente desidera utilizzare determinate funzioni. Per esempio, se apro una mappa si dovrebbero attivare gli oggetti funzionali alla sua visualizzazione o alla sua interazione. Nel sito i cookie di facebook non sono funzionali a nulla, se non a condividere con facebook i dati degli utenti. Inoltre con facebook risultano presenti anche tracker non funzionali e preordinati alla profilazione per fini autonomi di marketing da parte di facebook.
3) a quanto pare, i tracker sono attivi, scambiano dati e funzionano già prima che l'utente abbia espresso il consenso. Mentre ci sta pensando, per così dire. Un pò come incrociare una sconosciuta per strada, darle un bacio appassionato e poi chiederle: "buongiorno signorina, posso offrirle un caffè e baciarla con ardore?"
Il rapporto amoroso tra me e i Baci è diventato un triangolo. Anzi, forse assomiglia più ad un pentaicosagono perchè i partner sono diventati tanti, pur avendoli rifiutati tutti.
Ci sarebbero altre cose da dire sull'informativa ma il discorso diventerebbe troppo tecnico e non ho intenzione di fare l'analisi dello stato della compliance di Perugina o dei suoi siti. Il mio scopo è raccontare la mia personalissima esperienza di utente, a benefico di altri utenti e, a tal fine, ho solo un consiglio per chi, come me, ama i Baci Perugina: potendo scegliere, è meglio acquistare quelli con il cartiglio tradizionale, senza contenuti multimediali o, nel caso, utilizzare i QR Code solo ed esclusivamente con adeguate protezioni, come si farebbe con un partner occasionale.
Nella metafora, il partner occasionale non è certo Perugina ma i suoi ulteriori partner, quelli che sono comparsi all'interno del nostro rapporto che, da esclusivo, è diventato un po' troppo promiscuo per i miei gusti... cito dall'informativa: "raccogliere informazioni utili per consentire a noi e ai nostri partner di fornirti annunci personalizzati in base ai tuoi interessi. ".
Non so se sul culo ho abbastanza spazio per tutte queste mani.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.
Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.