{{feedLink}}

La California precede l'UE con la norma sulla gestione centralizzata dei Cookie.

cookiebanner Christian Bernieri
(Aggiornato il )
AI generated

L'8 ottobre il governatore della California ha firmato tre provvedimenti incentrati sulla privacy. Non è una novità, da quelle parti sono piuttosto rigorosi in materia, anzi, sono avveniristici rispetto agli altri stati americani e persino rispetto a Washington. 

Uno di questi, il California Opt Me Out Act, ha bruciato sul tempo la Commissione Europea, arrivando a disciplinare una materia attualmente sul tavolo del nostro legislatore: la gestione del consenso attraverso impostazioni globali del browser.

In pratica, dato che i cookie banner hanno tediato abbastanza e scassato l'anima a mezzo mondo, si vuole fare qualcosa per impedire che ogni maledetto sito web visitato continui a stressare l'utente con noiose richieste di consenso a trattamenti assortiti e fantasiosi. L'obbligo di legge che ha introdotto i cookiebanner, in Europa, è previsto dalla direttiva E-Privacy e, successivamente, dal GDPR, ma lo scassamento dovuto alle richieste di consenso, in realtà, ha un'origine diversa: la precisa scelta politica degli operatori.

 

Se una norma è fastidiosa, come si può fare per neutralizzarla? Facile, basta favorire un sentimento comune di ostilità verso tale norma, in modo che i benefici siano invisibili e vengano percepiti solo gli aspetti peggiori della sua applicazione. Sarà poi la gente a disattendere la norma stessa. È accaduto esattamente questo.

La corretta applicazione delle norme avrebbe dovuto portare ad un web pulito, privo di richieste di consenso o, quanto meno, di richieste molto soft, marginali, utili solo per attivare funzioni accessorie rispetto a quelle che un visitatore occasionale può ragionevolmente desiderare.

Ma no, non è andata così. L'industria del web, le aziende, gli sviluppatori, tutti gli operatori del settore hanno iniziato a moltiplicare i banner, come Gremlins buttati in piscina, a renderli ingombranti e ostili, arrivando a posizionarli come un impedimento fisico alla fruizione dei contenuti. Sono state implementate richieste di consenso perentorio, obbligatorio, impossibili da ignorare e, soprattutto, inutili. Non è ciò che chiede la norma.

Già, perché il consenso non è sempre necessario, anzi, nei miei corsi lo definisco come una base di legittimazione residuale, alla quale si ricorre solo se non c'è un'altra base di legittimazione più adatta. Un cliente, per esempio, non deve dare alcun consenso proprio perché è un cliente: c'è un contratto che giustifica i trattamenti necessari. Un obbligo di legge non richiede consenso. Persino un legittimo interesse permette di evitare superflue richieste di consenso.

Ed è così che ci siamo trovati immersi in siti che, con la scusa di dover rispettare una norma brutta ed antipatica, ostacolano l'utente in ogni modo possibile immaginabile.

Dietro a questa politica si nascondono degli obbiettivi secondari che la prudenza mi suggerisce di non affrontare... ma io spesso sbaglio!

 

Dietro a questo caos di bottoni, click, consensi, banner, pop-up e finestrelle, si nasconde un poderoso interesse economico e si è capito molto velocemente che un utente esasperato finirà per cliccare ogni banner pur di chiuderlo, senza leggere nulla.

"Cheppalle la solita finestrella per la privacy", un po' la stessa cosa che si pensa firmando un qualsiasi contratto di abbonamento o servizio: "firmi qui per la privacy". 

Chi legge ciò che clicca? Nessuno, perché nessuno ha il tempo per leggere tutto ciò che gli viene proposto, scritto in caratteri minuscoli, con parole incomprensibili e in modo da demotivare l'utente.

L'interesse economico è li, annidato in quelle firme e quei click distrattamente regalati da milioni di utenti e, guarda caso, abilitano ad una miriade di trattamenti irrilevanti rispetto al servizio principale che l'utente desidera, irrilevanti persino per la mera navigazione su un sito web.

Questo è il punto: per il GDPR, non serve alcuna firmetta, né alcun click per ottenere ciò che desidera l'utente. La firmetta e il click servono solo al gestore del servizio per ottenere ciò che desidera lui!

Dietro quei banner ci sono solo trattamenti non necessari, non utili all'utente, non richiesti, non desiderabili, ma estremamente remunerativi per l'industria della profilazione. Se l'utente fosse veramente consapevole di ciò che gli viene chiesto, non risponderebbe con un annoiato click sulla casellina "Acconsento, fai pure quello che ti pare con i miei dati.", ma con un doppio-click stizzito sulla casellina "Mavaffanculo!" 

Per questo stiamo navigando nella bonaccia, tra siti che ci chiedono di condividere i nostri dati per la qualunque e con mille mila "selezionatissimi" partner. 

 

Dietro a quel banner c'è anche un altro interesse che, dal mio punto di vista, è persino peggiore: l'interesse economico dei venditori di banner.

In pratica, il proprietario di un sito pulito, che non avrebbe bisogno nient'altro che un link nel footer e una paginetta statica di informativa, una cosa banalissima che richiede 5 minuti di lavoro, viene convinto da sedicenti consulenti o sviluppatori prezzolati (ai quali arriva una percentuale del fatturato dal produttore di banner) che, per essere a norma, ha assolutamente bisogno di un cookiebanner, dotato di AI e blockchain, che scansioni in tempo reale il sito alla ricerca di nuovi cookie e che aggiorni dinamicamente l'informativa, gestendo e documentando il consenso di ogni utente, a norma di legge e con mille certificazioni. Ma per favore!

Ma dove?  Questo è l'equivalente di una profezia auto-avverante del tipo: "Prevedo che sto per darti una sberla".... "Sblam".      

Un sito che non avrebbe bisogno di niente, viene dotato di un cookiebanner talmente invasivo che, per essere a norma, ha bisogno di un cookiebanner per autorizzare i suoi stessi trattamenti. Un meccanismo diabolico e molto costoso, anche perché si parla di licenze da acquistare e di abbonamenti da sottoscrivere.  Non so perché ma nella mia mente si è appena aperto un pop-up con scritto dentro "Iubenda", che strano!

Non c'è limite al peggio.

 

In questo disastroso contesto, volendo provare a migliorare le cose, anziché chiedere semplicemente agli operatori di applicare la norma in modo corretto, smettendola di prendere per i fondelli i Garanti e le persone, si è pensato bene di modificare la norma facendo sì che ogni utente possa impostare il proprio browser con settaggi globali che ogni sito dovrà rispettare.

Nel cervellino del legislatore questo porterà alla scomparsa dei banner e delle estenuanti richieste di inutili o perniciosi consensi, ma non sarà così.

Voglio contare quanti gestori di siti web si attrezzeranno per gestire il nuovo parametro che, a guardare bene, c'è già, solo che nessuno se ne è accorto.

Inoltre il mercato sa sfruttare ogni scenario a proprio vantaggio, trasformando i problemi in opportunità. Scommetto la bellezza di 2¢ che le cose andranno diversamente:

i browser, sviluppati proprio dalle aziende che hanno più interesse nell'acquisire consensi superflui come google, microsoft, quelli in-app, vale a dire quelli interni a X, facebook, linkedin, instagram, ecc, (che permettono di visualizzare i link senza uscire dall'applicazione,) saranno dotati di comode e oneste finestre di selezione per impostare le preferenze globali e, una volta selezionate, saranno per sempre dimenticate, sepolte nelle impostazioni più nidificate.

Cosa potrà mai andare storto? Beh, mi immagino una finestrella simile a questa che mi sono divertito a disegnare secondo i più moderni criteri di ergonomia cognitiva e con un tocco di legal design (!!!) :

Click to zoom in!

 

Ecco cosa non funzionerà: l'utente sarà circuìto senza che nemmeno se ne accorga, come sempre,  e questa magnifica idea diventerà la leva per ottenere l'esatto contrario rispetto alle intenzioni iniziali.

Potrebbe persino venire il sospetto che l'idea sia stata suggerita proprio dai destinatari della norma, da chi dovrà diligentemente applicarla... ma questo non si può dire.

 

Vedremo cosa sarà in grado di partorire la Commissione, leggeremo il testo e vedremo, poi, quali saranno gli effetti di questa ennesima inutile norma, giustificata unicamente dall'incapacità di far applicare le leggi esistenti.

 

 

NOTA A MARGINE.

Tutto ciò è molto bello e va letto alla luce di due fatti:

1) I cookie stanno morendo perché l'industria della profilazione online sta migrando a tecnologie di tracciamento differenti.

2) Il CEO di Perplexity ha affermato che il browser web dell'azienda è progettato per tracciare gli utenti sul web, per creare profili dettagliati e vendere annunci iper-personalizzati. Il browser monitora le abitudini di navigazione, le attività di acquisto, gli interessi di viaggio e ristorazione, il tempo trascorso sui siti, ecc. Il fenomeno ha espresso la convinzione che gli utenti accetteranno questo livello di tracciamento in cambio di annunci pubblicitari più pertinenti.

 

Prosit.

 

 

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

 

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

 

 

Riferimenti:

Il Comunicato stampa: QUI  e QUI

Il pacchetto semplificazione, noto come Omnibus digitale Commissione Europea" è attualmente alla fase della consultazione pubblica. QUI ogni info

È disponibile il position paper del PPE

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode