Lo scorso 3 giugno 2014 la Gazzetta Ufficiale n. 126 pubblicava un provvedimento destinato a cambiare qualcosa nelle nostre abitudini di navigazione sul Web. Il regolamento in questione, dall’eloquente titolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookies“, cerca di sciogliere il nodo della riservatezza dei dati personali e dei comportamenti degli utenti sul web, salvaguardando al contempo le esigenze del settore digitale in tutta la sua trasversalità – di tutte le aziende, cioè, che hanno fatto del marketing digitale e della raccolta dei dati e delle abitudini dei consumatori e dei visitatori del proprio sito un asset strategico.
I Cookies: cosa sono, a che servono
I Cookies (biscottini, in inglese) sono dei piccoli files di testo che quasi ogni sito al mondo installa sul computer (tablet, smartphone) dei visitatori per richiederlo alla visita successiva. Grazie ai Cookies è possibile, ad esempio, stabilire se un navigatore è già stato o meno sul nostro sito, se ha già compilato un form o visto un dato banner pubblicitario, se è stato o meno in una certa pagina.
I Cookies, in sostanza, registrano un pezzetto di storia del nostro rapporto con un dato sito web, e lo ritrasmettono al sito stesso per motivi statistici e di orientamento della navigazione. In alcuni casi, i Cookies vengono generati anche da soggetti terzi rispetto al sito che li registra – è il caso, ad esempio, di Google, che grazie ad essi può profilare i dati utente in Analytics o generare un’attività di behavioral retargeting. È proprio quest’ultima possibilità, che consente quella che a mio parere rimane la più importante tecnica di Lead Generation a disposizione del marketing digitale, ad essere finita principalmente sotto accusa.
Il potere del Grande Fratello
Non vi sfuggirà, a questo punto, l’importanza del tema in questione: se un Cookies è in grado di tracciare e trasmettere in modo così dettagliato le mie abitudini di navigazione, e addirittura di orientare – mediante il retargeting – i contenuti che mi saranno somministrati successivamente all’approdo su una certa pagina web, allora è evidente che l’uso indiscriminato dei Cookies finisce inevitabilmente per ledere il mio diritto alla privacy. Lo scenario paventato da alcuni è quello di una sorta di Grande Fratello che, come nel celebre 1984 di George Orwell, controlla e guida ogni movimento dei cittadini, con l’aggravante che a eseguire questi controlli non è nemmeno un potere politico, ma il potere economico delle imprese private.
Da qui l’intervento del Garante Antonello Soro, teso non a eliminare o ridurre l’uso dei Cookies, quanto a rendere consapevole la popolazione dell’esistenza di questo strumento e della sua portata.
Di conseguenza, ci troveremo d’ora in poi ad affrontare sul web le stesse difficoltà sperimentate una decina d’anni fa da chi, come me, ha lavorato nel marketing “cartaceo”. Anche allora, infatti, criteri estremamente restrittivi regolamentarono al limite del soffocamento il settore del Direct Marketing impedendo l’acquisto di liste profilate senza un esplicito consenso dell’utente e inserendo ovunque, nelle comunicazioni tra consumatore e impresa, una richiesta esplicita di consenso all’utilizzo dei dati personali a scopo promozionale.
Cookies: informativa breve e richiesta di consenso
La logica che guida il Garante è stata infatti, per il Digital Marketing, analoga per certi versi a quella impostata a suo tempo per il Direct Marketing e per il Telemarketing Outbound: ogni azienda può gestire, stavolta attraverso i Cookies, i dati dei consumatori con cui viene in contatto, a patto che i consumatori stessi ne siano preventivamente informati e diano, prima di qualsiasi “manipolazione”, un consenso esplicito.
A questo scopo, secondo il provvedimento del Garante sui Cookies, il primo accesso ad una qualsiasi pagina del sito web contenente Cookies dovrà essere preceduto dalla comparsa un banner contenente una “informativa breve” che dovrà necessariamente indicare:
- se il sito contiene o meno cookies di profilazione utilizzati per il retargeting;
- se contiene o meno cookies di terze parti;
- le istruzioni e il link per poter accedere alla “informativa estesa”, specificando che nella relativa pagina sarà possibile sia scegliere quali Cookies autorizzare, sia negare il consenso tout court all’installazione di qualsiasi tipologia di Cookies;
- che la prosecuzione della navigazione comporta la prestazione del consenso all’installazione dei Cookies sui propri dispositivi.
Il banner dovrà essere di dimensioni tali da ospitare l’informativa, dovrà essere ben visibile (rappresentando una reale discontinuità nel layout della pagina) e dovrà essere costruito in modo tale che il suo superamento comporti un interazione con l’utente.
Per essere ancora più chiaro, il sito del Garante riporta, assieme ad alcune note esplicative, la seguente immagine, che rende molto bene l’idea di quale sarà a breve il panorama della navigazione web per tutti gli utenti digitali.
A rendere ironico il tutto, il Garante spiega che, al fine di non dover riproporre più volte allo stesso utente l’informativa già approvata, ai siti web verrà consentito l’utilizzo di un… Cookie tecnico.
I Cookies tecnici, in effetti, non saranno resi dalla regolamentazione oggetto di consenso, fermo restando, come sottolinea Luciana Di Vito su Filodiritto.com, l’obbligo dell’informativa.
L’informativa estesa
Come detto, l’informativa breve ha lo scopo di rendere più semplice la navigazione. I siti web dovranno però contestualmente prevedere l’accesso all’informativa estesa, dove gli utenti potranno conoscere finalità e caratteristiche dei Cookies installati dal sito, selezionare o deselezionare singoli Cookies, ottenere link alle informative delle Terze parti che installano Cookies sul sito oggetto della navigazione.
I gestori delle pagine web, in sostanza, sono obbligati a ottenere le informazioni e i link alle informative e ai moduli di espressione del consenso relativi ai Cookies di terze parti, e a farlo al momento della stipula di accordi per la concessione degli spazi promozionali (si pensi ad esempio al caso di Google AdSense). Spetterà sempre ai gestori, mediante l’informativa estesa, l’obbligo di indicare all’utente la possibilità di impostare i browser al fine di non consentire l’installazione dei Cookies, e di descrivere le procedure necessarie a questo scopo.
Tempi e sanzioni
Il provvedimento del Garante sull’uso dei Cookies nel Direct Marketing Digitale diverrà operativo a un anno dalla promulgazione, anche tenendo conto della quantità dei soggetti interessati e degli impatti economici in gioco. Passato il periodo di transizione, scatteranno le sanzioni per i siti inadempienti, che andranno dai 6.000 euro in caso di informativa non idonea ai 120.000 euro nel caso di installazione di Cookies senza consenso.
Cookies: quale futuro ci aspetta
Citavo, all’inizio di questo post, la mia esperienza con la regolazione delle Privacy nel Direct Marketing tradizionale.
Anche allora, come adesso, molte Pizie improvvisate gridarono alla morte del Marketing e al declino della nostra attività. Ciò che successe, in realtà, fu che molte aziende furono stimolate a utilizzare meglio il proprio Database contatti e a profilare più accuratamente i destinatari delle proprie comunicazioni commerciali. Certo, molti comportamenti scorretti da parte delle imprese furono sanzionati con durezza da parte del Garante, ma in generale possiamo dire che tutti noi sopravvivemmo, e continuammo a fare il nostro lavoro in modo più attento e consapevole.
Cosa possiamo aspettarci nell’orbita del Digital Marketing?
Di certo, il fenomeno dell’uso dei Cookies è molto più esteso rispetto a quello del Direct Marketing, riguardando una fetta estesa (e di fatto la più avanzata) del mondo digitale. Non mi aspetterei, però, fenomeni inquietanti come quelli recentemente descritti da Giuseppe Schettino in un suo post su Google+, dove si paventa un sicuro calo di traffico web a seguito del provvedimento del Garante.
La verità è che tutti noi (utenti) siamo a mio parere consapevoli che, come ha scritto recentemente Lucia Emiliani, «per non avere problemi di privacy bisognerebbe non navigare affatto», per cui probabilmente il provvedimento non farà altro, nelle parole di Henry Sichel, se non mettere ordine «in una materia di grande rilievo per chi sviluppa progetti sfruttando le potenzialità degli strumenti di marketing più moderni».
Un parere, questo, che mi sento di condividere pienamente.