Il 2 giugno 2015 tra webmaster e tecnici informatici si è scatenato il panico. Dopo tale data è scaduto il termine ultimo per la messa a norma dei siti che utilizzano cookie, cioè righe di testo per tracciare e salvare i comportamenti degli utenti. Secondo quanto previsto dalla “Cookie Law“, l’immagazzinamento di qualsivoglia informazione non può più avvenire all’insaputa del visitatore, ciò sta a significare che un sito ha l’obbligo di richiedere l’accettazione del tracciamento dei dati personali; nel caso in cui si declini la richiesta, non è possibile usufruire di determinate funzioni, come commenti e social network, che da sempre utilizzano i cookie. Al di là del fatto che implementare plug-in così pervasivi all’interno del codice di un sito sia stata un’ardua sfida per i programmatori di tutta la Penisola, ad aggravare il quadro hanno contribuito le sanzioni amministrative da 10 mila fino a 120 mila euro. Le legge prende le mosse da una direttiva europea emanata nel 2002 e aggiornata nel 2009, alla quale si sono dovuti adattare tutti i Paesi membri. Facendo un rapido confronto con alcuni degli altri Stati, sembra quasi che ognuno abbia interpretato a modo proprio la direttiva, con diverse applicazioni pratiche.

Nel Regno Unito, l’Information Commissioner Officier (ICO), cioè l’Autorità Garante inglese, prendendo come riferimento la normativa del 2003, Privacy and electronic communications regulations, ha stabilito che i siti, oltre a fornire informazioni dettagliate sull’utilizzo dei cookie, devono dare la possibilità di “accettarli”. Fanno eccezione, ad esempio, un sito d’informatici o un network aziendale. In ogni caso, non sussistono controlli per chi non si adegua. Nel corso di un’intervista rilasciata a Wired, i responsabili dell’ICO hanno infatti dichiarato: «Non effettuiamo una scansione completa dei siti britannici. Non ce n’è alcun il bisogno. Soltanto il 6% non dà sufficienti dettagli agli utenti. Le sanzioni che la nostra legislazione prevede sono di carattere perentorio e, in casi estremi, pecuniarie».

PrivacyIn Francia, qualsiasi utente deve essere avvertito preventivamente e in modo completo qualora sussistano comportanti atti a conservare le informazioni di natura privata sugli internauti, violando così la loro privacy. L’approvazione all’uso dei cookie qui va data esplicitamente. Inoltre, come stabilito dalla legge francese n.78-17 e dalla Commission Nationale de l’Informatique et des Libertés (CNIL), in caso d’inadempienza saranno condotte intimazioni a opera del Garante o, tutt’al più, applicate sanzioni amministrative. Dal punto di vista del monitoraggio, la situazione francese risulta simile a quella italiana, seppure, come si è visto, differisca da quest’ultima per maggiore elasticità e minore durezza nell’imposizione delle sanzioni.

In Spagna la direttiva europea, il cui riferimento normativo è la legge 34/2002, è stata recepita in modo particolare. L’Agencia española de protección de datos ha dichiarato che rientrano nell’ambito della legge soltanto le pagine Web costituenti “un’attività economica per il prestatore”, cioè quei servizi gratuiti o a pagamento in grado di generare entrate; un esempio sono i quotidiani online. Le sanzioni, limitate a questo tipo di attività che non rispettano la normativa, possono arrivare anche a 600 mila euro.

La Germania, paradossalmente, è la nazione meno aggiornata sul tema. La legge in materia di privacy qui è la Telemedia Act del 2007, che il Commissariato federale per la protezione dei dati e la libertà di informazione (BFDI) non ha ancora applicato in maniera chiara ed evidente. In pratica, tutto è rimasto fermo a prima del 2 giugno 2015, quando in Italia non era necessario accettare i cookie; il solo modo per disattivarli è farlo manualmente dal browser di navigazione. Ovviamente, ciò vale per i siti il cui provider risiede in territorio tedesco. Al momento, non è prevista alcuna sanzione, ma solo la “raccomandazione” di avvisare i propri utenti sull’utilizzo dei cookie.

Unione EuropeaLa direttiva, in conclusione, non è stata percepita nello stesso modo dai diversi governi. Tralasciando che il caso italiano può essere giudicato ambiguo, problematico, burocratico e severo fino all’eccesso; che in Spagna la violazione della legge può comportare il pagamento di un mutuo; e che in Germania con una pacca sulla spalla da parte del Garante il gestore di un sito può andarsene indisturbato; i chiarimenti forniti dal Parlamento europeo sull’eterogeneità della norma sono ancora insufficienti. Il contesto profilato è la traduzione di quello che si verifica quando un organismo sovrannazionale, come L’Europa (unita?), tenta d’intervenire sulla Rete, senza tenere in considerazione le specificità legislative dei singoli Stati e fornendo, soltanto, linee guida.

Alberto Molino

Scrivi