Normativa cookie: cui prodest?

 Se è possibile che si promulghi una normativa europea quale quella dei cookies, c’è qualcosa che non quadra. Davvero!

 

 Ritengo che calcolare il costo necessario, nella sola Italia, a predisporre quanto necessario al rispetto della nuova normativa calata dall’Europa in materia di Tutela Dati Personali (d’ora in poi Privacy) relativamente al problema cookies abbia davvero dell’incredibile.

 

 In molte aziende si sono dovuti scomodare titolari, responsabili, consulenti privacy con riunioni, predisposizione di testi, informative, documenti di consenso, regole, site policy e per che cosa? Per una vecchia tecnologia usata da quasi 20 anni! Beh meglio tardi che mai, ma la normativa privacy quanti anni ha? 21, la prima normativa risale al 1995 proprio concomitante (anzi forse di poco antecedente) la nascita dei cookies nati con Mosaic/Netscape poco dopo la sua primissime versioni!

 

 E’ il trionfo della burocrazia, dell’inutile burocrazia direi, sul vero rispetto e tutela dei diritti dei cittadini europei.

 

 Allora facciamo chiarezza la “Cookie Directive”, ufficialmente è nota come l’”EU e-Privacy Directive” e risale al 2012 e l’intento era senza dubbio encomiabile. Però come dicono gli americani “the devil is in the details”.

 

 Addirittura in Italia si è arrivati ad una consultazione pubblica addivenendo alla pubblicazione in G.U. (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012).

 

 Da quando in qua a qualcuno è venuto in mente di raccontare il funzionamento di un sistema per evidenziare i rischi di privacy a questo connesso? Mai a mia memoria. Viene da chiedersi perché alcuni abbiano deciso di intervenire in questo caso. Qualcuno ha mai fatto cenno ai rischi che le telecamere a bordo dei satelliti consentono di combinare alle nostre vite scrutandoci dall’alto? E di Echelon? E di mille altri reali sistemi di tracciamento che continuamente ci mettono a rischio come Snowden ha platealmente evidenziato?

 

 Non voglio dire che i cookies non siano un problema correlato dei nostri dati personali, ma questa volta credo che siamo andati oltre. Alcuni cookies addirittura vengono “marcati” come “a rischio” da parte di alcuni antivirus. Per carità, onore al merito, ma qui si tratta di una materia estremamente tecnica che si è deciso de render nota all’universo mondo come se si volesse da un momento all’altro spiegare il funzionamento di internet od almeno di uno dei suoi protocolli e di tutte le sue problematiche di Privacy che questo comporta.

 

 Semplicemente una follia. Opinione del tutto personale ovviamente.

 

 Vorrei però aggiungere altra “carne al fuoco” che a parer mio rende ancora più grave il caos scatenato da questa miope direttiva.

 

 E’ incompleta!

 

 Come, in che senso? potrebbe chiedersi qualcuno.

 

 Nel senso che tratta solo alcuni dei cookies rispetto alle miriadi di sistemi di tracciamento presenti nel mondo internet. Quindi, una volta che si è mossa una macchina da guerra come la UE con tanto di direttiva, istruzioni e pesanti sanzioni a mezzo mondo in caso di inadempienze, ma orientata solo a chi in realtà ha fatto un uso corretto dei cookies per di più seguendo gli standard di internet, viene da pensare che qualcosa non torni.

 

Ancora non è chiaro dove io intenda andare a parare? Ebbene per i più tecnologici è ben noto che non esistono solo i cookies “propriamente detti”, ovvero standard, ma ne esistono di ben peggiori. I nomi vanno da “permanent cookies” od anche “persistent cookies” od ancora gli “evercookies”. Se non sapete di cosa sto parlando, si tratta in breve di “cookies” di dimensioni anche corpose che non si trovano nelle consuete aree di lavoro dei browser standard e che rendono particolarmente “sticky”, come direbbero gli americani, appiccicosi, diremmo noi, tali biscotti in alcuni casi un po’ indigesti.

 

Per fare un paio di esempi: i flash cookies di Adobe (anche noti come Local Shared Objects o LSOs) e l’equivalente di alcuni oggetti dei quali fa uso il framework di Microsoft Silverlight. In realtà gli evercookies sono tecnologie di ricostruzione dell’identità digitale basati su di una serie di parametri trasmessi dal nostro browser, mentre i flash e silverlight “cookies” pur non essendo posizionati nelle directory puntata dal nostro browser, sono un po’ più simili ai cookies “standard” che la normativa prende in considerazione.

 

Ciò che sgomenta è che si sia trattato in maniera piuttosto approfondita un tema decisamente tecnico, senza in alcun modo trattare quest’altro. Ciò, a parere di chi scrive delinea:

  1. l’ignoranza di tali ulteriori “tecnologie” note da anni (un mio articolo risale al 2010);

  2. la volontà di trattare un argomento in maniera molto approfondita da un lato tralasciando però un altro aspetto: quello dei cookies “non standard” afflitti dagli stessi, se non peggiori, pericoli di tracciamento.

 

Su tali sistemi di tracciamento sì mi sarei atteso una comunicazione obbligatoria e non certo a carico dei gestori dei singoli siti, ma proprio dalla comunità europea, con una dovuta funzione divulgativa/formativa e non delegata a ciascun titolare del sito internet con rischio di multe anche piuttosto salate!

 

La cosa più strana è che, salvo chi scrive, nessuno si sia scandalizzato della follia europea oggetto di questo articolo!

 

A questo punto la mia mente (certamente cinica) ha fatto un cattivo pensiero: per favorire chi è stata prevista questa normativa? Il business delle società di consulenza in materia di Privacy/Sicurezza?

 

Ma invece una bella campagna informativa o dei corsi gratuiti on-line sul funzionamento di Internet e dei sistemi di tracciamento (cookies inclusi) non sarebbe stata una via enormemente più economica e probabilmente più utile per tutti noi europei? Su ciascun sito sarebbe bastato indicare di quali tipologie di cookies si faceva uso senza informative brevi, lunghe et similia. Personalmente neanche quelle infromative metterei, tante informative significano alla fine niente informative: quando vuoi nascondere qualcosa offri tonnellate di informazioni…

 

Mi occupo di tutela dei dati personali da anni e sempre più noto un atteggiamento di comprensibile rigetto e scetticismo sulla reale utilità di una quantità incredibile di adempimenti, alcuni senz’altro utili quali quelli correlati con la sicurezza logica, notevolmente migliorata negli ultimi anni, altri davvero eccessivamente onerosi che non fanno altro che ridurre le risorse da dedicare al vero business. La storia dei cookies ne è un classico esempio.

 

Personalmente ero solito cancellare costantemente i cookies ad ogni restart del browser e comunque a tempo. Anche per i flash cookies (LSO) esistono appositi Firefox PlugIn in grado di rimuoverli secondo opportune politiche. Ad esempio l’ottimo BetterPrivacy con eliminazione a tempo, oad ogni restart del browser.

  Ebbene chi come me adottava queste cautele (sicuramente non molti), adesso si ritrova a dover fornire nuovamente il consenso o comunque a cliccare OK sull’informativa, tutte le sante volte che si reca nuovamente su di un sito con base in UE. Una seccatura a dir poco infinita. Un regalo per i trackers che così magari potranno contare su quelli che si tengono ad libitum tutti i cookies infischiandosene di esser tracciati, oppure su coloro che prima tentavano una pulizia periodica come il sottoscritto, ma che ora, spossati dalle continue richieste di assenso all’aver letto l’informativa o consenso per la gestione dei cookies di terze parti, magari avranno desistito da tali corrette operazioni di profilassi digitali.

 

 A quando la nuova Direttiva UE che obblighi tutti i siti a predisporre una descrizione del protocollo TCP/IP e della relativa diffusione degli indirizzi IPv4 e/o v6 con tutte le conseguenze privacy che potremmo immaginare al riguardo?

 

6/Nov/2015

L.R.