Cosa sono i cookie
I cookie (letteralmente “biscottini”) sono
piccoli file di testo memorizzati nella memoria del nostro
dispositivo durante la visita ad una pagina web che ne prevede
l'utilizzo a scopo tecnico o commerciale. Non si tratta dunque di
informazioni personali che hanno a che fare con la privacy nel senso
stretto del termine che vengono prelevate dai nostri dispositivi
telematici. Per quanto riguarda l'applicazione dei provvedimenti del
Garante si distingue fra cookie “tecnici” e cookie “di
profilazione”.
Un cookie tecnico tipico, ad esempio, è quel
cookie fornito direttamente dal sito che stiamo visitando, che rimane
memorizzato nella nostra memoria con l'elenco delle pagine visitate.
Ad una seconda chiamata del sito sarà consultato in automatico con
lo scopo evidente di permettere la ripresa della visita dal punto in
cui si era interrotta. Questo tipo di cookie non deve destare
particolari sospetti, serve infatti solo a personalizzare
l'esperienza utente e far funzionare il sito nel suo complesso in un
certo modo, non coinvolge aspetti legati a scelte personali,
volontarie che potrebbero ricadere anche astrattamente nel concetto
di “privacy”. Rientrano in questa categoria anche i cookie legati
all'analisi del traffico che vanno a formare analisi aggregate per
variabili molto generiche, come la nazione di provenienza ad esempio.
Un cookie di “profilazione”, nome infelice
perché vulnerabile alle interpretazioni più apocalittiche, è di
solito legato alla fornitura di annunci commerciali, teoricamente
tagliati su misura dell'utente del browser in cui il cookie è
memorizzato. In questo caso si tratta quindi di un cookie che
memorizza scelte volontarie fatte da chi sta usando quel browser in
quel momento, ad esempio l'aver cercato uno specifico prodotto o una
specifica parola, e non la “personalità” o “dati privati”
nel senso proprio del termine di un preciso utente, giacché lo
stesso browser (il programma che utilizziamo per visualizzare le
pagine web) può essere usato da una seconda o terza persona.
I cookie,
poi, possono essere distinti anche per fornitore, il quale può
essere il sito stesso oppure una terza parte che ha comunque un
rapporto con il gestore del sito. In questo caso si tratta di cookie
legati alla fornitura di pubblicità: un sito web affida ad un
venditore di pubblicità la gestione dei propri spazi, mostrando gli
annunci pertinenti al profilo che risulta dalla consultazione dei
cookie già memorizzati nel browser.
Bisogna aver paura dei cookie?
L'uso dei cookie per il controllo dei servizi
forniti, spesso gratuitamente, è molto criticata ed identificata con
troppa facilità con il nome di “profilazione”, con l'aura di
furto di “dati personali” che ricadono immancabilmente sotto il
generico cappello della “violazione della privacy”. Ma le cose
non stanno esattamente così. A differenza di quanto usualmente si
crede, e la semplificazione dei mezzi di informazioni ha la sua
responsabilità, non è svolta alcuna attività di profilazione nel
senso attivo del termine, soprattutto nell'uso di PC e browser
tradizionali usati alla vecchia maniera. Non esiste un database
universale dei comportamenti degli utenti di internet in generale,
basta riflettere solo un attimo per capire che “il sistema” non è
in grado di conoscere l'identità di chi sta usando un qualunque PC,
il singolo indirizzo IP condiviso da tutta la famiglia (il numero
collegato alla singola utenza internet che viene fornito dal
fornitore di connettività) non basta. Anche ipotizzando un insieme
di supercomputer in grado di tenere traccia di ogni nostra scelta di
navigazione, dalla potenza necessariamente infinita, sarebbe inutile
tenere traccia per filo e per segno di tutte le attività di tutti
gli utenti senza un progetto preciso, escludendo naturalmente
attività illecite o sul filo dell'illegalità internazionale.
Inoltre non bisogna dimenticare che la “strategia
cookie” non è particolarmente efficiente nella maggior parte dei
casi domestici, in cui c'è di solito a disposizione un PC di
famiglia usato senza un account specifico per ogni utente e nella
normale navigazione di siti in cui non è richiesto un account utente
per l'ingresso. In questo caso l'eventuale controllo speculativo dei
comportamenti riguarda in questo caso la somma tutti gli utenti, non
uno soltanto. Infine non bisogna dimenticare che qualunque browser
moderno consente un ampio controllo di uso e memorizzazione dei
cookie, compresa la possibilità di rigettare quelli “di terze
parti” e la possibilità di cancellazione automatica, oltre alla
cosiddetta modalità “in incognito” che elimina perfino la
cronologia (come dovrebbe essere anche ricordato nella informativa
dettagliata secondo il dettato del Garante).
La situazione è diversa, invece, nel più moderno
scenario dominato dall'uso dei dispositivi personali come gli
smartphone, innanzitutto. Lo smartphone, basato per definizione
sull'uso di account utente specifici e dotato per natura di una serie
di sensori che nei PC non ci sono, usato insieme al web rende
possibile molte combinazioni di tracciamento, stavolta in un senso
più proprio, fino ad oggi sconosciute. Il singolo dispositivo è
strettamente personale quindi il browser è tipicamente utilizzato da
una sola persona, è dotato di un numero IMEI univoco che lo
identifica, ne può essere rilevata la posizione fisica con
approssimazione centimetrica oltre a tutti gli altri parametri che,
se elaborati con strategie mirate, potrebbero effettivamente
consentire la ricostruzione dello stile di vita stessa dell'utente,
anche al di la delle sue scelte consapevoli e volontarie. Questo,
però, è uno scenario non ha nulla a che fare con i sostanzialmente
innocui cookie di oggi, al massimo responsabili dell'apparizione
della pubblicità più o meno connessa con la personalità di consumo
di chi ha usato ultimamente il browser.
Non abbiamo da temere nulla per quanto riguarda la
nostra “privacy” dunque? L'informazione spesso non aiuta a capire
bene, si usano termini generici che finiscono col confondere gli
internauti ma possiamo dire certamente no per quanto riguarda il
concetto di privacy più generale, non più di quanto ci preoccupiamo
semplicemente circolando per strada ed entrando in un negozio: anche
in quel caso le nostre scelte “di vita” possono essere osservate
e memorizzate, stavolta davvero “in remoto”, da chiunque che può
anche essere a conoscenza della nostra identità senza possibilità
di mascheramento. Sul piano giuridico, invece, il concetto di privacy
è ben più complesso e distingue fra tipi di dati, tra cui quelli
“sensibili”, quelli che davvero dovremmo tenere sotto controllo.
La materia è effettivamente molto difficile, lo
diventerà ancor di più in futuro quando sarà superata la tecnica
dei cookie a favore dell'incrocio massivo, anche da terze parti che
non hanno a che vedere direttamente con il commercio, dei dati
relativi al singolo utente indipendentemente dal dispositivo,
memorizzati in database sparsi nel mondo e quindi soggetti alle
singole giurisdizioni. In questo prossimo futuro sarà materialmente
possibile riuscire a capire l'identità, non il genere o la fascia di
età, di chi sta usando un dispositivo telematico in funzione del suo
comportamento. E' uno scenario di per se neutro, non implica
necessariamente solo aspetti negativi. Come ogni invenzione del
passato dipende dall'uso che se ne farà, come tenuto già in conto
oggi anche dal Garante stesso. Esiste consapevolezza che non
basteranno linee guida per tenere sotto controllo masse di dati che
grazie all'ultralarghezza di banda, da tutti reclamata a gran voce,
saranno sempre più facilmente gestibili.
