La Commissione europea valuta un testo “omnibus”, per dicembre, per ridurre la burocrazia digitale e qui dentro anche rimediare al caos dei banner cookie generato dal requisito di consenso della direttiva e-Privacy del 2009.
L’idea è di dare eccezioni più ampie al consenso cookie e permettere preferenze impostate una volta sola a livello di browser, venendo così incontro alle richieste dell’industry pubblicitaria (rappresentata dall’associazione Iab) e anche agli utenti sommersi da questi banner.
Indice degli argomenti
Cookie, troppe richieste di consenso: la proposta in arrivo dall’UE
Sappiamo infatti che la legge ora chiede di ottenere il consenso degli utenti prima di caricare i cookie sui loro dispositivi, a meno che i cookie non siano “strettamente necessari” per fornire un servizio (come il carrello e-commerce). Risultato: internet è pieno di banner di consenso che gli utenti hanno imparato da tempo a chiudere senza pensarci due volte.
“Troppo consenso uccide il consenso. Le persone sono abituate a dare il consenso per tutto, quindi potrebbero smettere di leggere le cose in modo così dettagliato, e se il consenso è l’impostazione predefinita per tutto, non viene più percepito allo stesso modo dagli utenti”, ha affermato Peter Craddock, avvocato specializzato in dati presso Keller and Heckman.
L’obiettivo della nuova legge – anticipata da Politico – è quindi tagliare i pop-up e semplificare, ma lo scontro tra industria e comunità privacy è già aperto. Si discute anche di far confluire parte della disciplina nel Regolamento generale sulla protezione dei dati, spostando l’asse verso un test più “risk-based”.
Cookie, consensi pochi o troppi? L’equilibrio da trovare
Il problema attuale è reale perché troppi consensi uccidono il consenso e l’utente clicca automaticamente.
Dall’altra parte, spostare il controllo al browser riduce sì l’attrito, ma riduce il consenso a una mera preferenza tecnica iniziale.
Le proteste
Già le lobby privacy europee protestano: “Concentrarsi sui cookie è come risistemare le sedie a sdraio sul Titanic, dove la nave è la pubblicità di sorveglianza”, ha affermato Itxaso Domínguez de Olazábal, consulente politico presso European Digital Rights.
“Ampliare tale categoria per includere [altri tipi di] tracciamento ‘essenziale’ è fuorviante, perché rischia di introdurre di nascosto analisi o personalizzazioni per l’adtech”, ha aggiunto.
Si prevede che la controversia si riaccenderà il prossimo anno, quando la Commissione intende presentare una normativa incentrata sulla pubblicità denominata Digital Fairness Act.
L’esecutivo ha affermato che il regolamento contribuirà a proteggere i consumatori online, anche da design manipolatori o personalizzazioni inique.
Pacchetto omnibus digitale per semplificare le regole e aiutare l’economia europea
Negli ultimi mesi, la Commissione Europea ha espresso chiaramente la volontà di favorire la crescita economica attraverso una semplificazione significativa delle regole digitali. Uno dei principali interventi annunciati è il cosiddetto “Pacchetto Omnibus Digitale”, previsto per dicembre 2025, che punta a ridurre la burocrazia legata alla normativa digitale del 25% per le imprese in generale e del 35% per le PMI, cruciali per l’economia europea.
L’obiettivo è alleggerire gli oneri amministrativi e snellire procedure e obblighi burocratici per facilitare la scalabilità e la competitività delle imprese nel mercato digitale europeo.
La Commissione sottolinea l’importanza di mantenere standard elevati di equità e sicurezza online, ma con un approccio volto alla semplificazione delle leggi, riducendo la complessità e le sovrapposizioni regolatorie.
Tra le misure previste vi sono anche adeguamenti mirati alle normative sull’intelligenza artificiale, una revisione strategica del Chips Act per rafforzare l’autonomia europea sui semiconduttori e nuove linee guida per l’accesso semplificato ai fondi europei per la digitalizzazione.
Henna Virkkunen, Vicepresidente Esecutivo della Commissione per la Sovranità Tecnologica, ha evidenziato l’importanza di un “regolamento favorevole all’innovazione” che sia più chiaro, con meno adempimenti cartacei e procedure più lineari per le imprese che operano nell’UE.
La semplificazione normativa mira a creare un ambiente più prevedibile e a ridurre i costi indiretti della compliance, rilanciando così la competitività tecnologica europea e facilitando gli investimenti nelle imprese digitali, soprattutto le PMI.
Redazione
Un finto consenso per i cookie?
Se, come già avviene con browser come Safari, il sistema chiede una sola volta all’inizio quali cookie accettare e poi non ripropone più la scelta, non si può più parlare di vero e proprio “consenso”.
Il consenso presuppone infatti un’informativa aggiornata e un atto di volontà esplicito: se questa informativa non viene più fornita e all’utente non viene chiesto nulla, non vi è alcun “no” espresso. In questo scenario il consenso viene di fatto sostituito da una preferenza tecnica iniziale e la sua funzione si svuota, completamente.
Inoltre si viola il principio di granularità: una regola cardine del consenso che impone di distinguere nettamente le finalità del trattamento e di consentire all’utente di scegliere in modo separato e consapevole per ciascuna di esse. Senza questa separazione il consenso perde significato, perché l’utente si trova costretto ad accettare in blocco attività eterogenee per più siti web, senza possibilità di valutare singolarmente l’impatto di ciascuna.
Non è chiaro poi in che modo si intenda ridurre l’obbligo di consenso per i cookie considerati a basso impatto.
Nel caso degli “analitici” serve precisione: quelli strettamente limitati a statistiche sono già equiparati ai tecnici e non richiedono consenso. Diverso è il discorso quando vengono aggiunte funzionalità che superano la semplice misurazione locale: in questi casi il consenso resta necessario e presentare attività di profilazione come se fossero solo “tecniche” significa ingannare gli utenti e sottoporli a trattamenti potenzialmente invasivi.
A questo punto sarebbe più trasparente dichiarare apertamente la volontà di superare i cookie, invece di mascherare la scelta dietro soluzioni tecniche che svuotano il consenso.
I cookie reggono le pmi digitali
Scelta legittima, purché si ricordi che i cookie sostengono principalmente micro e piccole imprese, che poi sono il pilastro dell’economia europea. Le aziende usano legittimamente i cookie per attirare clienti e ottimizzare le proprie campagne, e a beneficiarne sono soprattutto le imprese più piccole, che senza questi strumenti sarebbero le prime a soffrire di una brusca restrizione.
Attorno ai cookie si è sviluppato anche un intero mercato di competenze e professionalità: consulenti, agenzie e studi che hanno investito in formazione e servizi. Non si può quindi pensare di smantellare tutto improvvisamente, senza valutare l’impatto economico e occupazionale di una decisione simile.
Il peso della sentenza della Corte Ue su dati pseudonomizzati
Tuttavia nel contesto attuale della privacy europea c’è un elemento di novità importante che arriva dalla recente sentenza della CGUE (corte giustizia UE), che ha chiarito come i dati pseudonimizzati (come gli ID o le stringhe identificative spesso presenti nei cookie) non debbano essere sempre considerati “dati personali”, qualora l’identificazione dell’utente non sia ragionevolmente probabile.
Questo orientamento apre uno spazio importante: i cookie che contengono identificatori non collegabili ad altri dati e con un rischio di re-identificazione trascurabile potrebbero essere trattati fuori dal perimetro delle regole più stringenti. È un possibile percorso di semplificazione.
Tuttavia, se il titolare o partner pubblicitari conservano le chiavi di collegamento o combinano i cookie con altre informazioni che consentono di risalire alla persona, si rientra immediatamente nella categoria dei dati personali, con tutti gli obblighi di trasparenza e di base giuridica che ne derivano.
Mi piace chiudere richiamando la necessità di neutralità tecnologica: le norme non devono occuparsi dei dettagli tecnici, ma limitarsi a stabilire gli obiettivi di tutela e di trasparenza. Il compito di individuare le soluzioni pratiche va lasciato ai tecnici, così da garantire che la legge non invecchi troppo rapidamente di fronte a un’innovazione tecnologica che corre molto più veloce della capacità normativa.
