Stamattina mi è capitato sott’occhio un articolo della Public Editor de LaStampa, Anna Masera, che spiega ai lettori quanto l’editore Gedi sia trasparente nell’informare i propri lettori sull’uso dei dati che il giornale raccoglie e distribuisce a terzi per fini di profilazione e marketing.

“Si tratta della nostra nuova piattaforma per l’acquisizione del consenso degli utenti [omissis] Un obbligo legislativo, quindi, ma anche un  tentativo di dare risposte chiare ai lettori che vogliono sapere se sono spiati dal loro giornale online” scrive LaStampa.

Per un puro caso, qualche giorno fa avevo scritto un veloce tweet sulla stranezza di questa piattaforma e stavo preparando una riflessione più articolata sulla totale assenza di trasparenza e controllo.

Mi era infatti capitato di visitare il sito de LaStampa e non riuscire a capire come gestire i cookie (l’impostazione che preferisco è autorizzare i cookie tecnici di base e quelli per le preferenze di navigazione, rifiutando quelli più invasivi di profilazione, analisi traffico e marketing). Non ci sono riuscito… ma faccio una premessa: magari c’è un tasto “rifiuta tutto” e io non l’ho trovato?

Era il 2014 – ere geologiche prima del GDPR che spesso si sente tirare erroneamente in ballo come “trigger” delle piattaforme di gestione cookie- quando il Garante per la protezione dei dati personali stabilì che  “quando si accede alla home page o ad altra pagina web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l´invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le  indicazioni sull´uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente  o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
4) l´indicazione che proseguendo nella navigazione (ad es., accedendo ad un´altra area del sito o selezionando un´immagine o un link)  si presta il consenso all´uso dei cookie.”

Vediamo quindi come la piattaforma “trasparente” di Gedi risponde a questi requisiti.

Il primo passo è ovviamente non accettare le impostazioni di default (il tasto colorato “accetta“) e cliccare su “personalizza“.

Questa la schermata che appare cliccando su personalizza: avete cinque aree su cui chiedere maggiori informazioni e un’impostazione per impedire le “personalizzazioni Google” (ovvero dare i dati anche a Google).

Prendiamo la prima sezione “archiviazione e accesso alle informazioni“: si apre una menù lunghissimo da centinaia di righe, in cui esiste un link in alto “accetta tutto” (e di cui non esiste – o almeno io non l’ho trovato – un link “rifiuta tutto”). Per fortuna, almeno nel mio caso, l’impostazione di default è “rifiuta” quindi la maggior parte dei vendor grigiata.

C’è però un curioso particolare: numerose righe, anziché un tasto on/off di accettazione o rifiuto, ha una scritta “richiede la rinuncia“. Per come la capisco io, significa che quell’azienda ha di default accesso ai dati a meno di esplicita rinuncia dell’utente. Si rinuncia con un click? No.

Il lettore deve cliccare sulla piccola icona di fianco al nome della società, e si aprirà una pagina web nuova con il sito (perchè mai?) della società. Questo ad esempio il link di iPromote, società incorporata in Delaware (Stati Uniti) che spiega cosa fai dei vostri dati. Ma non eravamo qui per negare il consenso? Come si fa?

Incredibile ma vero – sempre che io non abbia capito male e in questo caso attendo che qualcuno me lo spieghi meglio- il lettore italiano deve iniziare a navigare in un sito in lingua straniera e cercare informazioni per negare il consenso. Nel caso di iPromote usato come esempio, serve cliccare su Advertising Opt-out, scaricare una sorta di cookie inibitore e – forse – l’operazione è terminata. Diciamo 3-5 minuti per un utente esperto.

Se già questo vi sembra complicato, aspettate il secondo esempio. La società si chiama Emodo, e il link dalla piattaforma de LaStampa rimanda a questa pagina in cui Emodo spiega come tratta i dati. E chi ha dubbi può anche contattarli, che fortuna!

Io ho navigato 5 minuti nel sito per capire come si nega il consenso a Gedi per trasferire i dati a Emodo (o se preferite come dire a Emodo che non possono usare i dati che Gedi passa), cliccando sul link “rinuncia” di Gedi sono arrivato sulla pagina di Emodo ma non sono riuscito a trovare nulla che mi permettesse di negare il tracciamento. Mi aiutate voi?

Ecco, ora immaginate che tutto questo debba essere ripetuto per centinaia di volte, su siti diversi, in lingue diverse, per ognuna delle cinque sezioni che Gedi ha creato nel momento in cui il lettore vuole “personalizzare” la gestione dei cookie: la chiamereste trasparenza?

A meno che non mi sia perso qualche passaggio, non ho trovato tasto “rifiuta tutto” né un modo veloce, pratico e trasparente per decidere quali cookie accettare e quali no.

E, a dirla tutta, ho anche qualche dubbio che una gestione così contorta e complicata – oltre che in lingua straniera su sito italiano – non rispetti quanto previsto non solo dal GDPR ma dalla normativa del 2014.

Che ne pensate?