Partiamo dal piccolo file
Un cookie è semplicemente un file di testo. Un server lo deposita nel vostro browser, il browser lo conserva e alla visita successiva percorre il percorso inverso. L'intera operazione richiede millisecondi. Il nome viene dall'informatica antica — i magic cookie, gettoni passati tra programmi affinché potessero riprendere una conversazione nel mezzo di una frase. Sul web, la conversazione che viene ripresa siete voi. Su cosa avete cliccato, cosa stavate cercando di acquistare un martedì alle undici, cosa avete cominciato a leggere per poi abbandonare silenziosamente. I cookie sono il modo in cui i siti web ricordano, e senza di essi ogni caricamento di pagina è una lavagna vuota — il sito non sa se eravate qui cinque minuti fa o non avete mai visitato nella vostra vita. Questa è la tecnologia. Neutrale, di per sé. Un meccanismo di memoria. Ciò che conta è a cosa serve quella memoria.Le quattro ragioni
La maggior parte dei siti web utilizza i cookie per quattro scopi, e non sono ugualmente innocenti. Accessi: un token di sessione in un cookie indica al sito che questo browser si è già autenticato, quindi non è necessario digitare nuovamente la password. Preferenze: lingua, regione, impostazioni di visualizzazione — piccole scelte che non dovrebbero dover essere ripetute, e che a volte si qualificano come strettamente necessarie quando servono qualcosa che l'utente ha effettivamente richiesto, come una selezione di lingua o un'impostazione di accessibilità. Analisi: strumenti come Google Analytics registrano quali pagine visitate, per quanto tempo e da dove arrivate. Quei dati tornano al proprietario del sito come numeri di traffico e dashboard di prestazioni.Poi c'è il quarto. I cookie pubblicitari — spesso posizionati non dal sito su cui vi trovate effettivamente ma da reti di terze parti che operano invisibilmente in background — tracciano il vostro browser attraverso decine di siti, assemblando un quadro dei vostri interessi che viene venduto agli inserzionisti affinché possano seguirvi in giro per internet con annunci mirati. I primi due vi servono, più o meno. Il terzo serve il proprietario del sito. Il quarto serve qualcuno che non avete mai incontrato, e il proprietario del sito ottiene una quota per averlo permesso. Questo non è uno scandalo. È semplicemente il modello di business della maggior parte del web. Il banner avrebbe dovuto aiutarvi a sapere quale di questi quattro scopi un dato sito stesse effettivamente usando. Non ci è mai riuscito davvero.
Perché il banner esiste in primo luogo
Il pop-up di consenso ai cookie non è una tendenza di design. È la Direttiva ePrivacy — una direttiva dell'Unione Europea del 2002, i cui requisiti di consenso sono stati sostanzialmente rafforzati dalla modifica del 2009. Poiché è una direttiva e non un regolamento, ha dovuto essere recepita nel diritto nazionale da ciascuno Stato membro separatamente, il che spiega in parte perché l'applicazione sia variata così tanto nell'UE per così tanto tempo. L'ambito di applicazione della direttiva è anche più ampio dei cookie: copre qualsiasi informazione archiviata o accessibile sull'apparecchiatura terminale di un utente, il che significa archiviazione locale, pixel di tracciamento, fingerprinting del browser, script di terze parti — i cookie sono l'esempio più visibile, non il quadro completo.Il GDPR, in vigore dal 2018, ha aggiunto ulteriore peso trattando gli identificatori online, compresi gli ID dei cookie, come dati personali, posizione rafforzata dalla sentenza Planet49 della Corte di giustizia dell'Unione europea nel 2019. Insieme hanno creato una situazione in cui quasi ogni sito web con visitatori europei deve ottenere un consenso documentato, inequivocabile e liberamente dato per il tracciamento non essenziale, oppure non utilizzarlo. L'applicazione non è rimasta teorica. L'autorità francese per la protezione dei dati, la CNIL, ha multato Google di 100 milioni di euro nel dicembre 2020 per aver posizionato cookie senza consenso valido. Due anni dopo ha multato altre due società per un totale combinato di 210 milioni di euro — specificatamente perché il meccanismo per rifiutare i cookie era stato reso significativamente più difficile da usare rispetto al meccanismo per accettarli. Il garante svedese ha perseguito aziende per design simili: un'opzione di rifiuto che era tecnicamente presente ma così profondamente sepolta che la maggior parte degli utenti si arrendeva e cliccava su accetta. I garanti ora esaminano non solo cosa dice un avviso di consenso, ma come si sente effettivamente l'esperienza di usarlo. Il progetto di Regolamento ePrivacy, destinato a modernizzare l'intero quadro, è bloccato in uno stallo legislativo nel Consiglio dell'Unione europea da anni e rimane irrisolto nel 2026. La direttiva del 2002, come modificata, è ancora quella che regola. Il quadro non si sta ammorbidendo.
Cosa sia davvero il banner
Ecco cosa nessuno dice con sufficiente chiarezza. La maggior parte dei banner sui cookie non sono funzionalità per la privacy. Sono la formalità legale che un sito deve completare prima di fare qualcosa che avrebbe fatto comunque. Arrivate, il banner appare, la maggior parte delle persone clicca su accetta perché sta bloccando ciò che sono venute a leggere, e il tracciamento inizia. Gli studi rilevano che grandi maggioranze accettano senza leggere — le cifre precise variano a seconda dello studio e del design, ma nessuno contesta seriamente la direzione. Il numero reale è vicino a chiunque voglia semplicemente liberarsi di quella cosa.Quando rifiuta tutto viene offerto con uguale prominenza — cosa che i garanti ora richiedono, come quelle multe della CNIL hanno reso esplicito — il sito funziona senza i meccanismi che preferirebbe usare. Il banner non ha prodotto un internet più informato. Ha prodotto un riflesso. Cliccare, chiudere, leggere l'articolo. La legge richiedeva l'avviso. L'avviso non richiedeva che nessuno si impegnasse con esso. Quel divario — tra ciò che il regolamento intendeva e ciò che ha effettivamente prodotto nella pratica — è ciò che è il banner. Seduto su ogni homepage, esigendo un piccolo tributo di attenzione da ogni nuovo visitatore, e facendo approssimativamente nulla per la privacy di chiunque in cambio.
Un sito senza nulla da tracciare
Vale la pena essere concreti su cosa sia effettivamente PIWIWines, perché l'astrazione può oscurare un punto semplice. È un sito di riferimento sul vino. I vini PIWI, le varietà di uva resistenti alle malattie, la viticoltura sostenibile. I viticoltori lo usano per cercare informazioni. I professionisti del vino lo usano. Gli appassionati lo usano. Nessuno accede con credenziali — non ci sono account. Non ci sono preferenze utente da configurare o salvare, perché non c'è nulla da configurare. Non ci sono pubblicità: nessun produttore ha pagato per un posizionamento, nessuna rete pubblicitaria ha pagato per accedere ai dati dei visitatori. Non c'è nessuna piattaforma di analisi in esecuzione in background.A cosa servirebbe qui anche solo un cookie? Non c'è nessuna sessione da mantenere, nessuna preferenza da ricordare per la prossima volta, nessun modello di comportamento che valga la pena costruire, nessun target pubblicitario da affinare. La domanda risponde a se stessa. Non vengono impostati cookie non come posizione di principio che richiede un manifesto, ma perché non c'è genuinamente nulla per cui un cookie servirebbe su un sito come questo.
La sottrazione come conformità
Gli obblighi che accompagnano i cookie — banner di consenso, informative sulla privacy aggiornate ogni volta che uno script di terze parti cambia, registri di consenso archiviati da qualche parte, percorsi di opt-out mantenuti — tutto ciò viene innescato dall'utilizzo dei cookie in primo luogo. Smettete di usarli e gli obblighi scompaiono in gran parte con loro. Nessun banner da progettare o portare in conformità tramite test A/B. Nessun avvocato per le politiche da consultare ogni sei mesi. Questa è la conclusione logica del principio su cui è stato costruito il regolamento: raccogliete solo ciò di cui avete bisogno, e se non avete bisogno di nulla, non raccogliete nulla.Vale la pena segnalare una cosa. Un sito può introdurre accidentalmente il tracciamento di terze parti attraverso contenuti incorporati — un video di YouTube, un widget per la condivisione sui social, una mappa, un carattere tipografico caricato da un server esterno — ognuno dei quali può depositare file di tracciamento senza che il proprietario del sito abbia scritto una riga di codice cookie. PIWIWines non utilizza contenuti incorporati di questo tipo. L'assenza di tracciamento qui non è un accidente dovuto al fatto che il sito sia piccolo o incompiuto. È la conseguenza di scelte deliberate su come è costruito.
Il significato più antico di pubblicità
La parola pubblicità significava una volta qualcosa di più semplice: rendere qualcosa pubblico, collocare informazioni in vista comune. Esiste un'intera tradizione in tal senso — avvisi pubblici, registri pubblicati, l'idea che certe cose appartengano allo spazio aperto piuttosto che essere chiuse a chiave. Un sito web è per definizione un atto pubblico. Mettete qualcosa su un server e chiunque può raggiungerlo. PIWIWines pubblica informazioni sulle varietà di uva ibride interspecifiche — incroci tra Vitis vinifera e altre specie di Vitis come V. amurensis o V. labrusca, allevate per la resistenza fungina — insieme a pratiche di coltivazione, profili varietali e i vini che ne derivano. È la natura interspecifica che conferisce alle varietà PIWI la loro resistenza e ciò che le rende degne di una risorsa di riferimento dedicata. Le informazioni sono disponibili per chiunque le voglia. Nessun account richiesto. Nulla assemblato su di voi in cambio dell'accesso.L'industria pubblicitaria ha preso la parola pubblicità e l'ha orientata verso qualcosa di completamente diverso: posizionamento a pagamento, portata mirata, il business dell'identificazione di persone specifiche in base a ciò che i loro dati di navigazione suggeriscono sulle loro intenzioni di acquisto. Non è questo quello che sta accadendo qui, e le due cose meritano di essere tenute distinte. Ciò che appare su PIWIWines riflette scelte su ciò che è accurato e utile per le persone che lavorano nella viticoltura sostenibile. Non scelte su ciò che genera entrate. Un sito di riferimento vale solo la fiducia che le persone vi ripongono, e quella fiducia dipende dal fatto che non vi sia genuinamente nulla che tiri le decisioni editoriali in una direzione commerciale. Se non c'è nulla da cui essere indipendenti, l'indipendenza non è nemmeno una domanda che necessita di risposta.
Quando arrivate
Quando aprite una pagina su PIWIWines, nulla viene archiviato nel vostro browser dal sito. Nessun file cookie creato, nessun identificatore lato client assegnato. Come qualsiasi sito web, i log del server registrano dati di richiesta di base inclusi gli indirizzi IP — questa è una parte standard del funzionamento dell'hosting web e serve scopi legittimi di sicurezza e tecnici — ma quei dati non vengono confrontati con un profilo delle vostre visite precedenti, non vengono alimentati in un sistema di targeting, non vengono usati per l'analisi commerciale. Ai sensi del GDPR, un indirizzo IP conta come dato personale, quindi qualsiasi sito che lo tratti opera in quel quadro, anche senza cookie. La posizione onesta non è che PIWIWines non raccolga nulla in senso tecnico. È che non raccoglie nulla su di voi a scopi commerciali, e nulla che richieda il vostro consenso prima che possiate semplicemente leggere ciò che siete venuti qui a leggere.Non c'è nessun banner sui cookie perché non ci sono cookie. Non perché il banner sia stato dimenticato, non perché nessuno se ne sia occupato, ma perché la persona che ha costruito questo sito ha deciso che un sito web sul vino e sulle varietà di uva non ha alcun diritto di tracciare le persone che lo leggono. Questo si rivela essere sia la scelta giusta sia quella più facile da mantenere.