I cookie sono una piccola porzione di dati memorizzati sul nostro dispositivo di navigazione quando visitiamo un sito internet. Sono rilasciati proprio dal sito che stiamo visitando e sono essenzialmente di due tipi: i cookie TECNICI e i cookie di PROFILAZIONE.
I Cookie TECNICI sono necessari per il corretto funzionamento del sito web: normalmente sono rilasciati direttamente dal costruttore del sito, hanno una durata limitata alla sessione di lavoro (e comunque scadono entro un lasso di tempo piuttosto breve) e la loro disattivazione compromette l’esperienza d’uso e di navigazione del web. Per tale ragione, non richiedono il consenso dell’utente.
I cookie DI PROFILAZIONE, al contrario, identificano caratteristiche specifiche dell’utente e hanno finalità pubblicitarie. Profilare significa conoscere molti dettagli dell’utente e per questo la normativa europea obbliga il sito ad informare l’utente di cosa raccoglie e cosa intende fare con queste informazioni. Va da sé che l’utente deve dare il proprio consenso.
Ogni sito deve riportare un’informativa che permetta all’utente di decidere liberamente se dare il consenso oppure declinare. L’informativa deve necessariamente riportare le caratteristiche dei cookie, la durata e lo scopo della loro raccolta, specificare i tempi di conservazione dei dati raccolti.
L’obiettivo primario di questi “tracciamenti” è quello di migliorare la nostra esperienza d’uso in quello stesso sito. Infatti, grazie a questo scambio di informazioni, in occasione della nostra seconda visita del sito, ci verrà mostrato qualche dettaglio in più in funzione della nostra attività di navigazione precedente.
La nostra esperienza sul sito viene pertanto “personalizzata” in base al comportamento passato, cercando di soddisfare in maniera più puntuale il nostro interesse su quel sito.
Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”). Questi cookie sono normalmente collegati alla nostra esperienza di navigazione sul sito, “aprendo” di fatto il nostro profilo anche su altri siti collegati. Questa modalità di raccolta delle informazioni è stata oggetto di particolare attenzione perchè l’utente è spesso inconsapevole non solo del tipo di informazione che gli viene “carpita” durante la navigazione ma anche della “destinazione” delle informazioni raccolte.
Il Garante della Privacy europeo si è infatti soffermato proprio sulla destinazione d’uso delle informazioni raccolte: trattandosi di dati personali (o riconducibili all’utente, come ad esempio l’indirizzo IP), il loro trattamento deve essere legittimato dal consenso dell’utente, indicando in maniera chiara ed esplicita a cosa serviranno le informazioni raccolte e chi è responsabile della loro gestione.
La recente pronuncia contro l'utilizzo di Google Analytics senza il consenso dell’utente è un caso assolutamente esemplificativo. Il Garante ha sostenuto che GA non è conforme alla GDPR, viola la normativa europea sulla protezione dei dati in quanto trasferisce alcuni dati identificativi degli utenti negli Stati Uniti. Tra i dati raccolti compaiono informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, alla data e ora della visita al sito web e si potrebbe risalire anche all'indirizzo IP dell'utente. Poiché gli Stati Uniti non hanno un livello di protezione dei dati adeguato allo standard europeo (le Autorità governative e le agenzie di intelligence statunitensi possono accedere ai dati personali trasferiti senza le dovute garanzie), è obbligatorio il consenso informato dell’utente prima del trasferimento dei dati. Se Google mantenesse i dati all’interno del contesto europeo, garantendo che nessun dato personale venga trasferito negli Stati Uniti, probabilmente la questione sarebbe stata affrontata in maniera diversa.
L’esigenza espressa dal Garante della Privacy europea è quella di impedire che i dati sul comportamento in rete siano sfruttati in maniera fraudolenta o almeno “border-line”. Non solo ai fini commerciali, ma addirittura per condizionare gli utenti sul piano politico-elettorale, come nel caso Cambridge Analytica, che nel 2018 utilizzò i dati personali di oltre 80 milioni di account Facebook senza il loro consenso per attività di propaganda politica.
La normativa a tutela della Privacy e le relative Linee Guida sono ormai storia acquisita, non ci sono più scusanti e tempi di adeguamento. La mancata compliance è sufficiente per l’applicazione di sanzioni. Qualche numero?
- per omessa o inidonea informativa si prevede una sanzione da 6.000 a 36.000 euro;
- per installazione di cookie senza consenso, la sanzione varia da 10.000 a 120.000 euro.
Quando navighiamo su un sito abbiamo quindi oggi la possibilità di scegliere: troveremo un banner riassuntivo che ci invita a fare la nostra scelta e la possibilità di approfondire le caratteristiche dei cookie utilizzati, personalizzando il nostro consenso.
L’interpretazione della norma dà per scontato che l’utente conosca e capisca effettivamente cosa sta accettando o rifiutando: sappiamo perfettamente che questa non è la realtà dell’utenza media che naviga sui siti internet.
La scelta è fortemente orientata sul “RIFIUTA TUTTO”. In primo luogo, l’utente non ha voglia di leggere tutta l’informativa; In seconda battuta, non è in grado di valutare la portata del suo consenso perché non sa esattamente dove e a favore di chi finiscono i suoi dati. Quello che ha chiaramente compreso è che spesso sono coinvolte terze parti (i social, i siti comparatori di prezzi, i grandi player…) e i dati identificativi viaggiano ramificati verso direzioni diverse.
Questa scelta conservativa dell’utente medio rischia di provocare uno stravolgimento della gestione delle attività di digital marketing e marketing automation, basate essenzialmente sulla profilazione degli utenti. L’obiettivo di profilazione rimane sempre quello di essere più efficaci nelle proprie proposte agli utenti ma il rischio è che sia fatto un uso improprio di queste informazioni personali.
E’ bene sottolineare che i dati salvati nei cookie non sono pericolosi di per sé, non sono un malaware, non provocano nessun malfunzionamento o accesso non autorizzato ai propri dispositivi. Non si tratta di per sé di “violazione di domicilio”.
Però la percezione dell’utente oggi è proprio questa.
Una delle proposte di Google per “bypassare” il problema Privacy è stata la "Federated Learning of Cohorts", al secolo FLoC. Si tratta di creare cluster di categoria in cui inserire utenti demograficamente simili al fine di inviare annunci in modo quasi anonimo. L’idea di creare dati anonimizzati risponde ad una precisa esigenza espressa dalla GDRP ma la soluzione Google non fa altro che aggirare il problema perché aggrava le problematiche di fingerprinting: accedendo illimitatamente alla nostra navigazione (con i cookie si tracciano invece solo le informazioni specifiche raccolte dagli stessi) si hanno a disposizione maggiori dettagli (chi usa un Mac, chi usa un PC, chi usa il browser X, chi quello Y, chi usa lo schermo ad alta risoluzione, chi quello meno definito,...), di conseguenza si può creare una profilazione ancora più dettagliata che permette di ricondurre facilmente all’utente.
Sul progetto, Google ha dovuto fare marcia indietro, la sua proposta è stata rimandata al mittente e attualmente il colosso ha deciso di farsi accompagnare nel percorso di adeguamento da due enti indipendenti: la Competition and Markets Authority (CMA) del Regno Unito e la Information Commissioner’s Office (ICO) che hanno approvato il nuovo approccio di Google sulla Privacy Sandbox. Google si impegna a informare pubblicamente quello che sta facendo attraverso un sito dedicato.
In un mondo in continua evoluzione tecnologica, l’approccio di profilazione potrebbe cambiare metodo, rendendo obsoleti i cookie a fronte di nuove forme di tracciamento che rispettino la sfera privata dell’utente e contestualmente supportino le attività di marketing delle aziende. Ad esempio l’utilizzo di sistemi di Machine Learning che forniscono insight automatici in ottica predittiva.
In attesa di approfondire l’argomento, non ci resta che verificare e sanare tutte quelle situazioni che possono essere a rischio di sanzioni. L’invito è di non sottovalutare la tematica e affidarsi a chi questi aspetti li affronta in maniera sistematica per trovare il giusto compromesso che non vanifichi i nostri investimenti nel web.
19 Aprile, 2024
07 Dicembre, 2023
Sviluppiamo software su misura per te
