Negli ultimi anni, navigando su un qualsiasi sito, ci si ritrova sempre più spesso di fronte un pop-up che ci chiede di accettare la “cookie policy”. Questo è uno degli aspetti introdotti dal “Regolamento generale per la protezione dei dati personali”, il famigerato GDPR, pensato per la protezione della nostra privacy, ed entrato in vigore a maggio del 2018. Ma perché tutto questo? Proviamo a partire dall’inizio.
I cookies
Cos’è un cookie? Una pagina web, per funzionare, può aver bisogno di appuntarsi delle informazioni “sul” pc dell’utente, come facciamo noi con un post-it sulla scrivania o sul monitor. Ad esempio il carrello di un e-commerce, che viene memorizzato e lo si ritrova il giorno dopo. Per salvare questo tipo di informazioni, il sito usa un file chiamato cookie. All’inizio i cookie erano file riguardanti informazioni necessarie al sito, poi nel tempo sono stati sempre più utilizzati anche per raccogliere informazioni e tracciare comportamenti dell’utente da passare ad altri siti. In questo modo, se abbiamo cercato un cellulare sul nostro e-commerce di fiducia, aprendo il sito delle previsioni meteo ci ritroviamo delle pubblicità di cellulari. Questo perché il sito del meteo (o altri siti che vivono di pubblicità) legge i cookie (che tracciano le nostre preferenze) salvati dal nostro ecommerce appositamente per il sistema di advertising presente sul sito del meteo. Lo stesso sito meteo salva per altri siti le informazioni delle località di nostro interesse, così che il prossimo sito possa mostrare la pubblicità delle auto invendute nella nostra zona. Ovviamente il sistema di advertising riconosce un compenso economico sia al sito del meteo per la pubblicità visualizzata che al sito di ecommerce per aver salvato le informazioni del suo utente. Per cui se non è un problema che il sito di ecommerce salvi i dati del carrello per riproporli il giorno dopo, perché sono dati riguardanti il sito stesso (cookie di prima parte), potrebbe essere sgradito da parte dell’utente che i suoi dati vengano comunicati ad altri siti (cookie di terze parti). Quindi, a tutela della nostra privacy, il GDPR impone al proprietario del sito di raccogliere il consenso per poter registrare i suoi dati personali. Il problema è che il GDPR è molto complesso e spesso richiede competenze legali, per poter raccogliere nel modo corretto il consenso da parte dell’utente. Per cui molti gestori di siti si sono trovati in difficoltà a realizzare dei moduli di raccolta consenso formalmente corretti.
CMP
Questo ha portato alla nascita delle cosiddette “Consent Management Platform” (CMP) create da aziende specializzate per fornire ai gestori di siti un sistema di raccolta consensi pronto all’uso con più o meno possibilità di personalizzazione. Il risultato sono quei pop-up iper complessi in cui non si capisce mai bene cosa stai effettivamente accettando. Infatti, uno studio condotto dai ricercatori del MIT, dell'UCL e dell'Università di Aarhus, sui top 10.000 siti della Gran Bretagna, di cui 2035 usano CMP e di questi considerando solo i 680 che si affidano ai 5 principali CMP, ha realizzato un’approfondita analisi. Questa ha dimostrato che solo l’11,8% dei pop-up per l’accettazione dei cookie si attiene alle norme del GDPR europeo, cioè:
-"soddisfano i requisiti minimi che abbiamo stabilito sulla base della legge europea" - che definiscono come legale "se non ha caselle facoltative preconfezionate, se il rifiuto è facile come l'accettazione, e se il consenso è esplicito”.
In realtà questi strumenti hanno frequentemente caselle con accettazioni pre spuntate, rifiuti nidificati in sottostrati e spezzettano le scelte sui singoli fornitori e tipologie di tracciamento. Inoltre mentre il pulsante “accetta tutto” si trova subito disponibile, spesso quello con “rifiuta tutto” non c’è o è annegato nei sotto-strati del CMP. Altro aspetto importante, è il fatto che i CMP hanno un elevato numero di fornitori di tracker spesso anche quelli il sito non avrebbe pensato di utilizzare se non ci fosse stato il CMP, quindi ponendo per ognuno di essi una o più specifiche opzioni di accettazione da leggere e spuntare. Addirittura uno di questi, QuantCast, propone ben 542 fornitori di tracker, rendendo impossibile una scelta consapevole senza perdere mezz'ora per leggere tutte le informazioni. L’immagine sottostante riporta un sunto dei risultati.
In conclusione il risultato è che, a seguito del GDPR, molti gestori di siti per superare le difficoltà burocratiche si sono affidati a fornitori esterni per la gestione dell’accettazione cookie, pensando di essere legalmente a posto. Questi però, spesso implementano sistemi che inducono i visitatori e ad accettare inconsapevolmente il più possibile, aumentando oltretutto il numero di tracker e quindi di società di advertising in possesso dei loro dati. Il risultato finale è che la mole di dati personali raccolta invece di ridursi è aumentata. Esponendo, infine, i gestori dei siti, convinti di essere conformi, a possibili sanzioni da parte dell'autorità di garanzia della privacy. Va detto che, ad onor del vero, spesso alcuni siti tracciano i nostri dati senza neanche saperlo e/o averne un ritorno economico, come per i siti della pubblica amministrazione contenenti cookies di terze parti, e che quindi non propongono neanche un adeguato sistema di raccolta del consenso sulla cookie policy.
Opzioni possibili
L’utente cosa può fare per tutelare la sua privacy? Esiste un'estensione dei browser che permette di poter gestire velocemente questi popup, Consent-O-Matic. Il problema è che la versione originale è stata pensata per funzionare con solo 4 più popolari CMP: Cookiebot, OneTrust, QuantCast, e TrustArc. Considerando che i 5 più popolari coprivano 680 siti su 2035 in realtà non ha una così ampia copertura. Anche se la società sviluppatrice lascia aperta la possibilità a chiunque di aggiungere altri template di CMP.
Altra possibilità per l’utente è disabilitare sul browser i cookie di terze parti. Questo permette di bloccare tutti i cookie non pertinenti al sito anche cliccando il famoso “accetto tutto”, qualunque sia il CMP operante sul sito. Alcuni browser come Safari bloccano questi cookie da anni, altri come Firefox li hanno imitati, mentre gli altri permettono di bloccarli attraverso delle specifiche impostazioni. Recentemente un colosso come Google, che è anche la maggior azienda di advertising al mondo, ha annunciato che il suo browser Chrome, utilizzato dal il 65% degli utenti, entro il 2022 li bloccherà completamente. Nel frattempo però sta introducendo un sistema chiamato “Privacy Sandbox” che, utilizzando tecnologie come FLoC e blocco di altre tecnologie di tracciamento come fingerprinting, dovrebbe permettere un certo livello di personalizzazione della pubblicità ma al tempo stesso impedire l’identificazione dell’utente da parte delle società di advertising (anche se non è chiaro se valga anche per Google).
Questo potrebbe ridurre la quantità di dati personali in possesso di svariate società, anche se probabilmente saranno concentrati proprio nelle grandi società stesse, come Google, o come Facebook che con la sua tecnologia Pixel traccia e profila gli utenti senza usare cookies di terze parti.
Il fatto però che Google, che detiene circa la metà del mercato, voglia rinunciare al tracciamento preciso ed alla dettagliata profilazione dei dati degli utenti, vendendo solo delle informazioni meno precise, potrebbe essere il segnale che qualcosa sta cambiando, e soprattutto che, volendo, si può fare advertising senza ledere la privacy degli utenti.