Mentre in Italia mancano oramai un paio di mesi all’entrata in efficacia delle Linee Guida emanate lo scorso giugno dal Garante per la protezione dei dati personali sul trattamento e gli adempimenti di trasparenza in materia di cookie ed il famigerato regolamento e-Privacy non riesce a trovare luce nei labirintici corridoi delle istituzioni europee, l’attenzione sulla digital privacy si fa sempre più alta.
Cookie, ecco i 10 step per adeguarsi alle nuove linee guida: c’è tempo sei mesi
Indice degli argomenti
Digital privacy e gestione dei cookie dopo la Brexit
Agli inizi di settembre, in un annuncio che rimarca gli effetti della Brexit, il Ministro del Regno Unito Oliver Dowden ha annunciato l’intenzione di far cessare la prassi dei cd. “cookie popup” (da noi “banner cookie”).
La dichiarazione è stata presa al balzo dalla commissaria uscente dell’Information Commissioner’s Office (ICO) che ha dichiarato l’intenzione di portare sul tavolo della discussione internazionale tra le Autorità di controllo il tema delle modalità di rilascio del consenso da parte degli utenti di Internet e, più in generale, della gestione dei cookie.
Secondo la rappresentante (uscente) dell’Autorità inglese i legislatori e i regolatori potrebbero spostare la loro attenzione sui browser, sulle applicazioni e sui dispositivi attraverso i quali gli utenti accedono al web e non sulla prestazione del consenso a livello di sito web. Gli utenti potrebbero esprimere preferenze di privacy generiche e durature attraverso browser, applicazioni software e impostazioni del dispositivo, consentendo di impostare e aggiornare le preferenze con una frequenza a scelta piuttosto che su ciascun sito web che viene visitato.
Le frasi ricordano le soluzioni “Do Not Track” che erano state già presentate un decennio fa e che, come è noto, non hanno attecchito sul mercato sia per una mancanza di supporto da parte degli operatori del settore, sia per una sorta di “pigrizia” degli utenti che difficilmente impostano in autonomia le preferenze sui browser e dispositivi.
Cookie banner terror, l’iniziativa di noyb contro i cookie banner selvaggi
Il preludio per un alleggerimento post-Brexit
Le dichiarazioni provenienti dal Regno Unito, però, devono essere lette anche sotto una diversa lente: il Ministro Dowden dovrebbe presentare a breve il piano di riforma del governo britannico sulla legislazione in materia di protezione dei dati personali e tali annunci – mascherati dietro quella che viene denominata “cookie fatigue” – potrebbero essere il preludio ad un alleggerimento delle regole post-Brexit, soprattutto rispetto ai vincoli del Regolamento (UE) n. 679/2016 (GDPR), al fine di attirare l’industria adtech che sicuramente sarebbe avvantaggiata da una legislazione del Paese che consentisse ai dei siti Web di evitare di dover chiedere ai britannici il permesso di elaborare i propri dati personali.
Questa lettura, d’altra parte, sarebbe avallata anche dalla circostanza che dopo un report del 2019 sulla pubblicità programmatica ed annunci circa la collaborazione con il settore industriale della pubblicità comportamentale (in particolare con IAB), la ICO aveva concesso un periodo di sei mesi per l’adeguamento al termine del quale però non ha poi avviato alcuna indagine circa il rispetto di quanto ivi indicato (e basti pensare che nel report veniva esclusa la possibilità di fondare il trattamento dei dati comportamentali degli utenti raccolti tramite cookie – tipicamente per la pubblicità programmatica – mentre il framework IAB tutt’ora in essere espressamente prevede tale base giuridica per il trattamento).
Anzi, l’Autorità di controllo era stata addirittura citata in giudizio per non aver emesso alcuna sanzione dopo aver avviato un’indagine proprio nei confronti dei grandi attori del settore adtech e nonostante all’esito della stessa avesse rilevato una serie di comportamenti non propriamente conformi rispetto alle regole in vigore.
Digital privacy: come si muovono le big tech
Ma il tema della digital privacy, in verità, è oramai sul tavolo anche delle big tech le quali, data la crescente attenzione dei regolatori sul tema della protezione dei dati personali ed il pagamento di sanzioni multimilionarie alle autorità di controllo, si sono accorte che il tema della protezione dei dati personali e della privacy degli utenti sta diventando sempre più importante anche per gli utenti, i quali sono oramai più attenti a ciò che accade ai loro dati e fondano il rapporto di “fiducia” con il brand anche su tali presupposti.
Così Apple ha da tempo introdotto nei propri device una finestra popup che consente di disabilitare il tracciamento da parte delle diverse app, costringendo gli sviluppatori dell’applicazione ad interrompere il monitoraggio e la condivisione dei dati con terze parti (mossa che ha fatto portato l’80% degli utenti Apple alla rinuncia al monitoraggio).
Anche Google e Facebook hanno reagito. La prima ha presentato il cd. sistema FLOC, volto a creare “cluster” di utenti con bisogni/gusti analoghi al fine di indirizzare gli annunci pubblicitari verso tali gruppi e non ai singoli individualmente.
Facebook, da parte sua, sta sviluppando soluzioni per indirizzare le persone con annunci pubblicitari utilizzando le informazioni raccolte sui loro dispositivi senza consentire la condivisione dei dati personali con terze parti.
Le conseguenze di una rivoluzione copernicana
Queste potrebbero essere le conseguenze di una tale rivoluzione copernicana rispetto ad una Internet che, come la conosciamo oggi, si basa prevalentemente sul modello di business pubblicitario (per un giro d’affari di circa 350 miliardi annui):
- Innanzitutto, sistemi “chiusi” di tracciamento non potranno che rafforzare le posizioni delle grandi piattaforme e players del digitale: se effettivamente si eliminano gli strumenti di tracciamento e condivisione dei dati verso terzi è evidente che la pubblicità personalizzata potrà essere svolta con più facilità solo da quei soggetti che già detengono i dati personali degli utenti. Per Twitter, Facebook, Instagram, TikTok e le altre piattaforme sarà più facile profilare il messaggio pubblicitario rispetto a quei soggetti che operano quali “data broker” ed oggi fanno affidamento sullo scambio di dati che avviene attraverso i cookies.
- Un altro tema riguarda una velata discriminazione tra quei soggetti che possono permettersi dispositivi o abbonamenti per accedere ai contenuti rispetto a chi invece non ne ha la possibilità. È il tema della monetizzazione dei dati (che vedrebbe una discriminazione tra chi si può permettere di pagare un servizio e chi invece deve cedere i propri dati per accedere allo stesso) ed è il tema che sollevò Google quando Apple ha introdotto il sistema di opzione per il monitoraggio: solo gli utenti Apple, che potevano permettersi un dispositivo dell’azienda di Cupertino infatti, potevano avvalersi di tale opzione, mentre gli utenti Android non avrebbero potuto esercitare tale diritto in maniera così immediata (ma, a dir la verità, in realtà a chi scrive sembrerebbe più corretto che Google facesse autocritica, permettendo anche agli utenti Android di godere di tale funzionalità).
- Infine, ci sono i piani di chi in quel mercato pubblicitario detiene una posizione dominante, avendo fatto degli introiti pubblicitari la sua fonte prevalente di ricavi. È evidente che, per Google, il tema della condivisione dei dati nella catena della pubblicità programmatica rappresenta il fulcro della propria attività commerciale. Proprio per tale motivo Google non può permettersi di disabilitare il meccanismo dei cookie sino a quando non troverà altri modi per mettere a disposizione di publisher, inserzionisti e data brokers i dati degli utenti (anche se suddivisi in classi omogenee) così da consentire una pubblicità profilata verso gli stessi. D’altra parte, però, con il passare del tempo Google è diventato ben più che un semplice intermediario di pubblicità. Pur se non apparente come Facebook o altri social, anche Google può essere oramai considerata una piattaforma, potendo raccogliere dati degli utenti da diverse applicazioni (come la suite delle Google Apps) e dispositivi (come Android). La verità, quindi, è che nel lungo periodo anche per BigG potrebbe essere conveniente una strategia di eliminazione del meccanismo dei cookie, potendo contare già su un insieme di dati personali che solo lei può sfruttare e mettere a disposizione dei suoi clienti inserzionisti.
Conclusioni
Riprendendo l’articolo di Rocco Panetta bisogna diffidare da chi tenta di banalizzare il tema della protezione dei dati personali.
Dietro a tale materia, infatti, si gioca una lotta di posizione in un mercato che forse ad oggi uno dei più profittevoli del mondo e che condiziona la vita e le scelte di milioni (se non miliardi) di persone.
Annunci come quelli del Regno Unito che, con la scusa di eliminare la “cookie fatigue” vuole liberalizzare in qualche modo il trattamento dei dati online uniti alle mosse delle aziende che oggi su questo mercato si contendono posizioni a dir poco rilevanti devono far pensare il regolatore e le Autorità di controllo.
Non dobbiamo dimenticare che le grandi piattaforme sono state più volte sanzionate dalle Autorità antitrust (di svariate parti del mondo) per abuso di posizione dominante avendo posto in essere condotte volte non solo a creare barriere all’ingresso dei mercati su cui operano, ma anche per aver conquistato tali posizioni in modo alcune volte “predatorio” sostanzialmente acquisendo i possibili competitor.
Il tutto però ha sullo sfondo il trattamento dei dati personali degli utenti e lo sfruttamento di tali dati, che oggi vengono ceduti gratuitamente in cambio della possibilità di sfogare le proprie pulsioni, per lo sfruttamento di un modello di business basato prevalentemente sulla pubblicità profilata.
Pensare che le soluzioni proposte da tali piattaforme siano volte prevalentemente alla tutela di tali dati personali potrebbe essere un’ingenuità, dato che, molto probabilmente, a fronte di proposte che eliminano la possibilità di condividere i dati con terze parti vi possono essere soluzione che mirano a rafforzare le posizioni di controllo dei mercati su cui tali piattaforme sono già presenti, forti dell’enorme quantità di dati personali ad oggi raccolti su cui, in tal modo, avrebbero un’esclusiva.
