Il digital marketing senza cookie: quali sono gli scenari prossimi venturi

Come già segnalato in precedenza, il mercato del digital marketing è in via di transizione: da una realtà dominata dai cookie a una quasi del tutto priva di cookie. Realtà in ogni caso non certo carente di attività marketing e di tracciamenti, più o meno celati, anzi sempre più diversificate e fiorenti. Molte sono le innovazioni alternative in discussione e non mancano le proposte normative che potranno mutare lo stesso terreno di gioco, cercando di limitare il più possibile le strategie di tracciamento dell’utente.

Il tramonto dello strumento cookie di terza parte – la cui data conclusiva si può per ora agganciare alle dichiarazioni di Google nel volerli dismettere aggiornando il browser Chrome nel 2023, quindi sarà il 2022 l’anno più critico – rappresenta una vera rivoluzione: il mercato vuole ottenere gli stessi risultati (misurazioni, statistiche, monitoraggio cross-device ecc.) a cui si è abituato, però in assenza dello strumento che ne ha di fatto creato le possibilità concrete.

Dall’avvento degli ad-blocker che sempre più hanno penalizzato il diffuso e spesso indiscriminato uso dei dati personali, è una costante rincorsa tra i tentativi di limitare l’uso dei dati e, dall’altro lato, di aumentare l’invasività della loro raccolta e del loro sfruttamento.

Privacy e futuro del digital marketing: aspettative e problemi ancora da risolvere

Si sta dunque cercando affannosamente un’alternativa tecnica che possa garantire la stessa analiticità commerciale (conversioni, programmatic advertising dinamico, tracciamento continuativo cross-device, profilazione dettagliata, metriche, ecc.), a livello quantitativo e qualitativo.

Ciò a fronte di una stretta dal punto di vista politico-legale che sta sempre più avvicinandosi quasi a una sorta di “bando” delle prassi di profilazione e sorveglianza degli utenti per scopi commerciali. Visto e considerato che tuttora il diffuso uso dei cookie non è sempre a norma (basti pensare ai vari problemi posti dall’adozione internazionale del framework IAB, di cui si è già trattato in passato), da più parti risuona la volontà di porre fine a certi abusi.

In tutto questo, paiono ridersela i soliti giganti tech sulle cui spalle ha prosperato tutto il mercato: Meta (cioè la rebrandizzata Facebook), Google, Apple e simili continuano il loro gioco su un altro livello, consci di riuscire sempre e comunque a sfruttare le masse di dati acquisite e che acquisiranno.

Ben altro che le preoccupazioni degli operatori dell’ecosistema digitale, alimentate da verifiche e test che fanno presagire un netto calo di consensi e dati utilizzabili per fini commerciali.

Vediamo di presentare un breve quadro di quanto ci si aspetta nel settore.

Cookieless: quale sarà il prossimo strumento di marketing massivo?

Le principali alternative sul tavolo, non tutte ancora mature e disponibili, sono principalmente le seguenti:

1. raccolta diretta dei dati (c.d. “zero-party data”): ritorno al passato, cioè alla forma tradizionale di richiesta dei dati all’utente, direttamente ed esplicitamente per fini di marketing, ad es. sugli interessi d’acquisto – nel contesto digitale e non solo, sarà prevedibile l’accompagnamento della raccolta dati nei touch point con incentivi come gadget, prodotti omaggio ecc. – oramai gli utenti sono saturi di mere richieste pubblicitarie; si deve badare comunque a non legare il consenso marketing a questi incentivi sì da minare la libertà del consenso stesso, per di più evitando lo sconfinamento in pratiche commerciali aggressive e scorrette – sanzionabili parimenti sotto il profilo di tutela consumeristica, attribuito all’AGCM, di cui sono note recenti sanzioni a soggetti illustri come Google e Apple;
2. cookie di prima parte: l’uso dei cookie del solo publisher nativo, quello del sito visitato dall’utente, è stato finora marginale a causa della evidente miglior capacità analitica fornita da quelli di terza parte (sfruttando proprio i dati forniti dai terzi, i tracciamenti tra vari dispositivi e siti); questo strumento, tuttavia, è già stato scelto da diversi soggetti come alternativa a quelli di terza parte, inoltre non subisce influssi dalle vicende di terza parte – anzi, i dati di prima parte possono essere più corretti, precisi e affidabili rispetto a quelli di terzi, sono liberamente customizzabili dal publisher stesso; non si potranno ragionevolmente raccogliere grandi quantità di dati in maniera facile e immediata, sarà necessario pianificare nel medio/lungo termine; ovviamente si dovranno sempre rispettare le normative fondanti come la Direttiva ePrivacy (n. 2002/58 attuata nel Codice privacy nazionale) e la sua corretta implementazione, specie quanto ai requisiti del consenso e informativi che sono stati pure precisati dal Garante nelle sue linee guida sui cookie, applicabili dal 10 gennaio 2022;
3. Google Privacy Sandbox: il framework di strumenti offerti da Google – già esaminato sotto il profilo privacy in precedenza – trova quello di punta in FLoC (Federated Learning of Cohorts), da implementare in Chrome: al corrente utilizzo dei dati in chiaro e tramite identificatori, preciso fino al singolo utente, si sostituirebbe un’aggregazione per similarità, limitando il focus a gruppi di interessati omogenei a cui mostrare annunci mirati; le critiche al sistema così progettato sono già numerose, a partire dall’oscurità che ammanta il suo preciso funzionamento (con annessi rischi privacy) fino al conseguente accentramento nelle sole mani di Google di tutti i dati e della loro gestione, tanto da richiedere davvero tanta, troppa fiducia nella trasparenza del colosso di Mountain View; altro tassello Sandbox importante per il programmatic advertising è FLEDGE, utile per il remarketing pseudonimizzato, tramite Chrome, che dovrebbe continuare a utilizzare il noto meccanismo delle aste per la selezione degli annunci da mostrare; all’interno del sistema Sandbox non mancano altri strumenti per fornire misurazioni e conversioni degli utenti, applicando varie tecniche di pseudonimizzazione/anonimizzazione come l’aggregazione o l’aggiunta di rumore;
4. uso di identificatori (ID): se il punto è identificare l’utente per inviare annunci mirati, non solo i cookie sono in grado di farlo: un fornitore di ID può chiedere un consenso specifico all’utente per crearne uno specifico ID, condiviso poi dal fornitore con vari terzi per la pubblicità diretta proprio a quell’utente; Google sta promuovendo una nuova funzionalità di Ad Manager, detta “Publisher Provided Identifiers” (PPIDs), ove si sfrutta propria una tipologia di ID creati e pseudonimizzati dagli stessi publisher per il mercato pubblicitario del network di Google; l’ambito risultato è quello di creare un ID universale, cioè comune e condiviso tra più editori così da permettere di riconoscere l’utente in più contesti e fasi; ricordiamo che Apple e il suo framework ATT hanno già di fatto semi-bloccato, invece, l’uso dell’identificativo mobile (IDFA) da parte delle app, grazie a iOS 14.5 che ha reso opzionale il consenso dell’utente per il tracciamento tramite ID;
5. e-mail come identificatori: applicazione specifica del tema ID è quello dell’e-mail, impiegata come base di partenza per generare identificatori pseudonimizzati; naturalmente serve un consenso specifico dell’utente, sebbene possa essere inserita in una sorta di scambio tra “dati per creare ID” e determinati “servizi”; è tutto da verificare circa la sua liceità, ricordando le preclusioni del GDPR (Considerando 43: “Si presume che il consenso non sia stato liberamente espresso […] se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”) e alla luce delle possibilità aperte dalla Direttiva 2019/770; un esempio già in diffuso ne è Unified ID 2.0;
6. browser fingerprinting: tecnica subdola di tracciamento e identificazione che permette di dedurre chi sia l’utente in base alle impostazioni del browser e altri dati tecnici; il problema principale è il suo funzionamento “occulto”, tecnicamente è quasi sostanzialmente impossibile opporsi – almeno attualmente – alla sua azione, a differenza dei cookie (l’utente può, in genere, cancellarli direttamente dal proprio dispositivo); ricordiamo però che il Garante ha ribadito che l’uso di questa tecnica è soggetta ai medesimi adempimenti dei cookie – in quanto forma di tracciante “passivo” –, quindi ad es. se non si fosse in grado di assicurarsi il consenso specifico e gestirne la sua eventuale revoca non si dovrebbe utilizzare; è interessante notare come Google stessa abbia annunciato di voler implementare nel suo Sandbox misure per prevenire l’uso del fingerprinting, proponendo ad es. un “privacy budget”, cioè un ammontare massimo di dati a cui far accedere i terzi, oltre il quale le API del browser non trasmetterebbero più dati o li confonderebbero quando forniti ai terzi marketer;
7. targeting contestuale: semplicemente, vengono visualizzati annunci pertinenti alla tipologia di sito e contenuto visitati dall’utente, sfruttando tag e keywords associati; l’uso di questa tecnica, che depura il sito web da attività di monitoraggio dell’utente concentrandosi sui contenuti, se correttamente impostata con siti web idonei alla tematizzazione, può offrire risultati validi in termini numerici, paragonabili a quelli dei cookie di terza parte, stando ad alcune ricerche.

Addio ai cookie di terze parti: ecco le nuove strategie di promozione dei brand

Le regole del gioco: lo scenario normativo a venire

Lo scenario giuridico, ovviamente qui focalizzato sull’Unione, è altrettanto affollato di quello degli strumenti, con molte iniziative che possono avere un sensibile impatto sul mercato esistente.

Tra proposte più o meno in fase matura, troviamo di seguito le principali:

1. linee guida sui cookie del Garante per la protezione dei dati personali: già citate in precedenza, da gennaio prossimo venturo faranno scattare controlli e maggiori restrizioni per i siti web nazionali, dal design dei banner con possibilità di rifiutare tutti i cookie, fino al divieto di utilizzo dei cookie-wall e dello scrolling;
2. task force cookie banner dell’EDPB: la NOYB di Max Schrems ha presentato più di 500 reclami sulle violazioni normative poste in essere da migliaia di siti web in tutta Europa, circa i cookie banner (dalla mancanza del tasto di rifiuto complessivo alle caselle preselezionate); grazie all’uso di un software dedicato per raccogliere tutte le prove, la mole di ricorsi proposta da NOYB ha portato a costituire un’apposita task force EDPB dedicata dalle autorità di controllo a esami, indagini, istruttorie dei predetti torrenziali reclami; ciò significa che man mano le varie autorità dei Paesi coinvolti – tra i quali sicuramente figurerà l’Italia – riceveranno indicazioni dalla task force, potranno susseguire provvedimenti di accertamento ed eventuali sanzioni a livello nazionale;
3. autorità di controllo belga vs. IAB: si è di recente già riportata l’attesa per una probabile condanna dello IAB e del suo framework TCF, adottato per la standardizzazione nell’uso dei cookie, da parte dell’autorità belga; gli effetti saranno prevedibilmente riflessi su tutto il territorio europeo – lo vedremo da gennaio, data prevista per la pubblicazione del provvedimento, che cosa accadrà, quali ripercussioni si avranno nell’ecosistema che sposa lo standard TCF;
4. regolamento ePrivacy: più volte rivisto e rimandato, oggetto di fortissime pressioni di lobby, vuole aggiornare la vigente Direttiva 2002/58 in materia di privacy delle comunicazioni elettroniche, toccando tra l’altro il nodo dei cookie e simili identificatori/traccianti; tra i punti più “caldi” e discussi, la disciplina dei metadata, oppure l’uso delle impostazioni browser e altre semplificazioni sulle forme di consenso; l’ultimo testo circolato è stato fortemente criticato dalla Germania che ha richiesto maggiori protezioni per i dati personali;
5. Digital Service Act (DSA): importante tassello della strategia europea sui dati, assieme a Data Act, Digital Governance Act, Digital Markets Act; il DSA vuole rinnovare la Direttiva 2000/31/CE sui servizi della società dell’informazione, quali e-commerce e digital marketing, con annesse responsabilità; quanto alla pubblicità online, il testo vuole fornire più trasparenza a inserzionisti ed editori, in particolare quanto agli strumenti di misurazione sull’efficacia degli annunci, agli importi pubblicitari, agli algoritmi impiegati nel marketing;
6. Digital Governance Act (DGA): il testo fin qui più avanzato quanto alla sua gestazione, può avere un chiaro effetto nel mondo del marketing visto che – come già affrontato in altra sede – può portare a disciplinare svariati intermediari nella gestione dei dati personali (ad es. PIMS) che possono fungere da “mediatori” per un uso dei dati potenzialmente più rispettoso della privacy, con un maggiore controllo da parte dell’utente; ne costituisce importante integrazione il Data Act (DA), a complemento del DGA, specie nel ri-disciplinare i database, essenziale strumento per il marketing e di sfruttamento da parte dei big players, perchè tutelati con diritti di esclusiva tuttora spettanti a chi li costituisce;
7. Digital Markets Act (DMA): tratteggia una disciplina specifica per i gatekeepers – cioè dei big player che condizionano estesamente l’accesso al mercato, sia per il numero di utenti che di dati che per il tempo di presenza sul mercato – e potrebbe finalmente dare accesso a molti dei dati, pur generati dagli utenti professionali e dai loro utenti, finora tenuti “sotto chiave” da tali grandi piattaforme, oltre a permettere verifiche indipendenti sui messaggi pubblicitari resi tramite le grandi piattaforme.