Ogni nostra attività nel mondo digitale e reale è tracciata. Viviamo nel pieno dell’era digitale in cui il nostro caro smartphone, ormai diventato un’appendice di noi stessi, traccia e annota ogni aspetto della vita quotidiana.
Con l’avvento dello smartphone, delle piattaforme online e dei social network è diventato ancora più agevole controllare la nostra attività in rete, in un quadro tipicamente kafkiano. Ogni interazione attiva o passiva dell’utente nel web alimenta i cd. Big data, ossia enormi archivi di dati, allocati in diversi server, con i quali - mediante l’elaborazione algoritmica - si delineano i profili degli utenti, le abitudini e gusti, fino ad anticipare le future decisioni. Questi grandi archivi vengono arricchiti sia consapevolmente, talvolta per una eccessiva esposizione di sé, che inconsapevolmente. Potremmo far rientrare all’interno dell’alveo dei dati ceduti inconsapevolmente, o per meglio dire ceduti con flebile consapevolezza, quei dati carpiti mediante lo strumento dei cookie di profilazione. Si badi bene che ciò avviene non soltanto laddove vi sia un consenso ma altresì laddove vi sia un rifiuto a tale strumento. Questa accezione apparentemente esotica in realtà si basa su un concetto che verrà sviscerato nel proseguo della trattazione. Prima è necessario comprende cosa sono i cookie e quale sia la normativa che li regolamenta.
Definizione Cookie
Il garante per la protezione dei dati personali italiano definisce i cookie come "stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente” [1]. Questo consente al sito web di riconoscere il visitatore, grazie all’identificazione univoca del client, e di accedere alle informazioni memorizzate nei cookie, quali le impostazioni del dispositivo di accesso (lingua e altre specifiche preferenze). Questa prima tipologia di cookie, detti “tecnici”, è essenziale per il funzionamento del sito web in quanto permettono l’autenticazione e la memorizzazione delle preferenze degli utenti[2]. Altri cookie hanno, invece, lo scopo di tenere traccia delle modalità con le quali gli utenti esplorano un dato sito, una piattaforma o una risorsa Web; ad esempio, le pagine visualizzate all'interno del portale, con quale frequenza e in quale fascia oraria o, ancora, la durata della visita. Al riguardo, si parla di cookie di analisi se le informazioni sono raccolte, in forma di solito anonima, al solo scopo di analizzare le prestazioni del sito, identificare problemi tecnici e migliorare l’esperienza dell’utente; si parla di cookie targeting/profilazione, invece, laddove le preferenze del singolo utente e le sue attività di navigazione siano registrate al fine di offrire contenuti o pubblicità personalizzate. L’invasività di quest’ultima tipologia di cookie diventa ancora più chiara se pensiamo alla loro capacità di memorizzare i termini ricercati nella maschera di ricerca e le sotto pagine visitate.
I cookie di profilazione possono essere impostati e raccolti, non solo dal sito web visitato (comunemente definiti “cookie di prima parte”) ma altresì da siti o web server diversi (i cd. “cookie di terze parti”), come inserzionisti e aziende che operano nel campo pubblicitario, i quali hanno contenuti integrati nella pagina web visualizzata. I dati raccolti permettono di profilare nei gusti e negli interessi un determinato utente al fine di personalizzare i banner e gli annunci pubblicitari in base alla cronologia di navigazione. Questi dati costituiscono un valore, una valuta di scambio alla fruizione libera dei portali web e dei contenuti in essi contenuti, permettendo agli stessi di rimanere on-line grazie ai ricavi generati.
Alla luce di quanto sopraesposto, appare evidente come i cookie di per sé non costituiscano un rischio per l’utente. Tuttavia, le modalità di utilizzo potrebbero minare la privacy dell’utente, il quale deve avere contezza di chi e come tratta i suoi dati personali. Per tale ragione il legislatore euro-unitario e nazionale ha sentito la necessità di regolare la materia dei cookie; tema percepito maggiormente dall’utente medio a seguito di grandi scandali, primo fra tutti lo scandolo del Datagate, disvelato dal celeberrimo hacker Edward Snowden.
Quadro normativo
L’attenzione del legislatore europeo sul tema dei cookie inizia nel 2002 con la direttiva 2002/58/CE[3] con la quale si stabiliva l’obbligo per il gestore del sito web di informare l’utente sulla presenza dei cookie e sulla possibilità di disabilitarli tramite browser, non specificando, tuttavia, le modalità e il contenuto della stessa informativa e non parlando, ancora, di consenso esplicito. Tale normativa europea viene aggiornata e modificata dalla direttiva 2009/136/CE con la quale si introduce in alcuni casi l’obbligo del titolare del sito web di ottenere il consenso preventivo dell’utente all’uso dei cookie e di informare lo stesso sugli scopi del trattamento. Le direttive E-Privacy sono state recepite in Italia con la riformulazione dell’art. 122 del Codice della Privacy[4], vietando in linea generale l’utilizzo dei cookie e di altri sistemi di tracciamento, salvo l’utente abbia espresso il proprio consenso informato. Su questo panorama normativa, il Garante della Privacy italiano con provvedimento nr. 229/2014 formula le regole e le modalità per adempiere agli obblighi introdotti dalle direttive comunitarie di informativa e acquisizione del consenso all’utilizzo di cookie.
Successivamente, con l’entrata in vigore del GDPR (Regolamento UE 2016/679) vengono modificate le condizioni di validità per l’acquisizione del consenso, in quanto richiesto per singola tipologia di trattamento. Il Regolamento considera i cookie dati pseudonomi, ossia dati che possono diventare dati personali e dunque soggetti alla normativa laddove permettano di identificare un individuo (Cons. 26 e 30). Fondamentale è il considerando 32 in cui si afferma che il consenso deve essere espresso mediante “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.”[5]
Sulla scia delle linee guida di maggio 2020 dell’European Data Protection Board (EDPB)[6], il 10 giugno 2021 il Garante italiano emana delle linee guida aggiornate che richiamano ad una corretta applicazione del GDPR nella fase di acquisizione del consenso espresso dall’utente all’installazione dei cookie o all’impiego di altri strumenti di tracciamento affini[7].
In sintesi, la normativa attuale prevede che al primo accesso al sito debba essere visualizzato un cookie banner riportante un’informativa breve, che deve contenere necessariamente: il link di rimando alla cookie policy (informativa più dettagliata), i tipi di cookie utilizzati dal sito, scanditi per finalità in diverse caselline di selezione, la possibilità di accettare solo i cookie che vengono selezionati attivamente dall’utente o possibilità di diniego[8]. In quest’ultimo caso, il gestore del sito deve permettere di visitare comunque il sito, scaricando solo i cookie tecnici per i quali non ci vuole un consenso in quanto strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico richiesto dall’abbonato o dall’utente[9]. I cookie di profilazione o di analisi di terze parti non anonimizzati[10] non potranno essere installati sul dispositivo del visitatore se non dopo manifestazione attiva di consenso. Il sito dovrà conservare la scelta per almeno sei mesi; scelta che potrà essere modificata in ogni momento dall’utente[11].
La struttura dei cookie banner influenza la scelta degli utenti?
Un occhio critico e sensibile al tema privacy noterebbe come i cookie banner in realtà sono spesso architettati con un design tale da influenzare la scelta del visitatore, spingendolo a cliccare su “Accetta tutti” o “Accetta”; tali interfacce sono definite dall’EDPB “dark pattern”. Ad esempio, la collocazione del pulsante per il rifiuto dei cookie di profilazione in un’altra pagina o area porta gli utenti ad accettare tutti i cookie pur di non effettuare ulteriori click, evitando la banner fatigue; o ancora la grafica della casellina “accetta tutti” molto più accattivante e di impatto visivo immediato rispetto a quella utilizzata per la casellina del diniego, in cui la tonalità e il contrasto cromatico è tenue; o ancora, l’impossibilità di accedere alla lettura chiara del contenuto del sito, parzialmente oscurato, fino a quando non venga effettuato il consenso (il cd. Cookie wall basato sulla regola di dubbia legittimità del pay it or leave it[12]).
Tali tecniche rappresentano l’applicazione pratica della teoria dei nudge, ossia quella teoria di derivazione comportamentista secondo cui piccoli rinforzi positivi o aiuti indiretti possono incidere sui processi decisionali dell’individuo o del gruppo. In questo modo si favoriscono, quindi, alcuni percorsi emotivo-cognitivi rispetto ad altri per assicurarsi che gli utenti prendano determinate decisioni, percepite dagli stessi come frutto della loro liberà volontà, che riducono la loro privacy.
Prima che intervenisse il GDPR, una dei tentativi da parte dei gestori dei siti web di indirizzare la scelta dell’utente ad accettare tutti i cookie era rappresentata dalle spunte preselezionate, che conduceva l’utente, complice la leggerezza e la distrazione, a cliccare sulla casella “conferma le mie scelte” al fine di accedere più velocemente alla lettura o visione di un contenuto allettante del portale web visitato. Importante sul tema è la sentenza della CGUE C-673/17 con la quale la Corte ha stabilito che la procedura di consenso per l’uso dei cookie debba essere quella dell’opt-in, ossia quella della selezione attiva della casella.
Impostazione di default
Il design digitale non è neutro e non sono neutri gli algoritmi digitali, i quali anch’essi sono in grado di guidare le decisioni degli utenti grazie alla previsione di un ventaglio limitato di opzioni predeterminate e di un apparato di stimoli e dissuasioni. Segnatamente, si fa leva sulle opzioni di default, ossia scelte predefinite, personalizzate e aggiornate grazie all’uso combinato dei big data e dell’intelligenza artificiale, le quali diventano effettive laddove i soggetti non intraprendono alcuna azione per cambiarle, anche quando non sussistano rinforzi negativi che spingano nel senso opposto.
La criticità del sistema di default e della stessa teoria del nudging, sistema autoalimento da un pregresso lavoro di profilazione, è rappresentato dal dubbio sulla libera o meno autodeterminazione dell’individuo, allorché si ometta di presentare ulteriori alternative non enucleate tra quelle prospettate portando così l’utente a credere che non ne esistano ulteriori: presupposto fallace che mira alla genuinità della libera formazione della volontà.
La soluzione è il rifiuto dei cookie?
Sembrerebbe che non sia così. Da un recente studio condotto dall’IBM Research e annunciato per la prima volta alla NeurIPS 2023 (una conferenza sull’intelligenza artificiale tenutasi nel dicembre 2023), si è rilevato che laddove si scelga di cliccare su “rifiuta tutto” l’algoritmo presuppone che l’utente sia appartenente ad uno specifico gruppo demografico (individuandolo per nazionalità ed età), applicando così “il filtro collaborativo”[13] per adattare i contenuti a questa tipologia di profilo. Pertanto, solo apparentemente gli inserzionisti ricavano dal soggetto due informazioni: il sito web che sta visitando e il rifiuto dei cookie. In realtà, dietro la decisione di rifiuto sussistono una moltitudine di informazioni, con un margine di errore inferiore, che possono essere utilizzate in egual modo dai colossi pubblicitari per personalizzare le pagine visitate ed assicurarsi così il massimo coinvolgimento anche da parte di coloro che scelgono di non fornire i propri dati personali. Tanto più si interagisce quanto più si ottengono informazioni personali dei consumatori, le cui scelte potranno essere più facilmente dirottate/influenzate.
Conclusione
Consenso o rifiuto a parte, stiamo assistendo già da qualche anno ad una rivoluzione dell’ecosistema digitale con la progressiva dismissione dei cookie di terze parti, il cd. Cookieless. Alcuni Big Tech, quali Apple e Mozilla, hanno già eliminato gradualmente tali cookie; mentre Google ha posticipato ancora una volta il termine, ad oggi previsto per la fine del 2024, alla completa dismissione. Se contiamo che Mountain View detiene una fetta dominante nel mercato pubblicitario, il colosso tech ha permesso alle aziende di tirare un sospiro di sollievo, avendo una finestra temporale per adeguarsi a tale scelta e trovare soluzioni alternative al tracciamento tramite i cookie, che siano rispettose del principio di trasparenza e della privacy degli utenti.
In tale panorama avrà un ruolo fondamentale l’intelligenza artificiale: gli editori e gli inserzionisti sfrutteranno al meglio le capacità dell’AI al fine di prevedere i comportamenti degli utenti e di analizzare una mole considerevole di dati, molti di questi preesistenti, personalizzando le campagne in base a dati demografici specifici. I nuovi dati, forse minori con l’avvento del cookiless, saranno ancora più preziosi: verranno valorizzati in primis i dati di prima parte e i dati contestuali. Diventerà un imperativo categorico per le aziende sfruttare i tanto sottovalutati cookie di prima parte (previo consenso dell’utente qualora fungano da tracciamento) e il targeting contestuale mediante la capacità dell’AI di analizzare i contenuti e l'intero ecosistema digitale intorno a una pagina web o a un'app - dai titoli delle notizie ai commenti degli utenti - e di abbinare dinamicamente gli annunci a un pubblico pertinente, creando dei messaggi di marketing altamente personalizzati in tempo reale.
La scelta di metodi alternativi al tracciamento on-line degli utenti, in ogni caso, dovrà avvenire cum grano salis, in quanto si annida il pericolo che le nuove soluzioni introdotte non siano in realtà meno lesive della privacy rispetto ai cookie. Peraltro, potrebbero essere introdotte tecnologie maggiormente complesse e difficili da classificare e regolamentare con il rischio di creare una “new grey zone”.
[1] Provvedimento nr. 229/2014.
[2]Possono includere cookie di sessione, che vengono eliminati quando si chiude il browser, e cookie persistenti, che rimangono memorizzati sul dispositivo per un periodo specifico. I cookie tecnici e funzionali sono utilizzati ad esempio per il mantenimento dello stato di accesso in pagine in cui serve il login, per ripresentare il carrello degli acquisti online già alimentato in precedenza e per la gestione delle preferenze dell’utente.
[3] Direttiva relativa alla vita privata e alle comunicazioni elettroniche, pubblicata in Gazzetta Ufficiale n. L 201 del 31/07/2002.
[4] D.lgs. 69 del 2012 modifica il Codice della Privacy (D.lgs. 196/2003).
[5] A seguito dell’entrata in vigore del GDPR, il legislatore italiano, in linea con la normativa europea, apporta con il D.lgs. 101/2018 notevoli modifiche al Codice della privacy.
[6] Il Comitato europeo per la protezione dei dati è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione del GDPR.
[7] Il Garante della Privacy ha definito lo scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato.
[8] Può essere espresso anche cliccando la “X” del cookie banner.
[9] Il consenso non viene richiesto per i cookie tecnici o ad essi assimilabili in quanto la base giuridica è rappresentata dall’interesse legittimo del titolare del sito, in quanto si tratta di strumenti necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi. Si pensi, ad esempio, ad un sito che mette a disposizione un servizio opensource ma solo per un limite massimo di nr. x volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio.
[10] Cookie “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti.
[11] Deve essere sempre presente un link di impostazione cookie che consenta agli utenti di rivedere i consensi eventualmente concessi e poter modificare le proprie scelte.
[12] Tema sul quale il Garante della Privacy deve sciogliere la riserva. In particolare, ciò che viene messo in dubbio è proprio la validità del consenso prestato, in quanto non potrebbe essere considerato libero, ma condizionato, il consenso fornito per accedere ad un servizio che non sarebbe reso fruibile se non venisse dato.
[13] In un sistema basato sul filtraggio collaborativo, gli articoli vengono consigliati agli utenti in base ai contenuti consumati da altri utenti con comportamenti simili.