Se navighi su Internet (e, spoiler allert: lo stai facendo ora!), avrai certamente sentito parlare dei cookies, anche solo per i molti banner che spuntano fuori ad ogni apertura di un nuovo sito web per informarti sulle varie tipologie presenti e chiedendo il consenso per l’attivazione.
Quello che forse è meno noto è che recentemente, anche per effetto della aumentata sensibilità degli utenti verso il tema, si sta cercando di ipotizzare un Internet cookieless (=senza cookies), dove cioè non sia più permesso abilitare il tracciamento degli utenti da parte di terzi sui motori di ricerca. Sì, perché i cookies possono tracciare la nostra navigazione e creare delle ipotesi di preferenze sulla base dei siti web che visitiamo, così da rendere più facile agli inserzionisti pubblicitari inviarci pubblicità mirate sui nostri interessi. Questo, per lo meno, è il lavoro svolto da gran parte dei cd. cookies di terze parti, così chiamati perché sono informazioni inviate ai dispositivi dell’utente che sta visitando un sito web da parte di un soggetto diverso dal titolare del sito (al quale appartengono invece cookies cd. di prima parte).
Cookie di terze parti e consenso
Alcuni cookies, definiti tecnici, hanno la sola funzione di rendere possibile l’esperienza di navigazione dell’utente e di proteggere la sicurezza del sito web: si pensi all’impostazione della preferenza di una lingua, che senza uno specifico cookie dovrebbe essere reimpostata ogni volta che si clicca una pagina diversa da quella in cui si è. Altri cookies sono chiamati invece di profilazione perché la loro funzione è memorizzare le attività di navigazione effettuate dall’utente, aumentando così la conoscenza su quel soggetto, ed individuarne le preferenze in base alle ricerche fatte e ai siti web visitati, con lo scopo di presentargli determinate pubblicità più in linea con i suoi interessi e, quindi, più efficaci (delle tipologie di cookie e del consenso abbiamo diffusamente parlato in questo articolo).
In Europa, si è deciso di regolamentare i cookies mettendo al centro il concetto del consenso dell’utente (le linee Guida del Garante per la protezione dei dati personali impongono un rapido e necessario adeguamento che si può scoprire qui).
Tuttavia, alcune aziende hanno deciso di fare un passo ulteriore, affrontando ancora più drasticamente la questione: stiamo parlando di Mozilla ed Apple, che nel 2020 nei loro motori di ricerca (Firefox e Safari) hanno sviluppato due diversi sistemi di blocco di cookies inviati all’utente da terze parti.
Privacy Sandbox: il progetto “anti-cookie” di Google
Google, per non voler restare indietro rispetto ai suoi competitors su questo aspetto, è subito corsa ai ripari annunciando nel 2019 il lancio del progetto Sandbox sul proprio browser Chrome, chiedendo agli esperti del settore di valutare quanto il progetto sia fattibile in una successiva consultazione pubblica. Per tenere in considerazione gli esiti di quest’ultima, il lancio era stato spostato dal giugno del 2021 al 2022.
L’obiettivo dichiarato da Google è tutelare la privacy degli utenti, essendo il gigante americano rimasto indietro da questo punto di vista rispetto ad altri web browser: sul sito di Google dedicato a Sandbox viene riferito che “Privacy Sandbox for the Web eliminerà gradualmente i cookie di terze parti e limiterà il tracking occulto”. Ma come dovrebbe funzionare Sandbox?
Come funziona Privacy Sandbox?
L’idea alla base di Sandbox è un sistema di intelligenza artificiale chiamato FLC (Federated Learning of Cohorts). Questa tecnologia dovrebbe essere presente nei dispositivi degli utenti, così che le informazioni raccolte restino dentro i dispositivi stessi, eliminando un primo problema dei cookies, ossia la gestione dei dati personali da parte di una moltitudine di soggetti. Il sistema FLC non condividerebbe, poi, i dati raccolti sugli utenti, ma avrebbe solo la funzione di aggregare le persone in “gruppi” omogenei con preferenze simili (o, appunto, coorti) così da svincolare il dato dalla singola persona a cui si riferisce. Renderlo, cioè, anonimo.
Google si dichiara interessata solamente ai dati delle coorti (aggregati, quindi anonomi), e non ai dati personali. Del resto, l’azienda statunitense possiede un sistema di inserzioni mediante cui concede spazi pubblicitari agli inserzionisti. A questi ultimi soggetti sarebbero, in definitiva, utili i soli dati delle coorti, a cui mandare una pubblicità mirata in base alle preferenze che hanno manifestato. Inoltre, Google ha dichiarato di non essere in alcun modo interessata ai dati di natura più problematica (cd. dati particolari, come quelli razziali, politici, sanitari, ecc..).
Le criticità di Sandbox per l’Antitrust
Eppure, dal lancio del progetto Google si è vista bersaglio di numerose critiche e perplessità espresse da diversi soggetti.
In primo luogo, le Autorità di regolazione del mercato e della concorrenza, organismi statali o sovrastali che sorvegliano che nessuno alteri il corretto funzionamento delle regole poste a fondamento del mercato. Ben 15 procuratori generali degli Stati Uniti, quasi contestualmente alla Commissione Europea, nel giugno 2021 hanno chiesto all’Antitrust (l’Autorità, appunto, garante del mercato e della concorrenza) di valutare la posizione di mercato che Google avrebbe raggiunto se il progetto Sandbox avesse visto la luce. L’Autorità per la competizione ed il mercato britannica (CMS), si è distinta in particolar modo per l’attenzione che ha chiesto a Google su Sandbox, ottenendo in risposta un impegno formale ad informare l’Antitrust britannica ad ogni passo dell’implementazione del suo progetto.
In particolare, il problema risiederebbe, secondo queste Istituzioni, nel fatto che Google, che già detiene una quota enorme del mercato delle inserzioni pubblicitarie online (con Chrome di gran lunga primo motore di ricerca del mondo, ben si possono immaginare i flussi di dati e di utenti che vi circolano, e di conseguenza l’appetibilità di una inserzione pubblicitaria), possa diventare un operatore che controlla tutta la “filiera dell’advertisement”: oltre a possedere i dati, così, avrebbe anche la tecnologia per veicolarli agli inserzionisti, e cosa che più preoccupa le Antitrust occidentali, sarebbe l’unica ad averla. Ad oggi, infatti, i cookies di terze parti sono costituiti da una pluralità di operatori; dunque, il problema di un solo soggetto che per la sua forza riesca ad imporre barriere all’ingresso nel mercato dei dati è più limitato.
L’altro problema riguarda la privacy degli utenti: se è vero che i cookies di terze parti, profilando gli utenti dei siti web, ottengono informazioni riguardanti i loro dati personali, è pur vero che – per lo meno in Europa – ciò non può prescindere dai meccanismi di legge che tutelano il singolo, in primo luogo il suo consenso. I cookies, essendo presenti da anni su Internet, sono regolati in modo molto dettagliato. Per quanto agli altri strumenti di tracciamento si applichi, in generale, la medesima disciplina dei cookies, le intrinseche diversità dei sistemi potrebbero sfuggire alle maglie della legge, rendendo la risoluzione del problema ancor più complicato.
Riguardo ai gruppi o coorti di soggetti, è senz’altro meritoria l’idea di anonimizzare i dati dopo averli raccolti e metterli insieme agli altri per rendere più difficile l’identificazione del soggetto a cui si riferiscono. Tuttavia, dev’essere tenuto in considerazione che, più questi gruppi sono piccoli, più rischia di essere agevole utilizzare metodi che consentano di ricondurre il singolo dato al singolo utente, vanificando gli sforzi di anonimizzazione.
Google non si arrende e rimanda Sandbox al 2023
L’azienda ha ritardato il lancio del progetto Sandbox dal 2022 alla fine del 2023, per cercare una soluzione di compromesso che accontenti tutti i soggetti coinvolti. Tuttavia, Google non è certo rimasta ferma, ma ha al contrario lanciato nel gennaio 2022 un nuovo progetto, Topics, che contiene le fondamenta di Sandbox, ossia la tecnologia FLC, ma migliorata rispetto alle esigenze di privacy degli utenti e secondo le raccomandazioni delle Authorities, in primo luogo di que Oltre a Topics, nel febbraio 2022 Google ha dichiarato di aver messo allo studio l’implementazione di Sandbox anche per il settore delle applicazioni su Android, il software di sua proprietà contenuto in miliardi di dispositivi al mondo.
Anche le App, infatti, sono un mezzo per tracciare ed inviare pubblicità, tanto quanto i browser o i motori di ricerca.
Google non intende rinunciare all’implementazione del suo nuovo prodotto anche in questo non indifferente settore del suo business digitale, per conciliare privacy e pubblicità.
Il “Cookieless” è il futuro del web?
È innegabile che di pari passo con la tecnologia, si stiano evolvendo anche le soluzioni basate sull’attenzione verso la tutela di coloro che navigano su internet. Il punto di incontro tra le opposte esigenze della tutela del mercato, dei singoli utenti, degli operatori economici, non è sempre agevole e soprattutto immediato. Diventa perciò fondamentale il ruolo degli operatori del settore per garantire che i diritti di ciascuno siano tutelati al meglio.
Per qualsiasi supporto nella gestione dei cookies o degli strumenti di tracciamento online, come singolo o in quanto operatore del settore, o redazione di una cookie e/o privacy policy è possibile rivolgersi allo Studio Legale FCLEX (con sede principale a Bologna), contattando l’Avvocato Giuseppe Croari, esperto di diritto dell’informatica e delle nuove tecnologie, per una consulenza personalizzata.Ricordiamo che le linee Guida del Garante impongono un rapido e obbligatorio adeguamento, scopri di più in questo articolo