Cookie, sanzioni in Europa per i sistemi di tracciamento

I cookie e gli altri sistemi di tracciamento online si confermano nell’occhio del ciclone e sempre più una minaccia per la privacy degli utenti online: dalle nuove linee guida del Garante che sono in vigore ormai da oltre un anno pare che molti siti ancora non si siano adeguati, senza contare le soluzioni più creative trovate da qualcuno, da banner colmi di dark pattern per rendere complesso il diniego del consenso, all’utilizzo dei paywall da parte di molte testate giornalistiche.
Quello che è certo è che la gestione dei cookie è materia complessa e spesso non alla portata degli utenti medi del web, che magari sono in grado di costruirsi un sito internet “fai da te”, con uno dei molti tool a disposizione, ma che poi non sono in grado di gestirne gli aspetti tecnici più complessi (e pericolosi) come appunto i cookie.
Che invece siano in grado di farlo i Big Tech è fuori di dubbio, ma che ne abbiano veramente l’intenzione è tutt’altra faccenda, a giudicare dalle maxi-sanzioni che in tutta Europa, da parte delle diverse Autorità Garanti, stanno fioccando a carico dei grandi player della rete mondiale proprio in merito ai cookie. Più nel dettaglio: la CNIL (Commission National de l’Informatique et des Libertés, ossia il garante della Privacy francese) dal 2020 al 2022 ha sanzionato, tra gli altri Amazon (35 milioni), Google (150 milioni), Facebook (60 milioni) e più di recente Microsoft (60 milioni), TikTok (5 milioni), Apple (8 milioni) e Voodoo (3 milioni) proprio per la non corretta gestione dei cookie. La DPC (data Protection Commission, il Garante irlandese) a sua volta ha sanzionato Meta per 390 milioni di euro (ne parliamo in questo articolo) per aver installato, nei dispositivi dei propri clienti, strumenti di tracciamento per la pubblicità profilata e targettizzata senza il consenso degli interessati, violando gli obblighi di informativa, liceità e trasparenza previsti dal GDPR.
Colpisce e stupisce il fatto che tutti i provvedimenti sono sostanzialmente identici, così come coincidenti sembrano essere le violazioni contestate: è dunque veramente difficile per i grandi player (e quindi figuriamoci quanto lo può essere per i comuni mortali) adeguarsi alla normativa sui cookie, o manca l’effettiva volontà di farlo, perché, a conti fatti, conviene rischiare la sanzione piuttosto che rinunciare a tracciare gli utenti?

Indice

1. I profili critici


Sono quattro le grandi aree di criticità incontrate nella gestione dei cookie, evidenziate dai Garanti europei nelle sanzioni irrogate ai Big, ma che ogni giorno tutti gli utenti del web sperimentano sulla propria pelle.

  • 1) Difficile (per non dire impossibile) gestione dei consensi, scorretta individuazione delle basi giuridiche, installazione dei cookie di profilazione prima che l’utente abbia espresso il suo assenso (violazione dei principi di data protection by design e by default) e mancata tenuta di un registro (violazione del principio di accountability).
  • 2) Difficoltà nell’esprimere un rifiuto (utilizzo di dark pattern), non solo in prima fase ma anche difficoltà di cambiare idea (revocare un consenso già prestato, magari per errore, risulta spessissimo una mission impossible degna di miglior causa), con conseguente vizio nel consenso, che non risulta più libero, ma forzato da una eccessiva difficoltà nell’operare un rifiuto.
  • 3) Caos totale nelle informative, sia quelle brevi rese col banner, sia quelle estese, dove gli utenti non hanno modo di capire che cosa sia un cookie (la definizione classica: “una piccola stringa di testo che un sito invia al browser e salva sul tuo computer quando visiti dei siti internet”, alzi la mano chi ha capito veramente che cosa vuol dire) e come funzioni, in particolare se di profilazione.
  • 4) Violazione sistematica del divieto di trasferimento dei dati verso gli Stati Uniti d’America (trasferimento al momento in cui si scrive ancora vietato, a seguito della fumata nera della Commissione Europea sulla decisione di adeguatezza), con riferimento all’utilizzo di Google Analytics, sanzionato dal Garante italiano (oltre che da quello danese e austriaco). 

2. Quali soluzioni o alternative esistono: verso un web cookie-free?


La questione non è, come potrebbe superficialmente sembrare, squisitamente giuridica. Al di là dell’incidenza delle sanzioni sui bilanci aziendali (anche se si potrebbe a ragione obiettare che 35 milioni di multa per Amazon, che fattura 514 miliardi costituisca una somma veramente irrisoria), si tratta di rivedere l’intero modello di business di centinai di aziende che operano online in tutto il mondo. Da un lato è corretta e sacrosanta l’esigenza di garantire la trasparenza e tutelare i diritti e le libertà fondamentali degli interessati, dall’altro ci sono intere aziende che basano il proprio business sul marketing e dunque la gestione degli strumenti di tracciamento costituisce una parte fondamentale e imprescindibile del proprio piano strategico.
Chi desidera continuare a utilizzare i cookie, tuttavia, dovrà arrendersi all’evidenza di dover investire più tempo e più denaro nell’individuare tool che garantiscano la compliance by design e by default ed utilizzarli sui propri siti e e-commerce. Tuttavia, poiché marketing e privacy spesso confliggono, un maggior livello di compliance, necessariamente implicherà una perdita in termini di precisione del tracciamento, e dunque della profilazione, e di conseguenza del target mirato dei messaggi pubblicitari da veicolare.
In alternativa, sembrano due le possibili strade da percorrere: la prima è quella di andare verso un web cookieless, o cookie-free, ossia senza l’utilizzo dei cookie di tracciamento di terze parti, ma con strumenti che consentono la raccolta di dati statistici, aggregati e in forma anonima (ne abbiamo parlato in questo articolo): un sistema che sicuramente premia la riservatezza degli utenti, ma che, secondo alcuni, farebbe perdere alle aziende informazioni finora considerate essenziali per sviluppare il proprio business e su cui basare le proprie strategie di marketing.
La seconda strada che si apre è quella di utilizzare soluzioni basate sull’utilizzo di intelligenza artificiale e machine learning per sostituire l’utilizzo di cookie di terze parti, sfruttando parametri diversi dai dati personali dell’utente, parametri che si possono aggregare e anonimizzare: i raffronti con le campagne passate, il tasso di engagement, il tipo di audience del sito su cui viene pubblicata la campagna. C’è già un esperimento in atto di questa nuova funzionalità, poiché Microsoft ha integrato nel proprio motore di ricerca, Bing, il noto chatbot ChatGPT per offrire ai suoi utenti esperienze di ricerca personalizzate, basate sulle ricerche passate e sull’interazione diretta tra l’utente e l’intelligenza artificiale generativa che sta alla base di ChatGPT.
L’utilizzo delle nuove tecnologie ed in particolare dell’intelligenza artificiale di cui oggi tutti parlano potrebbe rappresentare un vantaggio che porterebbe ad una situazione di cosiddetto win-win, ossia maggior riservatezza per gli utenti e utilizzo profittevole del web per le aziende. Tuttavia, non si possono ignorare i frequenti richiami del Garante su questa tecnologia, che, ben lungi dall’essere del tutto priva di questioni inerenti alla privacy, presenta al contrario problematiche sia inerenti al trattamento dei nostri dati, sia in merito all’affidabilità delle risposte e dei risultati forniti.
Insomma, come spesso accade, il rimedio potrebbe potenzialmente rivelarsi peggiore della cura, sia in termini di rischio per le libertà e i diritti degli interessati, sia in termini economici per le aziende.
La strada da fare sembra ancora tortuosa e per nulla scontata, con il rischio che al termine della sperimentazione delle soluzioni innovative che i Big stanno tentando, si arrivi alla conclusione che…si stava meglio quando si stava peggio (cioè quando c’erano i cari, vecchi biscotti del web).

FORMATO CARTACEO

La nuova privacy

Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni.  Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).

Nadia Arnaboldi | Maggioli Editore 2018

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento