Il General Data Protection Regulation (GDPR), vale a dire la regolamentazione europea che stabilisce come possono essere raccolti ed utilizzati i dati personali dei residenti nell’Unione Europea, è entrato in vigore nel maggio 2018 ed ha profondamente influenzato le pratiche di business di tutte le organizzazioni, più o meno attive su internet, che abbiano clienti Europei.
La ratio della norma è quella di restituire al singolo individuo il controllo dei propri dati, merce svenduta pressoché senza limitazione alcuna sin dall’inizio dell’era della rete internet commerciale, quando un po’ tutte le aziende hanno fatto della compravendita del dato la base delle proprie strategie di mercato.
GDPR, un bilancio dei primi tre anni di applicazione: effetti, traguardi e prossimi step
A quattro anni dall’entrata in vigore della regolamentazione possiamo fare i primi resoconti e verificare se, in effetti essa stia funzionando, se davvero stia avendo l’effetto desiderato di rimettere l’individuo al centro della gestione dei propri dati, o se invece rappresenti solo una restrizione burocratica che ostacola l’operare del libero mercato.
Gli effetti immediati sul tracciamento
Il National Bureau of Economic Research, importante istituto americano di ricerca economica, ha organizzato il 31 marzo e 1° aprile scorsi un convegno sull’economia della privacy ed ha dedicato un’intera sessione a lavori di ricerca su varie conseguenze economiche del GDPR. Cerchiamo di approfondire.
Anzitutto, guardiamo agli effetti immediati sul tracciamento, vale a dire la pratica di seguire un individuo mentre naviga sulla rete grazie a piccoli programmi trasmessi sul suo dispositivo, i cookies, allo scopo di creare un profilo – il più completo possibile – delle sue preferenze. Prima dell’entrata in vigore del GDPR, questa pratica era implementata automaticamente da pressoché tutti i siti internet senza che l’utente se ne accorgesse, soprattutto grazie all’utilizzo di cookies di terze parti, cioè di organizzazioni diverse da quelle visitate. Per fare un esempio, se mi trovo sul sito di The Economist forse mi aspetto che The Economist e la sua casa madre piazzino un cookie sul mio dispositivo. Ciò che invece potrebbe sorprendermi è scoprire che anche altre aziende, i cui siti non ho mai visitato prima, mi inviano i loro cookies mentre visito economist.com.
Questa pratica è espressamente regolamentata dal GDPR, il quale impone una richiesta esplicita all’utente prima di poter piazzare cookies di prime o terze parti sul suo dispositivo. Questa norma si è tradotta in quell’incessante richiesta di consenso ai cookies che vediamo ogni volta che visitiamo un nuovo sito internet. Riprenderemo più avanti il discorso sull’efficacia di una tale implementazione; per ora guardiamo solo all’effetto che il GDPR ha avuto sulla pratica del tracciamento.
Il tracciamento tramite cookies di terze parti: un calo di brevissima durata
Due articoli della sessione del convegno NBER sugli effetti del GDPR analizzano proprio questo aspetto. Il primo rivela che, in effetti, il tracciamento tramite cookies di terze parti è diminuito subito dopo l’entrata in vigore della regolamentazione, ma che tale effetto è di brevissima durata. In particolare, la ricerca è interessante perché distingue siti americani ed europei, insieme a visitatori americani ed europei.
Il GDPR si applica solo a residenti europei, ma è plausibile immaginare un effetto di ricaduta anche sui residenti americani, magari perché le grandi aziende americane che hanno utenti in tutto il mondo preferiscono non investire in tecnologie che diversifichino il trattamento dei dati a seconda della provenienza dell’utente. A volte, infatti, non è immediato determinare la posizione geografica di un visitatore (quando, ad esempio, utilizza servizi di VPN, cioè quando si collega al server di un intermediario, il quale poi gli consente di collegarsi al sito finale utilizzando una connessione criptata e quindi sicura) e, pur di non incorrere in potenziali violazioni della normativa, meglio estendere a tutti le garanzie del GDPR.
L’articolo mostra come prima dell’entrata in vigore del GDPR il numero dei cookies di terze parti usato da siti europei ed americani fosse pressoché lo stesso per visitatori da entrambe le sponde dell’Atlantico. In effetti, la tendenza era in leggera diminuzione, ma la caduta significativa si nota subito dopo il maggio 2018 sui siti americani per i visitatori europei, seguita da quella su siti europei per visitatori europei. Tuttavia, mentre l’effetto sui siti americani persiste, dopo soli 3 mesi il numero di cookies di terze parti su siti europei, visitati sia dall’Europa che dagli Stati Uniti, torna ai livelli precedenti.
Il tipo di contenuti proposti
Il lavoro prosegue quindi con un’analisi degli effetti che la regolamentazione ha avuto sul tipo di contenuti che i siti propongono ai propri visitatori e sul livello di interazione di questi ultimi: nulla di significativo se non una leggera diminuzione nel numero medio di pagine visitate su siti europei rispetto a quelli americani. Il secondo lavoro raggiunge conclusioni simili riguardo il tracciamento: il numero di cookies cambia in maniera irrilevante; ciò che sembra leggermente migliorare dal punto di vista della privacy degli individui è la minor quantità di pubblicità e sfruttamento dei dati su siti di informazione ed intrattenimento.
Nessun beneficio particolare per gli utenti
La conclusione è comunque che il GDPR non abbia di fatto avuto effetti economici rilevanti nell’ecosistema della navigazione su internet: nessun beneficio particolare per gli utenti ma neanche costi diretti rilevanti per le aziende.
A ciò va però aggiunta un’analisi degli effetti percepiti dagli individui, cui accennavamo in precedenza, i quali sono bombardati di richieste di accettare cookies decine di volte al giorno, e che si trovano spesso ad accettare termini e condizioni senza capirli a fondo, perché complicati o troppo numerosi e quindi onerosi da rifiutare, o perché le richieste sfruttano i cosiddetti dark patterns (di cui abbiamo parlato in passato), pratiche ingannevoli che gli utenti accettano senza volerlo davvero. Un terzo lavoro presentato al convegno NBER presenta anche evidenza empirica di difficoltà incontrate dagli utenti nella ricerca di informazione o prodotti e servizi. Facendo un paragone tra utenti in Regno Unito (dove il GDPR è stato in vigore fino all’ufficializzazione della Brexit, il 31 gennaio 2020), Spagna (dove si applica il GDPR), Stati Uniti e Brasile (dove invece non si applica), gli autori concludono che, dopo l’introduzione del GDPR, a parità di argomento, i residenti UE incontrano più difficoltà a cercare informazioni, in quanto utilizzano quasi il 5% dei termini in più rispetto ai residenti di Stati Uniti e Brasile. Inoltre, necessitano di più tempo (circa 11% in più) per navigare tra prodotti prima di sceglierne uno, prendono in considerazione il 10% in più di opzioni e visitano il 6% in più dei siti. Un fenomeno che gli autori chiamano “information friction”, cioè attrito nella ricerca di informazione.
In difficoltà il traffico verso le piccole aziende
Secondo risultato interessante è che il traffico verso piccole aziende ne soffre: i piccoli siti vedono il proprio traffico ridursi a vantaggio dei siti più grandi, il cui numero di acquisti finali cresce di 6 volte in più rispetto ai piccoli. A questo costo diretto se ne deve aggiungere uno svelato da un altro importante lavoro scientifico, non presentato al convegno ma senz’altro rilevante: sembrerebbe che l’industria del web stia diventando sempre più concentrata, a favore quindi di aziende già dominanti come Google e Facebook (Meta): un effetto forse inatteso del GDPR ma che non può passare inosservato, soprattutto viste le ultime proposte di legislazione europea riguardanti il livello di competitività del mercato come il Digital Markets Act ed il Digital Services Act.
Infine, una prima analisi dell’effetto della regolamentazione sull’innovazione suggerisce una correlazione negativa: il GDPR, a causa dei maggiori costi per lo sviluppo di software nel rispetto delle nuove regole, avrebbe infatti ridotto il numero di app disponibili sul mercato dei dispositivi mobili. Questo non è necessariamente un peccato: probabilmente le app uscite dal mercato sono quelle che vengono meno utilizzate (portando quindi meno ricavi) e che violano maggiormente la privacy degli utenti. Tuttavia, il GDPR sembra aver provocato anche una diminuzione sostanziale (di circa il 50%) delle nuove app introdotte e il numero di app che riescono a raggiungere un vasto pubblico sembra subire la stessa sorte. Se consideriamo poi anche i costi infrastrutturali associati alla stesura, approvazione, implementazione e valutazione del GDPR, potremmo dedurre (riflessione nostra, non degli autori degli articoli citati) che, vista l’assenza di benefici misurabili, sia stato finora una delusione. Gli intenti sono assolutamente condivisibili, ma l’implementazione sembra aver creato, almeno finora, più danni che benefici. Bisogna fare meglio.
