Google ha annunciato recentemente una nuova svolta nella strada verso un mondo senza cookie e che comunque consenta ancora un tarketing per pubblicità personalizzata.
L’ultima mossa propone uno strumento diverso, Topics, ancora più orientato alla privacy e alla protezione dei dati personali degli utenti, almeno secondo quanto descritto da Google. Ma anche questo nuovo passo dovrà passare al vaglio delle norme, come vedremo.
Topics di Google, come funziona: sofferto addio ai cookie di terze parti
La prima proposta di Google: Privacy Sandbox e FLOC
Tutto è partito nel gennaio 2020 quando Google aveva annunciato l’intenzione di abbandonare progressivamente l’utilizzo dei cookies per la pubblicità online e di introdurre un nuovo strumento, collaborativo ed open source, il Privacy Sandbox, nel corso dei successivi due anni. Questo avrebbe consentito comunque agli inserzionisti di presentare annunci personalizzati, sulla base delle preferenze e delle abitudini degli utenti, ma avrebbe richiesto a questi ultimi la condivisione di un quantitativo inferiore di dati personali.
Una delle tecnologie che Google si proponeva di utilizzare per raggiungere questo obiettivo era denominata FLOC (Federated Learning of Cohorts), uno strumento che consente di raccogliere gruppi di individui con interessi simili, invece che tracciare singolarmente gli utenti. Secondo Google, questo avrebbe consentito alle persone di non condividere la propria storia di navigazione, e di restare confusa in gruppi più estesi. Gli inserzionisti avrebbero avuto accesso all’ID del gruppo (individuato e alimentato attraverso algoritmi) invece che all’ID del singolo.
Cosa sono i cookies e le iniziative legislative
Ricordiamo che i cookies sono piccoli file di testo che vengono memorizzati sui computer degli utenti per consentirne il tracciamento durante la navigazione e fare in modo che l’utente riceva sempre annunci pubblicitari personalizzati, in linea con le proprie preferenze, espresse costantemente durante la navigazione.
I cookies sono stati oggetto di iniziative legislative a livello europeo, con la Direttiva ePrivacy del 2002, poi aggiornata nel 2009 e che è attualmente in discussione una bozza di Regolamento Europeo ePrivacy, che andrà a sostituire la Direttiva e che – almeno nei piani originari – avrebbe dovuto essere approvato in concomitanza con la piena efficacia del GDPR, nel lontano 2018.
Il Regolamento, andando a regolare la privacy nelle comunicazioni elettroniche (non solo quelle via telefono, ma anche via Internet, incluse le conversazioni via instant messaging e le comunicazioni machine-to-machine tipiche dei prodotti e servizi dell’Internet of Things), è tuttora in discussione ed è lecito, pertanto, chiedersi se non finirà per regolare un fenomeno che potrebbe essere superato da nuovi modelli di business.
Il passaggio a Topics
La proposta di Google ha incontrato già nel 2020 numerose critiche. L’impatto del passaggio dai cookies di terze parti alla Privacy Sandbox e all’uso di FLOC avrebbe avuto un impatto devastante per l’industria del digital advertising, che utilizza i cookies e della quale Google detiene una quota maggioritaria. A seguito di queste discussioni, Google aveva annunciato che ci sarebbe voluto un anno in più per il passaggio al mondo cookieless, che sarebbe quindi avvenuto entro il 2023.
Oggi si registra un nuovo cambio di rotta in questa direzione verso l’Internet senza i cookies. Google ha infatti annunciato di volere implementare una nuova tecnologia che realizzerebbe un grado di protezione dei dati personali degli individui ancora più elevato. Il sistema FLOC verrebbe sostituito da una tecnologia denominata Topics.
Con questa tecnologia, il browser memorizza gli interessi principali dell’utente in ciascuna settimana. I Topics vengono conservati per tre settimane, quelli precedenti vengono cancellati, e sono conservati soltanto sul device dell’utente. Solo i Topics (in numero limitato) sono condivisi con gli inserzionisti, i quali non avranno più accesso ad informazioni relative al singolo individuo. Si tratta di una soluzione che sicuramente va nella direzione di una “minimizzazione” dei dati trattati in conformità ai principi di protezione dei dati personali previsti dal GDPR.
Tuttavia, è evidente che questa tecnologia non risolve le criticità che erano state già sollevate all’annuncio di Google di volere superare il modello basato sui cookies.
I problemi lato data protection
La proposta di questi nuovi strumenti, già l’anno scorso, aveva causato discussioni sotto vari profili. Da un punto di vista di protezione dei dati personali, è evidente che la soluzione proposta da Google non comporti l’assenza di trattamenti di dati personali, ma solo una diminuzione dei dati trattati. Altrettanto evidente appare che le informazioni riferibili all’individuo (o un indirizzo IP, che comunque è un dato personale) continueranno a essere a disposizione di Google.
Le conseguenze più importanti di questo cambiamento riguarderanno in primo luogo gli utenti, che forse saranno finalmente liberati dal cd. banner fatigue, la necessità di cliccare sui banner ogni qualvolta raggiungono la prima pagina di un sito. In secondo luogo, ne saranno influenzati i concorrenti di Google e gli operatori del settore adtech: se appare evidente che l’industria non è destinata a scomparire con il cambiamento dovuto all’abbandono dei cookies, è altrettanto chiaro che gli operatori del settore dovranno investire tempo, denaro e risorse per adeguare da un punto di vista tecnico il proprio business al modello introdotto da Google, che detiene la quota più importante del mercato. E non tutti i player sono in grado di gestire questi investimenti. Inoltre, gli inserzionisti e gli editori dovranno trovare nuovi modi per convogliare i propri messaggi pubblicitari in modo efficace e misurare l’efficacia delle campagne pubblicitarie.
D’altro canto, i soggetti che già oggi operano nel mercato adtech, non sono tanto interessati ad avere molte informazioni sui singoli utenti: l’obiettivo è quello di raggiungerli con messaggi pubblicitari adatti ai loro interessi e questo già oggi può essere realizzato attraverso il contextual advertising, soluzione molto utilizzata nel settore, che non fa uso dei cookies, ma si basa su keywords, l’analisi del sentiment e l’uso di meta-dati con soluzioni che eventualmente vengono arricchite da informazioni demografiche e geografiche. Attraverso l’automazione, questi tool consentono agli inserzionisti di raggiunger i target desiderati senza il tracciamento degli utenti e la condivisione di grandi quantitativi di dati con molteplici soggetti.
In proposito, a novembre 2021, l’Autorità inglese (ICO) ha adottato una opinion proprio sulle nuove proposte relative all’online advertising, in cui ha chiaramente indicato le proprie raccomandazioni relativamente alle proposte che erano state avanzate fino a quel momento e menzionato il contextual advertising tra le soluzioni che appaiono più in linea con la necessità di garantire la centralità delle scelte degli utenti e il principio di minimizzazione dei dati.
Google localizza gli utenti con l’inganno: uso distorto delle norme privacy
Conclusioni
Alla luce di questi recenti sviluppi, è anche lecito chiedersi se sia necessaria l’attenzione che le autorità degli Stati membri stanno riponendo sulla compliance con l’attuale normativa cookies e se non sia necessario agire adesso per evitare che il Regolamento ePrivacy – che andrà a innovare anche la normativa cookies – nasca già vecchio.
Le nuove linee guida del Garante sui cookies – che sono diventate efficaci proprio lo scorso gennaio – richiedono investimenti da parte degli operatori online per l’adeguamento ad alcuni nuovi requisiti.
Il Garante, nell’adottare la consueta delibera che, a inizio anno, individua le aree in cui si focalizzerà l’attività ispettiva degli uffici, ha chiarito che i cookies saranno oggetto di verifiche. È ovvio che le linee guida non possono restare lettera morta, ma è altrettanto evidente che un’attività ispettiva focalizzata su questi aspetti risulterebbe anacronistica dal momento che l’industria si sta muovendo verso altre soluzioni.