l'approfondimento

Cookie, le big tech corrono ai ripari dopo le maxi multe: ecco le soluzioni anti-tracciamento

Con le recenti maxi-sanzioni i Garanti Ue stanno mostrando di avere sempre di più l’attenzione sui cookie. Il mercato si sta perciò muovendo verso soluzioni per realizzare servizi senza cookie di tracciamento. Equilibrio possibile o nuovo rischio per la tutela dei dati?

Pubblicato il 28 Mar 2023

Stefano Foffani

Dipartimento Data Protection Rödl & Partner

Abstract,Blue,Digital,Background.,3d,Illustration.

Di recente i Garanti Europei hanno emesso diverse maxi-sanzioni nei confronti delle big tech con riferimento all’illecito utilizzo dei cookie. I motivi dietro a tali sanzioni sono sempre gli stessi: installazione di cookie senza consenso, difficoltà nel rifiutare i cookie e poca trasparenza nei confronti degli utenti finali. Senza contare il tema del trasferimento extra UE dei cookie di Google Analytics. Di fronte a questo scenario complesso emerge con evidenza la difficoltà da parte delle società di conciliare opportunità di business con la compliance privacy richiesta dal GDPR.

Pubblicità online, la sanzione a Meta costringe le big tech a cambiare tutto

Per far fronte a questi rischi sanzionatori, il mercato si sta muovendo in una duplice direzione: da un lato creando tool che offrano maggiore compliance privacy rispetto all’utilizzo dei cookie; dall’altro, implementando soluzioni innovative per realizzare servizi senza cookie di tracciamento, che possano garantire così un maggiore controllo sul dato, rendendo ugualmente efficienti le campagne di marketing.

Le principali novità riguardano in particolare:

  • l’utilizzo di algoritmi per limitare il tracciamento degli utenti e il conseguente trasferimento di dati extra UE;
  • l’utilizzo di intelligenza artificiale e machine learning per lo sviluppo di soluzioni innovative.

Non si può infatti escludere che l’utilizzo dell’intelligenza artificiale, integrata all’interno di un motore di ricerca (ad es. Bing), possa essere utilizzata come strumento innovativo per il marketing online.

Di fronte a questi scenari relativi al mondo dell’advertising 2.0, quali possono essere nuovi i rischi connessi alla tutela dei dati e le possibili misure di sicurezza da adottare?

Verifica dei cookie: su cosa si stanno focalizzando i Garanti Ue e perché

Negli ultimi 3 anni i Garanti Europei stanno sanzionando con sempre maggior forza le big tech per l’illecito utilizzo dei cookie. Le recenti maxi-sanzioni da parte dello CNIL (il Garante francese) e da parte del DPC (il Garante irlandese) hanno evidenziato la carenza, da parte di tanti operatori del settore, del rispetto delle regole previste dal GDPR e dalla Direttiva e-Privacy in materia di cookie e analoghi strumenti di tracciamento.

Nello specifico, solo la CNIL dal 2020 al 2022 ha sanzionato numerose società, tra cui Amazon (35 milioni), Google (150 milioni), Facebook (60 milioni) e più di recente Microsoft (60 milioni), TikTok (5 milioni), Apple (8 milioni) e infine Voodoo (3 milioni, quest’ultima pubblicata il 17 gennaio 2023) proprio per la non corretta gestione dei cookie.

Inoltre, sempre di recente, il DPC ha sanzionato Meta (390 milioni) per aver installato nei device degli utenti strumenti di tracciamento per l’advertising comportamentale e la pubblicità targettizzata senza il consenso degli interessati, violando altresì gli obblighi in materia di trasparenza delle informazioni.

Le violazioni sanzionate sono identiche

Primo elemento che si vuole attenzionare che emerge dall’analisi dei provvedimenti citati (tutti emessi nell’arco di tre anni, dal 2020 al 2022), è che le violazioni contestate per l’illecito utilizzo dei cookie sono molto simili tra loro, se non addirittura identiche.

Da questa prima considerazione risulta evidente la difficoltà da parte dei player del mercato di adeguarsi alle disposizioni normative in ambito cookie e profilazione.

Quali sono gli elementi di non conformità

Per comprendere come novità tecnologiche e algoritmi possano essere adottate per far fronte alle non-conformità individuate dai Garanti Europei (operando quindi a beneficio di società interessate a svolgere campagne di marketing efficaci, tutelando allo stesso tempo la privacy degli utenti ed evitando così maxi-sanzioni), è opportuno innanzitutto analizzare nel dettaglio quali sono gli elementi di non conformità maggiormente rilevati dai Garanti Europei con riferimento ai cookie, ossia:

  • Assenza del consenso da parte dell’interessato. Incorretta individuazione della base giuridica per l’installazione di cookie di profilazione e/o altri strumenti di tracciamento: sia lo CNIL che il DPC hanno più volte sottolineato come l’installazione di strumenti di tracciamento per il marketing e la profilazione può avvenire solo previo consenso dell’interessato. Tali strumenti non possono quindi essere installati di default sul device dell’utente (vd. sanzioni dello CNIL ad Amazon, Apple, Microsoft e Voodoo) e tantomeno si può fare affidamento alla base giuridica contrattuale, ritenuta incorretta da parte dell’EDPB (vd. provvedimento del DPC a Meta).
  • Difficoltà nelle modalità di rifiuto dei cookie: i Garanti Europei hanno inoltre rilevato come molto spesso le società prevedano un pulsante per accettare immediatamente i cookie senza prevedere però una equivalente soluzione che consenta all’utente di rifiutarli con la stessa facilità. Ad esempio, lo CNIL ha rilevato come l’installazione dei cookie (vd. sanzioni nei confronti di Facebook, Google e Microsoft) era viziata in quanto non consentiva all’utente di rifiutare i cookie con la medesima facilità ed immediatezza prevista per la loro installazione (per rifiutare tutti i cookie erano necessari diversi click, mentre per accettarli era sufficiente un solo click). Lo CNIL ha infatti segnalato che rendere più complesso il meccanismo di rifiuto scoraggia gli utenti dal rifiutare i cookie, condizionandoli a preferire la soluzione più facile proposta con maggiore evidenza.
  • Mancanza di trasparenza nei confronti degli interessati, violazione degli artt. 5, 12 e 13 del GDPR: i Garanti Europei hanno rilevato come molto spesso le società non forniscano informazioni chiare e complete agli interessati relative alle finalità del trattamento e modalità di funzionamento dei cookie ed altri strumenti di tracciamento installati (vd. sanzioni dello CNIL ad Amazon, Tik Tok). In particolare, nei casi citati, le piattaforme non avevano fornito agli utenti informazioni necessarie per comprendere la portata dell’utilizzo dei cookie in modo da decidere se acconsentire o meno alla loro installazione.
  • Infine, ulteriore punto doveroso di essere segnalato, riguarda il Divieto di trasferimento extra UE senza garanzie adeguate. In questo caso, sia il Garante italiano, che quello francese ed austriaco hanno segnalato, con riferimento all’utilizzo di Google Analytics, l’inadeguatezza del trattamento, in quanto si verificherebbe un trasferimento di dati extra UE senza adeguate garanzie.

Le 4 macro-categorie di rischio

In sintesi, sulla base delle motivazioni riprese dai provvedimenti sopra analizzati, si possono individuare 4 macro-categorie di rischio che gli operatori del settore, all’interno delle proprie campagne marketing, devono attenzionare al fine di attuare una corretta gestione dei cookie di profilazione:

  • ove necessario, richiedere il consenso per l’installazione dei suddetti cookie di profilazione e analoghi strumenti di tracciamento;
  • fornire agli interessati, in forma concisa e trasparente, informazioni chiare e semplici sulle finalità del trattamento;
  • prevedere soluzioni che, con la stessa facilità, consentano all’utente di rifiutare/revocare il consenso per l’installazione dei cookie;
  • limitare il trasferimento dei dati extra UE o, se del caso, prevedere garanzie adeguate.

Non sorprende che tali aspetti siano stati a loro volta evidenziati anche all’interno del report della taskforce dell’EDPB sui cookie banner.

Tuttavia, sebbene i principali rischi individuati dai Garanti europei siano chiari -e più volte ribaditi- appare evidente come ancora oggi molte società abbiano difficoltà a adeguarsi a tali disposizioni.

Elemento che sicuramente incide nella difficoltà di adeguarsi attiene alle scelte economiche che molte società fanno, preferendo assumersi il rischio di una possibile sanzione a fronte di una potenziale e maggiore perdita attesa dovute a campagne marketing meno redditizie. Di fronte alla preminenza degli interessi economici rispetto a quelli regolatori, come si sta muovendo il mercato per fare fronte a questa necessità, cercando allo stesso tempo di non sacrificare il business?

Le soluzioni alternative messe in campo  

Alla luce di queste considerazioni, il mercato ha iniziato a studiare soluzioni alternative al fine di garantire la trasparenza, il controllo e il consenso degli utenti per la gestione dei cookie, consentendo allo stesso tempo di realizzare campagne di marketing profittevoli.

Per raggiungere questi obbiettivi, il mercato ha iniziato a seguire due direttrici principali:

  • realizzazione di strumenti basati su maggiore compliance: molti fornitori stanno realizzando tool per la gestione dei cookie che permettano ai titolari di garantire il rispetto di tutti i requisiti previsti dalla normativa vigente. Tuttavia, non sempre la scelta di utilizzare strumenti più compliant accontenta le esigenze del business;
  • realizzazione di strumenti basati su algoritmi e soluzioni tecnologiche innovative: altri operatori del mercato stanno invece puntando sempre di più nel creare, attraverso l’utilizzo di algoritmi innovativi, servizi senza cookie di tracciamento, superando così il tema del trasferimento dati e garantendo all’utente maggiore privacy, cercando allo stesso tempo di non sacrificare le esigenze di business.

Creazione di tool cookie maggiormente compliant

Sicuramente più noti e diffusi sono proprio i tool di gestione cookie che, secondo la logica di privacy by design, stanno adottando soluzioni maggiormente compliant come, ad esempio, non richiedendo il consenso dell’utente (in quanto i dati sono raccolti in maniera anonimizzata) e/o non prevedendo il trasferimento di dati extra UE.

La CNIL ha stilato una lista di fornitori che risultano compliant sotto questi punti di vista.

Tuttavia, proprio per poter fornire servizi che non richiedono il consenso dell’utente, tali tool di gestione devono prevedere finalità e modalità di trattamento limitate allo stretto necessario, in particolare:

  • lo scopo deve essere strettamente limitato alla misurazione dei visitatori, esclusivamente per conto del titolare e non anche per conto di soggetti terzi;
  • i dati raccolti devono essere utilizzati esclusivamente per produrre dati statistici anonimi, evitando la profilazione del singolo utente.

Come anticipato questi aspetti non sempre accontentano il business in quanto, limitandosi a trattare solo dati anonimi ed aggregati, non consentono al titolare di effettuare un controllo incrociato con altri strumenti di tracciamento e/o altri identificatori di terze parti raccolti su altri siti web, limitando così le potenzialità delle campagne di marketing realizzate.

Soluzioni tecnologiche innovative che offrono servizi senza cookie di tracciamento

Per fronteggiare queste tematiche si sta provando a adottare, attraverso l’utilizzo di algoritmi innovativi, soluzioni tecniche che, da un lato, permettano di garantire agli utenti un maggiore controllo sulle proprie informazioni personali assicurando un maggior rispetto della normativa in materia di protezione dei dati, dall’altro, di rendere ugualmente efficienti le campagne marketing per i titolari.

Le principali novità sul tema riguardano in particolare:

  1. l’utilizzo di algoritmi per limitare il tracciamento degli utenti e il conseguente trasferimento extra UE;
  2. l’utilizzo di AI per lo sviluppo di soluzioni innovative.

Rispetto al primo punto, è significativo rilevare come il mercato si stia evolvendo verso un mondo cookieless, ossia attraverso la scomparsa dei cookie di terze parti. Questo significa che le aziende non potranno più fare affidamento su informazioni finora essenziali per offrire esperienze personalizzate agli utenti e che, in generale, in ambito marketing e digital media, dovranno essere implementate soluzioni innovative per profilare e targettizzare gli utenti.

Strumento già utilizzato sotto questo punto di vista è il tool Custom Audience, soluzione elaborata da Meta che consente di erogare pubblicità targettizzata a partire dal match tra indirizzi e-mail e/o numeri di telefono presenti all’interno del CRM del titolare e indirizzi e-mail e/o numeri di telefono detenuti da Google e Meta.

Google Fledge

Novità in questo senso è invece quella di Google Fledge. Si tratta un progetto che fa parte dell’iniziativa Privacy Sandbox di Google e mira a fornire un’alternativa ai cookie di terze parti per la pubblicità targettizzata, fornendo servizi senza cookie di tracciamento di terze parti e garantendo al contempo la privacy degli utenti.

Google Fledge funziona attraverso aste pubblicitarie sul dispositivo dell’utente (on-device auctions) per la pubblicazione di pubblicità personalizzata, senza però il tracciamento delle attività degli utenti da parte di terze parti tipico dei cookie.

Le informazioni relative all’utente sono raccolte e utilizzate per generare un ID pubblicitario anonimo (c.d. Interest Group) che non dovrebbe consentire di apprendere il comportamento e le ricerche svolte da una persona. L’ID così generato viene quindi utilizzato per partecipare alle aste pubblicitarie online, dove gli inserzionisti possono fare offerte per mostrare annunci personalizzati all’utente sulla base dei suoi interessi.

Per garantire la privacy dell’utente, le informazioni raccolte durante il processo di generazione dell’ID (c.d. browsing behavior) vengono mantenute all’interno del dispositivo dell’utente e non sono condivise con terze parti. Inoltre, gli Interest Group generati (che in buona sostanza corrispondono a liste di remarketing), vengono periodicamente cancellati e rigenerati per impedire l’associazione alle attività dell’utente.

In sintesi, Fledge dovrebbe consentire la pubblicità targettizzata verso l’utente senza il tipico cross-site tracking, prevedendo al suo posto delle aste pubblicitarie direttamente all’interno del browser del dispositivo, mantenendo quindi gli interessi e la browsing activity dell’utente privata tramite la creazione di Interest Group.

Rispetto invece al secondo punto, è opportuno segnalare che sempre più spesso si stanno adottando soluzioni basate sull’utilizzo di intelligenza artificiale e machine learning per sostituire l’utilizzo di cookie di terze parti, sfruttando parametri diversi quali l’audience del sito sul quale viene pubblicato l’annuncio, le performance delle campagne passate, l’engagement dell’utente. Le informazioni così ricavate vengono successivamente utilizzate per veicolare le campagne pubblicitarie mirate, arricchendo l’user experience dell’utente.

Microsoft ad esempio, ha deciso di integrare all’interno del suo motore di ricerca Bing, il noto strumento basato sull’intelligenza artificiale, ChatGPT.

Non si può escludere infatti che l’integrazione dell’intelligenza artificiale all’interno di un motore di ricerca possa essere utilizzata come strumento innovativo per l’advertising online.

Le società interessate ad acquistare questo servizio potrebbero infatti sfruttare le potenzialità dell’AI per ricreare un’interazione diretta con l’utente durante le sue ricerche nel web (potendo arrivare a simulare addirittura un assistente personale per lo shopping on-line) e riuscendo così a fornire pubblicità ancora più mirata, con buona pace dei cookie di terze parti.

Tuttavia, di fronte a questi innovativi scenari relativi al mondo dell’advertising 2.0, quali possono essere i rischi connessi alla tutela dei dati?

Equilibrio possibile o nuovo rischio per la tutela dei dati?

L’utilizzo di queste nuove tecnologie, tra cui algoritmi ed intelligenza artificiale, potrebbe -almeno a prima vista- rappresentare un importante vantaggio per il mercato, consentendo di realizzare campagne marketing più efficaci con un minore impatto privacy e relativo minore rischio sanzionatorio.

Tuttavia, non è il caso di sottostimare il possibile impatto privacy connesso all’utilizzo di queste nuove tecnologie e i relativi rischi. Ad esempio, sebbene i dati raccolti potrebbero essere anonimizzati e non essere presente la condivisione con terzi della browsing behavior dell’utente, vi potrebbe comunque essere il tema di un eventuale arricchimento dei dati tramite altri dataset o banche dati, senza contare i possibili rischi per le libertà degli utenti connesse ad una loro profilazione automatizzata, condotta tramite strumenti di intelligenza artificiale.

Quindi come fare per fronteggiare questi possibili rischi

Un primo strumento è sicuramente effettuare una analisi del rischio e relativa valutazione d’impatto ex art. 35 del GDPR, dal momento che sarebbero presenti almeno due dei nove criteri previsti dalle Linee Guida del WP29 sulla DPIA, ossia: i) “utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative”; ii) “trattamenti di dati su larga scala” e, potenzialmente anche iii) “trattamenti valutativi o di scoring”, i quali si potrebbero appunto verificare nel caso in cui una società crea profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute all’interno di un sito web.

Inoltre, come sottolineato anche dalla CNIL, l’utilizzo di strumenti innovativi non esula il titolare dagli obblighi informativi a cui è sottoposto ai sensi degli artt. 5, 12 e 13 del GDPR. Anzi, tali obblighi risultano ancora più accentuati proprio dal momento che entrano in gioco tecnologie innovative e trattamenti automatizzati.

Aspetto evidente è che, in ogni caso, il trattamento dovrà essere mappato e descritto all’interno del registro, oltre che adottare misure di sicurezza procedurali e tecniche adeguate ai sensi dell’art. 32 GDPR, in ottica di corretta accountability da parte del titolare.

Ulteriore aspetto che si attenziona riguarda la necessità di prevedere canali semplici ed intuitivi per l’esercizio dei diritti degli interessati, prevedendo altresì adeguate misure per la corretta conservazione dei dati.

Conclusioni

In conclusione, sebbene le novità tecnologiche tra cui algoritmi ed intelligenza artificiale possano giocare un ruolo sempre più importante nella realizzazione di campagne marketing efficaci, superando alcune delle criticità attenzionate dai Garanti europei negli ultimi anni, appare evidente come l’utilizzo di queste nuove tecnologie non esenterà i titolari dal rispetto degli obblighi organizzativi e, soprattutto, informativi, previsti dal GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • infrastrutture

    Sicurezza nell’industria mobile: lo standard NESAS

    25 Gen 2024

    di Flavio Canofari

    Condividi

  • lo scenario

    Le norme digitali da tenere sott'occhio nel 2024

    15 Apr 2024

    di Aurelia Losavio

    Condividi

  • cybersecurity

    Accesso abusivo ai sistemi informatici: cos'è, come difendere l'azienda

    04 Dic 2023

    di Massimo Borgobello

    Condividi

Prossimo

Sicurezza nell’industria mobile: lo standard NESAS

Articolo 1 di 4