Sui cookie ci stiamo giocando la libertà di espressione?

Frame dal film Brazil di Terry Gilliam, 1985

La recente decisione del Board dei Garanti della privacy dell'Unione Europea di impedire a Meta la possibilità di richiedere agli utenti di accettare annunci personalizzati sulla loro esperienza di navigazione è solo l'ultimo, in ordine di tempo, di una serie di provvedimenti che rischiano di disarticolare un modello di business che, nel bene e nel male, ha fino ad oggi caratterizzato il nostro rapporto con la rete.

Quale è questo modello di business? Sulla base di una efficace logica win-win, io publisher ti fornisco contenuti di qualità, tu utente nell'usufruire di questi contenuti riceverai delle inserzioni pubblicitarie che per essere efficaci dovranno avere un qualche rapporto con gli argomenti che stai ricercando. In questa maniera io publisher riesco a monetizzare il traffico per fare fronte ai miei costi editoriali e offrirti un prodotto sempre migliore, tu utente non paghi niente. Questo meccanismo poggia proprio sui famosi cookie. Sono proprio i cookie a svolgere l'essenziale compito di far incrociare la domanda con l'offerta attraverso un prodotto pubblicitario di qualità orientato sulle necessità degli utenti. 

Per poter comprendere meglio questo aspetto occorre fare un salto indietro nel tempo ai primi anni duemila. Agli albori di quella che sarebbe poi diventata la rivoluzione digitale nella quale stiamo ancora vivendo, si comprese da subito la potenzialità della rete di veicolare contenuti, nacquero così un numero enorme di siti, blog, forum con contenuti anche molto verticali destinati alle rispettive nicchie di riferimento. La ricerca dei contenuti fece un enorme passo innanzi con l'avvento del motore di ricerca di Google e del suo algoritmo brevettato PageRank che rivoluzionava il modo di classificare i contenuti in base al numero e all'importanza dei collegamenti ipertestuali che puntavano ad un determinato sito. Prima di PageRank i motori di ricerca non funzionavano un granché, davano risultati a dir poco imbarazzanti, ricordate Altavista? Era molto facile per qualcuno intenzionato a far quattrini fregare il sistema e inserirsi in cima ai risultati di ricerca. Il diverso approccio di Google permetteva per la prima volta nella storia la possibilità a chiunque di raggiungere la notorietà in base all'interesse suscitato in rete dai contenuti da lui prodotti facendo riferimento ad un pubblico adesso definito su scala globale.

All'inizio degli anni duemila gli investitori della new economy pensavano che per portare il traffico ai siti internet servissero i megaportali web, Google cambiò le carte in tavola puntando sulla personalizzazione della rete e così i megaportali scomparvero col crash delle dot-com portandosi dietro fiumi di dollari.

L'unica reale alternativa a questo sistema è la vendita di abbonamenti, ma tale scelta evidentemente favorisce i grossi gruppi editoriali, infatti molto difficilmente un blog, un forum o comunque un sito indipendente potrebbe avere la forza di convincere i propri utenti ad abbonarsi. Parliamoci chiaro prima dell'arrivo di AdSense o programmi analoghi di altri fornitori di servizi di advertising per i publisher non era affatto semplice monetizzare il traffico.

A questo punto potremmo chiederci se tutto questo attivismo da parte dei regolatori della privacy sul fronte dei cookie possa andare a compromettere un meccanismo che comunque fino ad oggi ha fatto la storia di internet a detrimento del diritto alla libertà di espressione e d'informazione, un diritto importante, sancito dalla Carta dei diritti fondamentali dell’Unione europea. In effetti in questo modo si rende assai più difficile la possibilità di autofinanziamento per i siti di informazione indipendenti a vantaggio dei grossi gruppi editoriali. Nel frattempo assistiamo al proliferare degli strumenti di quel capitalismo della sorveglianza di cui parla la professoressa Shoshana Zuboff nel suo celebre saggio: videosorveglianza pubblica massiva, riconoscimento facciale, assistenti vocali, bracciali e microchip sottocutanei per i lavoratori, body cam e software di analisi predittiva in stile Minority Report per le forze dell'ordine.

Mi chiedo anche se senza i ricavi pubblicitari derivanti dalle loro piattaforme online sarebbe stato possibile per il Movimento Cinque Stelle diventare il primo partito italiano nelle elezioni del 2018.

Dopo questa lunga premessa vediamo adesso qual è oggi in sintesi il quadro normativo di riferimento sui cookie. Il prossimo 10 gennaio sarà trascorso un anno dall'entrata in vigore delle nuove linee guida per i cookie ed il tracciamento degli utenti pubblicate dalla nostra Authority nazionale, il Garante per la protezione dei dati personali. Di seguito una sintesi di cosa prevedevano per i titolari dei siti internet.

Informativa: Nel rispetto del Regolamento UE, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analitici, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso: Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.
Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento (ad esempio la rotazione del dispositivo mobile).
Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori. L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analitici o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

Sulla necessità di ottenere un consenso attivo degli utenti di un sito internet era intervenuta la Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-673/17 “Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH” del 1 ottobre 2019. Anche qui vediamo come per la legittimità del consenso prestato dall’interessato è necessario che questo sia libero, specifico ed informato. Nella fattispecie il sito in questione utilizzava una casella di spunta premarcata per la richiesta del consenso per cookie atti a raccogliere informazioni a fini pubblicitari. 

Con le linee guida dell’European Data Protection Board (EDPB) 05/2020 adottate il 4 maggio 2020 sull’istituto giuridico del consenso, il board europeo dei Garanti aveva affrontato il tema della validità del consenso fornito dall’interessato quando interagisce con i cosiddetti cookie wall al paragrafo 39: affinché il consenso possa essere dato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso di un utente alla memorizzazione di informazioni, o all’accesso a informazioni già memorizzate nell’apparecchiatura terminale di un utente. Per esempio un fornitore di siti web mette in atto uno script che blocca la visibilità del contenuto, ad eccezione della richiesta di accettare i cookie e delle informazioni su quali cookie vengono impostati e per quali scopi vengono elaborati i dati. Non è possibile accedere al contenuto senza cliccare sul pulsante "Accetta i cookie". Poiché all'interessato non viene presentata una vera e propria scelta, il suo consenso non viene dato liberamente e pertanto non costituisce un valido consenso, in quanto la fornitura del servizio si basa sul fatto che l'interessato faccia clic sul pulsante "Accetta i cookie". Non viene presentata una vera e propria scelta. In sostanza il consenso non deve essere basato su un do ut des tra il titolare del trattamento erogatore del servizio internet e l’interessato.

Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

Whistleblower: storia e quadro giuridico di riferimento