Passa ai contenuti principali

Sui cookie ci stiamo giocando la libertà di espressione?

Frame dal film Brazil di Terry Gilliam, 1985

La recente decisione del Board dei Garanti della privacy dell'Unione Europea di impedire a Meta la possibilità di richiedere agli utenti di accettare annunci personalizzati sulla loro esperienza di navigazione è solo l'ultimo, in ordine di tempo, di una serie di provvedimenti che rischiano di disarticolare un modello di business che, nel bene e nel male, ha fino ad oggi caratterizzato il nostro rapporto con la rete.

Quale è questo modello di business? Sulla base di una efficace logica win-win, io publisher ti fornisco contenuti di qualità, tu utente nell'usufruire di questi contenuti riceverai delle inserzioni pubblicitarie che per essere efficaci dovranno avere un qualche rapporto con gli argomenti che stai ricercando. In questa maniera io publisher riesco a monetizzare il traffico per fare fronte ai miei costi editoriali e offrirti un prodotto sempre migliore, tu utente non paghi niente. Questo meccanismo poggia proprio sui famosi cookie. Sono proprio i cookie a svolgere l'essenziale compito di far incrociare la domanda con l'offerta attraverso un prodotto pubblicitario di qualità orientato sulle necessità degli utenti. 

Per poter comprendere meglio questo aspetto occorre fare un salto indietro nel tempo ai primi anni duemila. Agli albori di quella che sarebbe poi diventata la rivoluzione digitale nella quale stiamo ancora vivendo, si comprese da subito la potenzialità della rete di veicolare contenuti, nacquero così un numero enorme di siti, blog, forum con contenuti anche molto verticali destinati alle rispettive nicchie di riferimento. La ricerca dei contenuti fece un enorme passo innanzi con l'avvento del motore di ricerca di Google e del suo algoritmo brevettato PageRank che rivoluzionava il modo di classificare i contenuti in base al numero e all'importanza dei collegamenti ipertestuali che puntavano ad un determinato sito. Prima di PageRank i motori di ricerca non funzionavano un granché, davano risultati a dir poco imbarazzanti, ricordate Altavista? Era molto facile per qualcuno intenzionato a far quattrini fregare il sistema e inserirsi in cima ai risultati di ricerca. Il diverso approccio di Google permetteva per la prima volta nella storia la possibilità a chiunque di raggiungere la notorietà in base all'interesse suscitato in rete dai contenuti da lui prodotti facendo riferimento ad un pubblico adesso definito su scala globale.

All'inizio degli anni duemila gli investitori della new economy pensavano che per portare il traffico ai siti internet servissero i megaportali web, Google cambiò le carte in tavola puntando sulla personalizzazione della rete e così i megaportali scomparvero col crash delle dot-com portandosi dietro fiumi di dollari.

L'unica reale alternativa a questo sistema è la vendita di abbonamenti, ma tale scelta evidentemente favorisce i grossi gruppi editoriali, infatti molto difficilmente un blog, un forum o comunque un sito indipendente potrebbe avere la forza di convincere i propri utenti ad abbonarsi. Parliamoci chiaro prima dell'arrivo di AdSense o programmi analoghi di altri fornitori di servizi di advertising per i publisher non era affatto semplice monetizzare il traffico.

A questo punto potremmo chiederci se tutto questo attivismo da parte dei regolatori della privacy sul fronte dei cookie possa andare a compromettere un meccanismo che comunque fino ad oggi ha fatto la storia di internet a detrimento del diritto alla libertà di espressione e d'informazione, un diritto importante, sancito dalla Carta dei diritti fondamentali dell’Unione europea. In effetti in questo modo si rende assai più difficile la possibilità di autofinanziamento per i siti di informazione indipendenti a vantaggio dei grossi gruppi editoriali. Nel frattempo assistiamo al proliferare degli strumenti di quel capitalismo della sorveglianza di cui parla la professoressa Shoshana Zuboff nel suo celebre saggio: videosorveglianza pubblica massiva, riconoscimento facciale, assistenti vocali, bracciali e microchip sottocutanei per i lavoratori, body cam e software di analisi predittiva in stile Minority Report per le forze dell'ordine.

Mi chiedo anche se senza i ricavi pubblicitari derivanti dalle loro piattaforme online sarebbe stato possibile per il Movimento Cinque Stelle diventare il primo partito italiano nelle elezioni del 2018.

Dopo questa lunga premessa vediamo adesso qual è oggi in sintesi il quadro normativo di riferimento sui cookie. Il prossimo 10 gennaio sarà trascorso un anno dall'entrata in vigore delle nuove linee guida per i cookie ed il tracciamento degli utenti pubblicate dalla nostra Authority nazionale, il Garante per la protezione dei dati personali. Di seguito una sintesi di cosa prevedevano per i titolari dei siti internet.

Informativa: Nel rispetto del Regolamento UE, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analitici, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso: Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.
Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento (ad esempio la rotazione del dispositivo mobile).
Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori. L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analitici o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

Sulla necessità di ottenere un consenso attivo degli utenti di un sito internet era intervenuta la Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-673/17 “Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH” del 1 ottobre 2019. Anche qui vediamo come per la legittimità del consenso prestato dall’interessato è necessario che questo sia libero, specifico ed informato. Nella fattispecie il sito in questione utilizzava una casella di spunta premarcata per la richiesta del consenso per cookie atti a raccogliere informazioni a fini pubblicitari. 

Con le linee guida dell’European Data Protection Board (EDPB) 05/2020 adottate il 4 maggio 2020 sull’istituto giuridico del consenso, il board europeo dei Garanti aveva affrontato il tema della validità del consenso fornito dall’interessato quando interagisce con i cosiddetti cookie wall al paragrafo 39: affinché il consenso possa essere dato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso di un utente alla memorizzazione di informazioni, o all’accesso a informazioni già memorizzate nell’apparecchiatura terminale di un utente. Per esempio un fornitore di siti web mette in atto uno script che blocca la visibilità del contenuto, ad eccezione della richiesta di accettare i cookie e delle informazioni su quali cookie vengono impostati e per quali scopi vengono elaborati i dati. Non è possibile accedere al contenuto senza cliccare sul pulsante "Accetta i cookie". Poiché all'interessato non viene presentata una vera e propria scelta, il suo consenso non viene dato liberamente e pertanto non costituisce un valido consenso, in quanto la fornitura del servizio si basa sul fatto che l'interessato faccia clic sul pulsante "Accetta i cookie". Non viene presentata una vera e propria scelta. In sostanza il consenso non deve essere basato su un do ut des tra il titolare del trattamento erogatore del servizio internet e l’interessato.

Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian