L’attuale normativa europea in materia di cookie di profilazione sta dimostrandosi sempre più inadeguata ad assicurare l’effettiva tutela della riservatezza degli utenti di fronte alle “pratiche estrattive” dei dati personali messe in campo dai giganti della rete. Lo scorso dicembre l’Autorità francese per la tutela dei dati personali (la CNIL) ha comminato a Google una multa di 100 milioni di euro proprio per avere riscontrato una serie di sistematiche violazioni in materia di gestione dei cookie di profilazione. Nei giorni scorsi, seguendo l’esempio di altri big player del settore, anche Google ha però dichiarato che farà prossimamente a meno dei cookie di profilazione. Eppure, a dispetto dell’enfatica dichiarazione di intenti, il nuovo sistema di tracciamento (FLoC), che Google prevede di implementare a partire dal 2022, potrebbe non essere affatto privacy-oriented come si dichiara.
I cookie sono stringhe di testo che vengono posizionate – sia per motivi tecnici (i cd. cookie tecnici), per fini statistici (i cd. cookie analitici) che per motivi di carattere squisitamente commerciale (i cd. cookie di profilazione) – sul dispositivo dell’utente che visita una pagina web (per un approfondimento sulle diverse tipologie si veda il Provvedimento del Garante della privacy dell’8.5.2014).
Come briciole cadute lungo il cammino, i cookie lasciano tracce dei percorsi virtuali battuti dall’utente, consentendo di ricostruirne i relativi interessi e preferenze anche commerciali. Per questo aspetto, i cookie sono stati definiti dal GDPR alla stregua di “identificatori on line”, le cui tracce «in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle» (considerando n. 30 al GDPR). Proprio per l’intrinseca invasività dei cookie, combinato con il fatto che il posizionamento possa avere lungo senza che l’utente abbia neppure consapevolezza di essere monitorato, sia il GDPR che la Direttiva 2002/58/CE (la direttiva e-privacy) hanno dettato una specifica regolamentazione, imponendo la preventiva raccolta del consenso – che dovrebbe essere libero ed informato – dell’utente al posizionamento dei cookie sul proprio dispositivo.
Con una decisione pubblicata lo scorso 7 dicembre, la Commission Nationale de l’Informatique et des Libertés (CNIL) ha comminato a Google una sanzione da 100 milioni di euro per avere ritenuto che la gestione dei cookie da parte del sito google.fr non fosse conforme alla normativa di derivazione eurounitaria (l’art. 82 della Loi Informatique et des Libertés, come novellata a seguito del recepimento della direttiva e-privacy).
Si tratta di una decisione importante – probabilmente la prima nel contesto europeo – perché contribuisce a riflettere sull’opacità delle pratiche estrattive dei dati perpetrate dal gigante di californiano e sulla persistente “difficoltà di cattura” del fenomeno da parte del legislatore europeo.
Tre sono gli ordini di violazioni riscontrati dalla CNIL.
In primo luogo, la Commissione ha contestato a Google la mancanza di un’adeguata preventiva informativa rispetto all’uso dei cookie per gli utenti che accedevano al motore di ricerca google.fr. Questo perché il banner informativo non forniva alcuna informativa specifica riguardo all’utilizzo dei cookie di navigazione, non potendo considerarsi sufficiente il semplice riferimento alle regole di riservatezza per soddisfare le loro aspettative in questo settore e per soddisfare i requisiti dell’articolo 82 della legge nazionale sulla protezione dei dati. In secondo luogo, a Google è stata contestata la registrazione dei cookie senza il consenso preventivo dell’utente. Dall’istruttoria svolta, la CNIL ha infatti avuto modo di verificare che diversi cookie pubblicitari venivano automaticamente posizionati quando l’utente visitava la pagina google.fr, senza ricevere il preventivo obbligatorio consenso da parte dell’utente. Problematiche accentuate – e questo è il terzo ordine di violazioni riscontrato da Google – dal carattere parzialmente difettoso del meccanismo di opposizione (il cd. “opt-out”) alla registrazione dei cookie. Come emerso dai risultati dell’istruttoria svolta, infatti, anche dopo la disattivazione della personalizzazione degli annunci, molti cookie restavano comunque memorizzati sul terminale dell’utente.
Per tali violazioni della normativa francese sulla protezione dei dati personali, la CNIL ha dunque comminato a Google una multa di 100 milioni di euro, con una astreinte di 100 mila euro per ogni successivo giorno di ritardo.
La presa di posizione della CNIL dà voce ad una preoccupazione largamente condivisa in ambito europeo, che ha già portato alla pubblicazione, nel maggio del 2020, alle Linee guida n. 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679 da parte del Comitato dei Garanti europei, come pure a diverse iniziative di soft law da parte delle Autorità nazionali (ad esempio quella francese e quella inglese). Il maggiore elemento di criticità dell’attuale regolazione sui cookie commerciali – è quanto le Authority per la privacy stanno evidenziando – concerne la difficoltà di assicurare che la manifestazione di volontà espressa dall’utente sia veramente libera ed informata, e non il frutto di una sbrigativa “resa” incondizionata al solo fine di continuare indisturbatamente la navigazione.
Proprio tenuto conto degli elementi di debolezza dell’attuale normativa in materia di cookie di profilazione, il Garante italiano per la privacy ha recentemente avviato una consultazione finalizzata alla pubblicazione di nuove linee guida in materia di cookie volte a garantire l’effettività by default dell’acquisizione del consenso dell’utente al posizionamento cookie diversi da quelli tecnici nonché la piena libertà di scelta sulla profilazione, con il consenso che potrà intendersi come validamente prestato soltanto qualora esso sia conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile.
Eppure, un segnale di cambiamento sembra venire proprio da Google, che nei giorni scorsi ha annunciato che a partire dal 2022 farà completamente a meno dei cookies di terze parti. Il comunicato stampa di Google non potrebbe essere più netto: «People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising. And advertisers don’t need to track individual consumers across the web to get the performance benefits of digital advertising».
Alla base di questo cambio di marcia del gigante californiano – che segue in ordine di tempo analoga posizione già assunta da Firefox e Safari – vi è il dichiarato obiettivo di recuperare la fiducia degli utenti nella digital economy, oltre alla convinzione che le soluzioni attualmente in uso basate sui tracking cookie non resisteranno alle restrizioni normative in rapida evoluzione e, quindi, che esse non siano un investimento sostenibile a lungo termine.
Questo non vuol dire che Google smetterà tout court di raccogliere informazioni sui propri utenti (del resto Google ricava la quasi totalità dei propri introiti proprio dall’advertising), ma lo farà utilizzando un metodo diverso, il sistema FLoC (acronimo per Federated Learning of Cohorts). A quanto si apprende dalle informazioni rese disponibili in rete, tale sistema si baserà sulla collocazione, in forma anonimizzata, dell’utente in un gruppo omogeneo di persone (la “coorte”), aventi in comune – sulla base dell’analisi algoritmica – qualità ed interessi significativi. La cronologia di navigazione individuale dell’utente dovrebbe essere mantenuta privata poiché sarà il browser stesso che la esaminerà al fine di assegnare l’utente alla “propria” coorte di riferimento.
Sebbene molto dipenderà da come Google deciderà di implementare tale soluzione, anche FLoC potrebbe avere serie controindicazioni sulla privacy degli utenti – i quali continueranno pur sempre ad essere monitorati, sia pure come membri di un gruppo omogeneo – ed altrettanti rischi di discriminazione e di violazione delle libertà civili, come è stato già evidenziato da molti esperti (ad esempio qui e qui). Nel corso degli anni, il meccanismo della pubblicità mirata è stato spesso utilizzato in modo discriminatorio e dannoso – ad esempio con annunci discriminatori per lavoro, alloggio e credito – e tali pratiche non solo potranno continuare ad essere perpetrare, ma potrebbero essere finanche risultare potenziate, specie qualora le coorti saranno costituite in base a dati sensibili quali l’etnia, la religione il sesso o l’età.
Significativamente, già all’indomani dell’annuncio, altri fornitori di browser, tra cui Firefox, Edge e Safari, hanno preso le distanze dall’iniziativa, dichiarando che non intendono utilizzare FLoC.
Ciò che è certo è che il progetto va monitorato molto da vicino perché potrebbe comportare – specie qualora FLoC dovesse sfuggire all’applicazione della disciplina del consenso di cui al GDPR e alla direttiva e-privacy – violazioni inedite, e forse più striscianti, dei diritti e delle libertà civili degli utenti.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale