google-logoQualsiasi mossa di Google, la più grande società di pubblicità online, fa notizia e determina profondi cambiamenti nel web. L'ultima in materia di privacy è il progressivo abbandono dei cookie a favore di un sistema di identificatori anonimi che verranno condivisi con gli inserzionisti purché rispettino le sue regole.

Il problema dei cookie è importante, anche se non molti si rendono conto esattamente quanto. La legislazione europea regolamenta i cookie con la direttiva comunitaria 2009/136/CE (E-privacy), recepita in Italia con la nuova formulazione dell'art. 122 D.lgs 196/2003. È però destinata ad essere ulteriormente modificata a mezzo di un Regolamento (quindi immediatamente applicabile nei paesi membri) che si occuperà di riformare l'intera legislazione sulla privacy.

Anche se la nuova regolamentazione dei cookie è stata fraintesa da molti operatori del web, e tacciata di essere contro l'innovazione, in realtà essa non prevede affatto l'obbligo di ottenere un preventivo consenso per tutti i cookie prodotti da un sito web e archiviati sul terminale dell'utente, ma solo per una piccola parte di essi. I cookie esentati dal consenso preventivo sono quelli utilizzati per veicolare delle informazioni e quelli strettamente necessari per il servizio esplicitamente richiesto dall'utente.
Quindi, i cookie che necessitano di un consenso preventivo sono quelli utilizzati per raccogliere informazioni a scopi pubblicitari e per tracciare un profilo dell'utente in modo da predisporre informazioni pubblicitarie personalizzate, e principalmente i cookie di terze parti, cioè quelli che provengono da un dominio terzo rispetto al sito che li invia al terminale dell'utente. Il problema è palese, se io visito un certo giornale generalmente non ho consapevolezza che quel giornale mi invia anche i cookie degli inserzionisti o delle aziende (Google, Facebook, Apple) che effettuano la profilazione degli utenti proprio per poi vendere i dati agli inserzionisti.

C'è comunque da dire che alcune aziende ovviano al problema dei cookie di terze parti semplicemente creando un sottodominio sul sito visitato dall'utente, così appunto non risultano di "terze parti". Si tratta, però, di una soluzione tecnica che non risolve il problema legale, il fatto che un sito diverso da quello che sto visitando traccia la mia navigazione online.

Per questo motivo i cookie sono una tecnologia controversa, sollevando non pochi problemi di privacy. Sono spesso depositati sui computer dei navigatori senza che questi se ne accorgano, e talvolta sono in grado anche di superare i blocchi imposti dai browser. Infatti i cookie sono tecnologie legate al browser, che appunto li veicola e li legge, e tutti i browser attuali presentano specifiche modalità di navigazione che consentono di bloccare i cookie. Ad esempio il browser Safari di Apple blocca per impostazione predefinita i cookie di terze parti (ma non quelli di prime parti, cioè i propri!), allo stesso modo anche Mozilla ha annunciato che perseguirà la medesima strada per Firefox. In qualche caso è capitato che un'azienda non rispettasse comunque le impostazioni di blocco dei cookie.

Contemporaneamente all'avvio della riforma della privacy europea, anche negli Usa è partito un discorso di riorganizzazione della regolamentazione dei cookie e in generale della privacy. Si tratta di una conseguenza necessitata delle problematiche insorte a seguito della riforma della privacy europea in corso, che ovviamente hanno e avranno delle pesanti ricadute sull'operatività dei giganti del web americani i cui business sono strettamente legati alla raccolta di dati personali degli utenti. Infatti, la normativa europea è vista con sfavore dalle aziende americane che fin dal primo momento si sono adoperate per far fallire i tentativi di modifica delle regole dell'Unione.
Al momento il percorso americano pare giunto ad un punto di stallo. Si muoveva nella direzione di una autoregolamentazione da parte delle aziende private, piuttosto che una normativa imposta dal governo, in particolare a mezzo della realizzazione di uno standard comune denominato Do not track (DNT), cioè la previsione di un segnale che l'utente avrebbe potuto impostare sul browser così indicando al sito di non tracciarlo (e quindi di non depositare cookie).

Questo tentativo, già di per sé molto limitato, in quanto la sua efficacia dipende esclusivamente dalle scelte delle aziende (che possono anche decidere di non rispettare il segnale inviato dal browser), sembra fallito miseramente a seguito dell'abbandono del tavolo delle trattative da parte della Digital Advertising Alliance (DAA), cioè l'associazione che raccoglie i giganti del web come Yahoo, Google, Facebook ecc...
Per quelle aziende, però, il problema rimane. Anche se non si è giunti ad uno standard americano, ci sono ancora le regole europee in dirittura d'arrivo, che minacciano il business delle aziende Usa. E il naufragio della standard Do not track probabilmente costringerà la FTC americana (che si occupa della tutela della privacy, che negli Usa è inquadrata all'interno della normativa per le pratiche commerciali) ad attivarsi per realizzare una normativa ad hoc.
Infine, le recenti notizie sulla massiccia raccolta di dati da parte della NSA con la complicità delle aziende americane, ha rafforzato l'intenzione degli europei di percorrere la strada di un rafforzamento della tutela della privacy dei cittadini europei.

Perciò la mossa di Google sembra obbligata, e come suo solito il gigante della pubblicità online preferisce anticipare i possibili cambiamenti spiazzando eventuali strette legislative.
Contemporaneamente al fallimento del DNT, infatti, Google annunciava l'abbandono dei cookie di terze parti a favore del sistema AdID. Il portavoce del gruppo ha sostenuto: "Crediamo nei miglioramenti tecnologici in grado di migliorare la sicurezza degli utenti, garantendo nel contempo che il web rimanga economicamente sostenibile".
Ovviamente Google intende preservare il flusso di dati che è la linfa vitale dell'economia online, minacciata dalla possibile messa al bando dei cookie di terze parti pubblicitari. Il risultato è che se anche detti cookie saranno messi fuorilegge (obbligando il consenso preventivo), comunque i giganti pubblicitari del web (Google, Facebook e Twitter) saranno in grado di continuare la raccolta di dati da utilizzare a fini di marketing.

Di che si tratta? Gli AdID, cioè gli identificatori anonimi, sono stringhe di caratteri casuali utilizzate per gli stessi scopi dei cookie, ma su piattaforme che non supportano la tecnologia dei cookie come i dispositivi mobili. In tal senso la mossa di Google era doppiamente obbligata, in quanto ormai la navigazione online si realizza sempre più tramite smartphone e dispositivi mobili, così rendendo più difficile veicolare pubblicità e soprattutto tracciare i dati di navigazione degli utenti a fini di profilazione pubblicitaria. La recente acquisizione di Adelphic, azienda che usa algoritmi di inferenza per riunire una serie di dati per una migliore profilazione degli utenti sui dispositivi mobili, è indicativa in tal senso.

Ogni volta che Google riceve un identificatore di dispositivo (es. lo smartphone) associa ad esso un identificatore anonimo che consente il tracciamento dell'utente. I dati dell'utente vengono associati solo all'identificatore anonimo e non a quello di dispositivo, laddove mentre quest'ultimo non può essere modificato o eliminato, l'identificatore anonimo può essere reimpostato o disabilitato dall'utente. Quindi gli AdID dovrebbero garantire maggiore tutela per gli utenti.

Questa nuova tecnologia ha comunque creato preoccupazione in considerazione del fatto che finisce per spostare ulteriormente il controllo verso gli operatori come Google e Apple (anche Apple ha introdotto i propri AdID).
Infatti gli inserzionisti avranno l'accesso agli AdID se aderiscono alle condizioni del programma, ovviamente dettate dai giganti del web, e che potrebbero essere limitative per gli inserzionisti, non consentendo loro quella flessibilità nel tracciamento o nella riunione dei dati che Google si riserva per sé. Del resto non dobbiamo dimenticare che gli AdID, similmente ai cookie, sono gestiti e letti dai browser, laddove i principali browser utilizzati sui dispositivi mobili ormai sono Chrome (di Google) e Safari (di Apple). Quindi le impostazioni sono dipendenti dalle scelte delle aziende fornitrici degli AdID.
Se prima i cookie di Google, Apple, ecc..., dovevano passare per i domini altrui, da domani saranno queste aziende a fornire gli AdID agli inserzionisti che accetteranno le loro condizioni, AdID veicolati e gestiti tramite i browser realizzati dalle stesse aziende. Insomma, il fallimento "pilotato" di uno standard di settore sta consegnando quel settore nelle mani di pochi grandi operatori del web che hanno interesse a sfruttare il più possibile i dati degli utenti.