È stato un esordio col botto. Il nuovo Regolamento europeo sulla privacy (GDPR) è arrivato come uno tsunami. Ha prodotto una ondata di mail con la richiesta del consenso o l’aggiornamento dell’informativa sulla privacy. Ha addirittura spazzato via, per un tempo indefinito, alcune app, siti e giornali americani che sono diventati inaccessibili agli utenti europei, perché evidentemente non si erano messi in regola, e temevano il rischio di sanzioni. Ha moltiplicato i banner sui siti che navighiamo, riportandoci a contatto con la realtà multiforme e complicata della profilazione. Una Idra dalle molte teste, che come vedremo più sotto è molto difficile da domare.
Così se, come già raccontato su AGI, vari giornali Usa – come il Chicago Tribune o il Los Angeles Times - non erano raggiungibili dagli utenti europei dopo il 25 maggio, altri sceglievano strade alternative. Usa Today ad esempio ha fatto una versione solo per gli europei senza codici per il tracciamento e pubblicità. E come notava qualcuno, era molto veloce e piacevole da navigare.
Mentre la radio NPR per il suo sito se n’è uscita invece con la seguente trovata. Agli utenti presentava un pop-up di benvenuto chiedendo se acconsentissero a ricevere cookies, e altri strumenti di tracciamento. Se i visitatori dicevano di no, gli presentava una versione testuale e minimalista del sito. Capolavoro.
Non ci sono solo i siti di notizie americane, naturalmente. Secondo il noto attivista pro-privacy Max Schrems, oggi alla guida della ong Noyb, Facebook, Google, Instagram e Whatsapp avrebbero violato il GDPR attraverso richieste di consenso forzato perché gli utenti dovevano accettare in blocco l’informativa sulla privacy per continuare a usare il servizio. Noyb ha presentato delle denunce in diversi Paesi europei che saranno riviste dalle autorità sulla privacy. A essere presi di mira anche gli “inutili e invasivi” pop-up dei siti. “Il GDPR permette esplicitamente di trattare dati che siano strettamente necessari per il servizio, ma usare dati in più per la pubblicità o per venderli richiede il consenso libero degli utenti”, scrive Noyb, specificando che l’acceso a un servizio non dovrebbe dipendere dal fatto di acconsentire all’uso dei dati.
Insomma, la situazione resta molto caotica. Eppure, anche se il GDPR deve ancora essere digerito da molti, c’è chi prepara già una battaglia contro quello che è considerato il suo completamento definitivo: l’arrivo del regolamento (sì, un altro) ePrivacy. Che è più mirato, e punta a proteggere soprattutto la confidenzialità delle comunicazioni elettroniche. Si occupa cioè, tra le altre cose, del tracciamento degli utenti tramite i loro dispositivi, dei metadati delle comunicazioni e di altri dati prodotti da telefoni e pc, di cookies, di telemarketing, e si applica anche a servizi come Whatsapp, Facebook Messenger, Skype. Approvato dal Parlamento europeo qualche mese fa, ora è sotto esame da parte del Consiglio dell’Unione europea.
Su questo ennesimo set di regole a favore degli utenti, aziende tech e della pubblicità stanno già affilando le armi. Cisco, Facebook, Google, IBM, Microsoft, SAP, la Camera di Commercio americana, e associazioni di categoria dell’industria pubblicitaria come DigitalEurope e Interactive Advertising Bureau Europe, starebbero infatti facendo una intensa attività di lobbying sui membri della Commissione europea per annacquare il regolamento ePrivacy, secondo informazioni della ong Transparency International EU riportati dal New York Times.
Nelle ultime settimane diverse di queste organizzazioni hanno pubblicato studi allarmistici, secondo i quali le norme ePrivacy produrrebbero ingenti perdite per l’industria. Ad esempio, secondo una ricerca commissionata dalla Developers Alliance, una associazione industriale di produttori di software che include, fra gli altri, anche Google e Facebook, ePrivacy causerebbe una riduzione di 58 miliardi di euro di profitti nell’Unione.
Gli attivisti per i diritti degli utenti, invece, la considerano un tassello fondamentale, come aveva raccontato ad AGI il ricercatore austriaco Wolfie Christl. Tra le modifiche che produrrebbe, come spiegato dal Garante italiano, anche una stretta sui cookie, per cui l’utente potrà compiere una scelta unica, accettando e rifiutando in blocco l’installazione dei cookie con un settaggio preliminare del browser (tranne nel caso in cui si tratti di cookie necessari per operazioni di analytics, cioè per contare gli utenti che visitano un sito o tracciare i suoi acquisiti). E anche l’informativa e acquisizione del consenso “dovranno essere maggiormente user friendly”. Vedremo più sotto come ci sia molto bisogno di questo genere di interventi.
Già, perché oggi una buona parte della profilazione degli utenti passa per strumenti simili, come i cookie, file depositati nei nostri pc dai siti che visitiamo. E anche se sulla carta ogni utente oggi dovrebbe poter scegliere se essere tracciato in tal modo, e quanto, la realtà è che riuscire a farlo è un’impresa.
Molti siti americani, ad esempio, dopo il 25 maggio, hanno accolto gli utenti europei con dei banner che avvisavano dell’utilizzo di cookie e altre tecnologie di tracciamento. Gli utenti potevano saperne di più leggendo la policy sui cookies e l’informativa sulla privacy aggiornata per il GDPR. Ma se invece di dice “Accetto” si provava a cercare l’opzione di non essere tracciati, iniziavano le danze.
Già, perché se ad esempio si va sulle Cookie Policy, si apre una lunga informativa, a volte in più schermate o link, che porta anche a una tabella per fare opt-out, cioè per escludere ogni singolo servizio che faccia tracciamento su quel sito (ad esclusione dei cookies necessari per il funzionamento dello stesso). Si parla di tabelle con decine e decine di società. In alcuni casi non si capisce cosa schiacciare materialmente per fare tale opt-out. In altri compare una schermata del genere.
Ora, nella maggior parte dei casi non funziona la possibilità di spuntare tutti ed è fatta. Macché. Ogni sito ha il suo calvario personale. In molti casi l’opt-out va fatto direttamente sul sito indicato. In altri si dice che il partner non ha una politica di opt-out.
“Questa parte sui cookie rientra in realtà nella vecchia regolamentazione della direttiva eprivacy, il cui aggiornamento è per ora ancora in stallo (e dovrebbe avvenire attraverso il Regolamento ePrivacy di cui si diceva sopra, ndr)”, commenta ad AGI Carlo Blengino, avvocato esperto di tecnologie digitali e fellow del Nexa Center su Internet e Società. “Il problema qui non sta tanto in come sono raccolti i dati, ma come saranno poi trattati alla luce del GDPR, che crea vincoli talvolta insuperabili per chi di fatto fa data mining e tratta grandi moli di dati per finalità spesso non prevedibili. Chi è veramente male in ambasce con il GDPR sono le società che lavorano sui big data, perché il consenso è impossibile e non è facile trovare altre basi giuridiche come il "legittimo interesse" del titolare… Mentre una buona parte delle informative che vediamo in questi giorni sono invece inutili e non necessarie”.
Ma vediamo intanto come sono raccolti questi dati, partendo da un link a un articolo di Men’s Health, edizione americana, su come mettersi in forma per l’estate. Prima di poter leggere le agognate istruzioni di fitness però appare il pop-up che chiede di accettare le policy del sito o in alternativa di gestire le impostazioni. Decidiamo di gestire, dato che il corpo è importante ma pure la privacy. Appare l’informativa sui cookie, e dopo una prima parte su quelli necessari arriviamo a quelli pubblicitari. E qui sbuca una lunghissima lista di aziende cui togliere il consenso. Ma, primo intoppo, non possiamo togliere la spunta a tutte. In alcuni casi dobbiamo andare sul loro sito.
Iniziamo allora dalla prima in ordine alfabetico, che è anche, guarda caso, uno dei più grandi data broker al mondo, Acxiom. Andiamo sul suo sito. Appare un modulo per fare opt-put dai suoi prodotti di marketing in cui dovremmo inserire i nostri dati, numero di telefono e mail... Ma non è quello che stiamo cercando. A leggere fra le righe però troviamo anche questa indicazione e un link: “Se vuoi fare opt-out dal targeting basato su web, usa il meccanismo per fare opt-out sui cookie e l’ID per il mobile advertising fornito dalla nostra divisione Connettività qua”.
Tutto chiaro? Come no, clicchiamo sul link e procediamo.
Ora siamo atterrati sulla piattaforma di nome LiveRamp che così ci accoglie: “Capiamo che vuoi fare opt-put da LiveRamp”. Ora, veramente noi volevamo leggere un articolo sullo stare in forma per l’estate senza regalare troppi dei nostri dati, ma fa niente. Anche qua ci sono multiple opzioni e individuiamo quella che ci serve per gestire l’advertising via browser. Arriviamo su uno strumento della Digital Advertising Alliance che si mette a fare un check, un controllo del nostro browser. L’attività richiede del tempo. Non abbiamo idea di cosa stia facendo, ci dice solo che sta verificando la compatibilità del nostro browser col loro strumento. Alla fine ci comunica, inspiegabilmente, che 52 richieste di opt-out sono andate a buon fine ma 79 no, per “questioni tecniche”. Riproviamo, altro tempo di attesa del check, niente da fare. Pensiamo all’articolo sul fitness e agli addominali che avremmo potuto fare nel mentre.
A questo punto torniamo indietro alla seconda società nella lista di quelle su cui fare opt-out e andiamo su Add This, che offre servizi di marketing. Sul suo sito però per prima cosa siamo salutati da un popup sulla cookie policy da accettare per poter andare avanti e per un attimo viviamo un momento alla Inception; o per chi non avesse visto il film, effetto matrioska.
Diamo ok e passiamo al testo della pagina sottostante. C’è un bel bottone con scritto Opt-Out, lo schiacciamo ed è fatta. Questa volta sembra essere andato tutto liscio. Notiamo comunque il testo che dice: “Per fare l’opt-put mettiamo un cookie sul tuo computer”. Sembra un inquietante controsenso ma assicurano che serve per “non usare le tue informazioni per la pubblicità. Tieni presente però che se cancelli, blocchi o restringi i cookies, o se usi un diverso computer o browser, dovrai rinnovare le tue opzioni di opt-out”.
Insomma, basta cancellare i cookies, cambiare dispositivo o browser e si deve rifare tutta la trafila. A questo punto scoraggiati ci fermiamo qua. Ovvero, alla seconda spunta di una tabella di decine e decine di aziende, legata a sua volta alla lettura di un articolo su un solo sito web. Lavoro che comunque sarebbe cancellato in molti casi da un cambio di dispositivo.
“Quello che si vede in questi casi è il risultato dell'implementazione della precedente "direttiva sui cookie". Quel tipo di interfaccia non è per nulla atipico”, commenta ad AGI Claudio Agosti, ricercatore di sicurezza che sta lavorando a vari progetti anti-tracciamento e di indagine degli algoritmi, tra cui uno dedicato a Facebook e un altro dedicato proprio ai cookie. “La GDPR conferisce nuovi diritti e ridefinisce quelli vecchi e secondo me, davanti a queste interfacce, vediamo la scarsa volontà dei siti web a rendere questi diritti accessibili e utilizzabili. La profilazione avviene in modo istantaneo e automatico: bisogna far sì che anche l'esercizio del diritto abbia la stessa semplicità. Prima eravamo nel Medioevo dello sfruttamento dei dati, ora ci si avvicina ad una liberalizzazione del loro trattamento, a patto che l'utente ne sia informato, ne entri volontariamente, e non debba farlo forzatamente per avere accesso a servizi. Ma questa liberalizzazione funziona solo se tutti sono veramente in grado di entrarci, e di usare i propri diritti. Ad esempio occorre realizzare interfacce e strumenti che permettano agli utenti di avere il controllo in tempo reale dei propri dati”.