Da anni, Google annuncia di voler escludere i cookie di terze parti. Dal 2024 inizierà a concretizzarsi il piano che secondo la roadmap dovrà completarsi alla fine di quest’anno.
Le motivazioni di Google sono strettamente connesse agli obiettivi che l’azienda statunitense si è posta, tra i quali il lancio di nuove tecnologie di tracciamento usando il browser Chrome.
Il nuovo approccio però apre ad alcuni pericoli sia nel generale trattamento dei dati personali da parte dell’azienda di Mountain View, sia per il fraintendimento che potrebbe generare tra imprese, agenzie di comunicazione e gli stessi consulenti privacy.
Bisogna infatti ricordare che nel linguaggio comune, come anche nella banalizzazione che avviene sul tema cookie, qualcuno potrebbe pensare che la normativa e le linee guida sui cookie sia superata.
Proprio perché consapevoli di questi rischi e perché attenti alle problematiche del tracciamento, alcuni garanti della privacy, come quello francese[1] e italiano, avevano nominato le loro linee guida menzionando non solo i cookie ma altri sistemi di tracciamento.
La definizione di trattamento dei dati personali del GDPR
Per meglio definire il perimetro del tema, è bene ricordare la definizione di trattamento che il GDPR presenta nell’art.4:
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il trattamento dei dati personali attraverso i cookie
Come si può vedere, ed è bene ricordarlo, il trattamento non è legato alla memorizzazione dei dati personali. Anzi proprio l’espressione qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, consente di considerare proprio le nuove tecnologie come l’analisi del comportamento o il trasferimento di dati personali attraverso API, secondo le nuove funzionalità di Google Chrome, come un vero e proprio trattamento di dati personali alternativo ai cookie.
Infatti, quando leggiamo la definizione di Google Signals leggiamo: “Google Signals include i dati di sessione provenienti dai siti e dalle app che Google associa agli utenti che hanno eseguito l’accesso ai propri Account Google e che hanno attivato la personalizzazione degli annunci. Questa associazione di dati con gli utenti che hanno eseguito l’accesso consente di creare report cross-device, utilizzare il remarketing cross-device ed esportare le conversioni cross-device in Google Ads.”
Come si può leggere, l’uso di G4 apre diverse problematiche che l’abbandono dei cookie non risolve. Sorge anche il problema che questa tecnologia, se non anonimizzata, richiede il consenso dell’interessato, ma anche una serie di valutazioni di conformità del titolare del trattamento dei dati personali, anche se i dati sono anonimizzati, visto che non possiamo escludere la capacità tecnica di Google di identificare comunque l’interessato.
Migliorare le raccomandazioni sui sistemi di tracciamento
Non è questo il luogo per affrontare tematiche riguardanti la configurazione delle tecnologie Google, il fatto rilevante è che la criticità legata all’abbandono dei cookie da parte della stessa Google implica una particolare attenzione sull’uso delle sue tecnologie applicate al trattamento dei dati personali. Per cui il punto di partenza è sempre la definizione, applicando il principio della privacy by design, di quali siano i dati personali di cui veramente si ha bisogno di trattare, minimizzarli allo stretto necessario e definire tutte le misure tecniche e organizzative adeguate.
Va ricordato anche il Considerando 30 del Regolamento che espressamente afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Il Garante francese sottolinea che proprio l’evoluzione delle tecnologie nel settore on line rende necessario intervenire per migliorare le raccomandazioni sui sistemi di tracciamento:
“L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.[2]”
Inoltre, nel trattare la materia, il CNIL non distingue tra cookie e non cookie e fornisce regole uniformi, applicabili comunque.
Questo vuol dire che se anche non si installano dei cookie, nel momento in cui si usano sistemi di tracciamento al di là delle necessità tecniche, bisogna acquisire il consenso seguendo le regole del consenso: banner, raccolta del consenso per espressione esplicita[3].
Le linee guida del Garante della privacy
Anche il nostro Garante, aggiornando le linee guida sui cookie e altri sistemi di tracciamento, sottolinea due aspetti importanti, se non fondamentali:
- nuove tecnologie
- cambiamento dei comportamenti degli interessati
Il Garante, infatti, sottolinea l’evoluzione comportamentale degli stessi utenti della rete, sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network. Il monitoraggio e l’incrocio di dati personali da più fonti, come i social, può consentire la creazione o costruzione di un profilo personale ricco e complesso.
In pratica quella che può sembrare la frammentazione dei dati personali dei singoli utenti, diventa, grazie alle capacità di calcolo e di analisi di software specifici, un fascicolo tra i più completi e precisi di ogni interessato.
Inoltre, proprio dedicando un paragrafo agli altri trattamenti di tracciamento il Garante sottolinea un dato ancora più rilevante e preoccupante:
“ll medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (la totalità dei quali può essere distinta tra i c.d. “identificatori attivi”, come appunto i cookie, e “passivi”, questi ultimi presupponendo la mera osservazione), che consentono di effettuare trattamenti analoghi a quelli sopra indicati.
Sussiste tuttavia una non trascurabile differenza, sulla quale l’Autorità intende porre l’accento, tra l’impiego di una tecnica attiva quale quella relativa ai cookie ed una passiva, come quella relativa al fingerprinting (esempio indicato dal Garante come altro sistema di tracciamento).
Nel primo caso, infatti, l’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.
Diversamente, con riguardo al fingerprinting e agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza[4]”.
Tracciamento, profilazione e marketing automation
I vari metodi di tracciamento hanno la funzione di favorire la profilazione degli interessati nel ruolo di consumatori e successivamente sfruttare al meglio strumenti di marketing automation per aumentare le vendite dei prodotti.
Questo implica una serie di trattamenti dei dati personali come “raffronto”, “strutturazione” e “interconnessione” per analizzare i dati usando fonti di dati e informazioni presenti in altre banche dati o deducibili attraverso algoritmi di analisi.
Tutto questo amplifica la necessità di seguire con maggiore rigore le norme del GDPR riguardanti la valutazione di impatto, il ruolo del DPO e il registro del trattamento dei dati personali, oltre alle misure di sicurezza dell’art.32.
In pratica superare i cookie di terze parti attraverso nuove tecnologie, all’apparenza meno invasive, non vuol dire avere più garanzie. Anzi quel maledetto file di testo, così semplice nella sua strutturazione, era più gestibile dagli utenti rispetto alle nuove metodologie e tecniche di tracciamento.
In qualche modo il titolare del trattamento dei dati personali deve ancora con maggiore responsabilità dimostrare la propria accountability seguendo tutti i principi del GDPR.
Note
- Il CNIL, garante francese, ha emesso nel 2020 “Cookies et autres traceurs: la CNIL publie des lignes directrices modificatives et sa recommandation” https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/lignes-directrices-modificatives-et-recommandation ↑
- https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/lignes-directrices-modificatives-et-recommandation ↑
- Il consenso non si può dedurre dal comportamento, come navigare il sito web. ↑
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876 ↑
