LA GUIDA DELLO IAB

Cookie di terze parti per fini di marketing: linee guida e best practice per il mercato digitale

Una corretta gestione dei cookie di terze parti per fini di marketing consente di evitare il rischio di illecito normativo e di avviare una campagna marketing come prefissato, raggiungendo l’audience programmata e senza minare la fattibilità stessa di una promozione. Ecco le best practice

29 Giu 2020
L
Gianmaria Le Metre

Avvocato, Studio legale d’Ammassa & Partners

M
Andrea Michinelli

FIP (IAPP), Studio legale d’Ammassa & Partners


Dopo Safari (pioniera nel 2017) e Mozilla Firefox (dal 2018), anche Google Chrome (browser utilizzato da circa il 65% degli utenti) sta pianificando per il 2022 la rimozione dell’utilizzo dei cookie di terze parti, strumenti ampiamente utilizzati da soggetti titolari di domini diversi da quello che sta visitando l’utente, i quali possono effettuare attività di monitoraggio e retargeting di quest’ultimo, nonché fornirgli materiale pubblicitario personalizzato sfruttando i dati contenuti nella cronologia dell’internauta.

Si pensi agli esempi stranoti e diffusi dell’utilizzo di cookie come quelli di Google Analytics/AdSense e i pixel di Facebook che – se non debitamente pseudonimizzati e vietati per l’eventuale “incrocio” con dati terzi – rientrano nella categoria qui esaminata.

In questo scenario “apocalittico” per il mercato digitale (così l’ha definito il Financial Times), l’Interactive Advertising Bureau (IAB) – importante organizzazione internazionale del settore marketing, proponente anche un proprio framework sulla trasparenza e i consensi – è intervenuto recentemente con un documento di studio denominato “Guide to the Post Third-Party Cookie Era”: si propone di dare una prima risposta a diversi quesiti di estremo interesse e dissipare alcune preoccupazioni sollevate dagli operatori del settore.

Cookie e traccianti

Giova premettere che quanto riguarda i cookie si estende anche a meccanismi analoghi di tracciamento. Per contestualizzare: quando parliamo di cookie, ci riferiamo a strumenti adottati dai browser nel web, dunque sostanzialmente di applicativi desktop per PC e assimilati.

Mentre app e dispositivi mobili utilizzano altri identificativi (ad es. IDFA, AAID, MAID ecc.), senza che muti alcunché circa la disciplina applicabile: ai sensi dell’art. 122 D.lgs. 196/2003 sono comunque strumenti per “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate”.

Tecnicamente, dunque, a seconda del contesto il meccanismo potrà essere diverso ma comportare gli stessi risvolti normativi.

Consenso e monitoraggio/profilazione: il quadro normativo

Il dato di partenza è noto: attualmente, le disposizioni normative in ambito privacy e applicabili ai cookie si presentano a livello globale in un quadro vasto e piuttosto frammentato.

La Direttiva e-privacy (Direttiva 2002/58 CE), il GDPR e il California Consumer Privacy Act (CCPA), per citare le più rilevanti, sono tutte normative che comunque prevedono la prestazione di un consenso (opt-in) per la condivisione, a fini di marketing, di dati personali con terze parti.

Ciò significa che rispetto al passato gli utenti sono più consapevoli dei diritti in materia di dati personali e che le aziende devono fare del proprio meglio per rispettare le leggi relative al loro utilizzo per scopi pubblicitari, prendendo in considerazione miglioramenti significativi, sia in termini di tecnologici che di policy aziendale, per essere in grado di profilare lecitamente il pubblico del web.

È opportuno segnalare che anche l’EDPB è recentemente intervenuto in merito ai cookie, con le rinnovate proprie Linee guida sul consenso (Guidelines 05/2020 on consent under Regulation 2016/679). L’ente ha specificato che non rispetta i requisiti di libertà del consenso, richiesta dal GDPR, la visualizzazione e utilizzo di una pagina web subordinata all’accettazione in blocco di tutti i cookie (c.d. cookie wall) e, inoltre, che il mero scrolling di una pagina non è considerabile una manifestazione chiara, positiva e inequivocabile di prestazione del consenso.

Tuttavia, sebbene abbia fornito precisazioni attese da tempo e su cui si stavano dividendo le varie autorità di controllo europee, l’EDPB non ha precisato nulla di nuovo sul tema dei cookies di terze parti, posto che i requisiti di trattamento restano quelli del GDPR a cui si sommano quelli del D.lgs. 196/2003 (a recepimento della Direttiva ePrivacy).

L’evoluzione dei browser

Oltre a rispettare le suddette leggi, molte aziende si sono attivate proattivamente nell’offrire una maggiore tutela ai propri utenti in termini privacy, riconsiderata ora come un vantaggio competitivo.

Come accennato, Firefox (Mozilla), Edge (Microsoft), Safari (Apple) e Chrome (Google) nel corso degli anni hanno sempre più sviluppato nuove funzioni che permettono di bloccare i cookie di terze parti.

Se i primi tre hanno già implementato delle tecnologie che impediscono il funzionamento della maggior parte dei cookie di terze parti, Chrome (di Google) introdurrà Privacy Sandbox, fornendo al settore della pubblicità digitale uno strumento che utilizza dei dati anonimi e cinque interfacce (API) di programmazione volte a ricevere dati aggregati.

Il blocco degli annunci (Adblocking)

Relativamente al blocco degli annunci, com’è noto la maggior parte dei browser hanno iniziato a incorporare delle estensioni per attivare tale funzione, a favore degli utenti sempre più infastiditi dai continui popup e altri messaggi che fioccano visitando i siti web.

Timori in ambito privacy (data leakage), ragioni di sicurezza (ad es. malware), un caricamento più rapido di siti web, meno distrazioni, risparmio sulla larghezza di banda (specialmente su dispositivi mobili) e sulla batteria sono tutte ragioni che hanno portato gli utenti a utilizzare sempre più frequentemente gli Adblocker.

A ciò si aggiungono i meno noti blocchi pubblicitari indiretti implementati dalle applicazioni antivirus, col risultato complessivo di ridurre considerevolmente gli annunci “personalizzati” frutto dell’analisi dei cookie raccolti e, dunque, di frustrarne l’efficacia.

L’impatto sugli stakeholder e l’industria in generale

L’industria della pubblicità digitale ha precedentemente osservato come le novità in ambito privacy e di gestione del dato personale talvolta conferiscono, involontariamente, una posizione sempre più dominante alle piattaforme proprietarie degli OTT – Over-the-top (come Google e Facebook, per intenderci).

In una nuova era senza cookie di terze parti, se da un lato queste piattaforme proprietarie saranno comunque in grado di fare targeting sulla base di una potenziale enorme base di dati di prima parte, d’altro lato potrebbero imporre delle limitazioni e restrizioni a danno della concorrenza e della trasparenza verso gli inserzionisti.

La perdita dei cookie di terze parti rischia di avere un maggiore impatto sugli inserzionisti che su tali big players. Come affrontare il problema? Una possibile soluzione ravvisata dallo IAB è nell’open internet: al giorno d’oggi, infatti, gli inserzionisti possono concentrarsi sui rapporti diretti con i propri utenti, oltre a puntare a collaborazioni con piccoli editori a prezzi competitivi.

Rivolgersi esclusivamente a piattaforme OTT può portare l’inserzionista ad avere delle limitazioni sia sul range di pubblico che di dati analizzabili.

Inoltre, la pubblicità potrebbe essere una soluzione data agli editori che ancora oggi faticano a convertire i propri utenti da free a premium: attraverso un virtuoso meccanismo di advertising anche i piccoli editori potranno sostenere gli sforzi per restare competitivi nell’era digitale.

Lato utenti, avere la possibilità di godere di un’informazione pluralista, attendibile e non incentrata nelle mani di pochi grossi editori è senz’altro un beneficio di non poco conto.

In sintesi, lo IAB sottolinea come divenga fondamentale per inserzionisti ed editori – anche di piccole e medie dimensioni – ottenere il massimo sfruttamento dei cookie e altri strumenti di prima parte. In tal modo, infatti, sarà possibile sia raggiungere con successo i propri consumatori, sia monetizzare con una “nuova” forma pubblicitaria.

Lato privacy, rammentiamo che non vi sono cambiamenti rispetto al regime opt-in valevole per i cookie di terze parti, anzi saranno maggiori il controllo e la trasparenza rivolti verso i propri utenti.

Effetti della rimozione dei cookie di terze parti sulle campagne digital

L’assenza dei cookie di terze parti avrà un impatto sulle campagne pubblicitarie digitali meno significativo di quanto ci si possa aspettare, secondo lo IAB.

Quanto alla rilevazione di frodi e al monitoraggio della sicurezza sul marchio (Ad Verification), i cookie di terze parti sono strumenti ampiamente superati dalla maggior parte dei fornitori. Più problematica è la questione relativa alla misurazione della visibilità online.

Posto che nei prossimi mesi i cookie di terze parti non saranno del tutto dismessi ma gradualmente mischiati a quelli di prima parte, lo IAB ipotizza diverse soluzioni che qui possiamo solo accennare, come ad es. partnership tra editori, network e società di misurazione, progetti di analisi specifica attraverso sondaggi e comparazione tra dati di vendita e media utilizzati, collaborazioni con editori in grado di identificare l’esposizione dei propri utenti sulle proprie piattaforme e altro ancora.

Soluzioni e suggerimenti per sostituire l’uso dei cookie di terza parte

La guida dello IAB mostra diverse soluzioni che possono essere raggruppate in tre tipologie di approcci alternativi, ricordando che il trattamento dei dati personali tramite i contatti in proprio possesso dovrà sempre rispettare i presupposti consensuali, specie nel caso delicato della profilazione:

  1. soluzioni basate sull’identità: lo IAB indica ad es. il CRM e la posta elettronica quali validi strumenti attraverso cui è possibile fare campagne pubblicitarie personalizzate sfruttando un dato (l’indirizzo e-mail) che rispetto al cookie di terza parte è più resiliente, indipendente dalle piattaforme e più compliant rispetto a quanto richiesto dal GDPR;
  2. analisi di vari dati pubblicitari per prendere decisioni di targeting, in ottica predittiva, come l’engagement dell’utente ecc.;
  3. targeting contestuale: a differenza dei cookie, il targeting contestuale non è focalizzato sulla cronologia e i dati passati dell’utente ma su una più profonda analisi del contesto di comportamento utente nella pagina (ad es. la ricerca di parole chiave presenti nella pagina web).

Come contribuire allo sviluppo delle diverse soluzioni

La Guida, infine, suggerisce una serie di contributi che possono aiutare lo sviluppo di diverse soluzioni.

Tra le più importanti citiamo: soluzioni indipendenti della categoria advertising, quali il progetto REARC dello IAB Tech Lab che mira a trovare delle risposte sia sul piano tecnologico che sul piano normativo; contributi resi dal W3C e da parte dei browser stessi, i quali talvolta (come nel caso di Google Chromium e Mozilla Gecko) danno la possibilità di contribuire allo sviluppo stesso; soluzioni proposte da autorità di controllo dei dati personali (come potrebbero essere ad es. codici di condotta settoriali ai sensi del GDPR, oppure linee guida come quelle dell’EDPB o delle singole autorità di controllo nazionali).

Conclusione

Riassumendo, lo IAB dipinge uno scenario per il settore come il seguente:

  • diventeranno inutilizzabili i dati di terze parti attualmente utilizzati per il targeting del pubblico;
  • il retargeting e la maggior parte delle forme di targeting creativo dinamico diventeranno inattuabili;
  • le piattaforme di gestione dei dati (DMP) non potranno creare collegamenti tra dati e identità degli utenti nel modo in cui lo fanno oggi.

Ecco perché è importante per gli operatori anzitutto sapere come stanno utilizzando i cookie di terze parti, quali alternative sono sostenibili per il proprio business, se e come si può contribuire a proporre alternative.

Chi opera nel settore dovrà essere aggiornato sulle soluzioni che via via potranno essere implementate per riconfigurare un’attività che dovrà per forza avere un passo diverso rispetto al passato, in linea con una normativa sempre più complessa ed esigente verso gli operatori, oltre che mutevole (si badi al sempre rinviato Regolamento ePrivacy a complemento del GDPR che un giorno potrebbe essere approvato).

Utilizzando la guida dello IAB come strumento di partenza e riflessione, riconfigurando i propri strumenti e le proprie strategie, soppesando i risvolti e la fattibilità giuridica delle alternative.

Oltre al rischio di illecito, si può correre quello di non poter avviare una campagna come prefissato e di non poter raggiungere l’audience programmata, minando la fattibilità stessa di una promozione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5