Cookie law: cos’è, perché può impedire la profilazione online e quali sono i suoi limiti - Cyber Security 360

TRATTAMENTO DATI ONLINE

Cookie law: cos’è, perché può impedire la profilazione online e quali sono i suoi limiti

La Cookie Law nasce con l’intento di impedire che l’utente venga profilato online senza il suo consenso, ma non sempre questo obiettivo viene raggiunto. Ecco quali sono i suoi limiti e le soluzioni pratiche da adottare per sopperire alle sue inefficienze

14 Lug 2021
M
Andrea Filippo Marini

Chief Business Officer Ermes Cyber Security

I cookie sono dei piccoli file di testo, inviati dai siti Web al browser o all’app che usiamo per navigare su Internet, che consentono di memorizzare sul dispositivo una grossa quantità di informazioni sulla visita; nascono per facilitare la navigazione successiva e migliorare l’esperienza utente, profilando quest’ultimo perfettamente. I cookie, quindi, possono aiutarci nell’esperienza di navigazione, però possono anche spiarci: per evitare che nulla avvenga con l’utente inconsapevole, è nata la Cookie Law.

La Cookie Law in breve

Il tracciamento, revenue model di Internet, in breve tempo è diventato “selvaggio” e globalmente interconnesso, per cui per tentare di difendere l’utente è nata la Cookie Law nel 2015, che distingue i cookie in tre differenti tipologie:

WEBINAR
16 Settembre 2021 - 11:00
Quanto contano per te User Experience e Device Management? Partecipa al Webinar!
Mobility
Personal Computing
  1. cookie tecnici: servono ad effettuare la navigazione o a fornire un servizio richiesto dall´utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito; in questo caso la normativa Cookie Law italiana non prevede di richiedere il consenso preventivo agli utenti con banner riportanti l’informativa in breve;
  2. cookie di profilazione: sono utilizzati a fini di marketing per tracciare la navigazione dell’utente in rete, creando così un profilo dettagliato di quest’ultimo attraverso una profilazione completa sia dei suoi interessi che dei suoi dispositivi. In questo caso la Cookie Law italiana prevede che il consenso dell’utente venga richiesto prima di raccogliere i cookie stessi;
  3. cookie di terze parti: sono impostati da un sito web diverso da quello che l’utente sta visitando; i cookie di terza parte sono leggibili sia sul dominio su cui sono stati creati sia su qualsiasi altro sito capace di leggere il codice del server che lo ha prodotto; questo tipo di cookie è molto poco controllabile dall’utente e lesivo della sua privacy. Quando viene installato un servizio cookie di terze parti, la Cookie Law prevede che lo stesso venga indicato nell’informativa e che venga pubblicato anche il link alla privacy policy di origine, lasciando la notifica a carico della terza parte e non del titolare del sito internet.

Sanzioni previste dal legislatore italiano

A livello giurisprudenziale si sono previste due principali tipologie di sanzioni a seconda che i cookie siano installati senza consenso o se l’informativa è omessa o inidonea:

  • se si installano cookie senza consenso si ha una sanzione dai 20.000 ai 120.000 euro;
  • se è omessa l’informativa o l’informativa è inidonea sui cookie la sanzione va da 6.000 a 36.000 euro,

Web tracker: perché rendono inefficace la Cookie Law

I web tracker sono un’evoluzione dei cookie e sono assimilati ai cookie di terza parte: la vera differenza tecnica è che non salvano niente sul dispositivo ma seguono gli utenti durante la navigazione utilizzando tecniche di fingerprinting.

Grazie alla differente architettura, i web tracker permettono alle aziende commerciali di aggirare la Cookie Law relativamente a raccolta e conservazione dei dati, diminuendo la superficie di rischio da un lato e l’impatto degli eventuali costi dall’altro: le sanzioni relativamente all’installazione sul dispositivo sono aggirate e si incorre solo nei rischi che ricadono nella sfera dell’informativa omessa o non idonea.

Il valore commerciale dei dati raccolti è enorme e per questo le sanzioni previste sono al limite del ridicolo; inoltre i web tracker, più pervasivi ed invasivi dei cookie tradizionali, grazie al fatto che non sia necessario nessuna installazione a bordo macchina, riescono ad ottenere tutte le informazioni minimizzando l’impatto di una eventuale sanzione del 70%.

Pene insignificanti per i trasgressori: le sanzioni rappresentano una voce di costo

Visualizzando in background il comportamento dei web tracker, su parecchi siti i servizi di web tracking si attivano ancor prima che l’utente dia o neghi il consenso: è palese come oramai sia prassi che i committenti chiedano ai webmaster di progettare l’architettura della pagina ignorando completamente quella che è la Cookie Law, perché le sanzioni, quando ci sono, sono trascurabili rispetto ai benefici che ottengono.

Esempi recenti sono, ad esempio, quelli francesi, dove l’autorità CNIL ha sanzionato per 35 e 100 milioni di euro Amazon e Google, per irregolarità relative al consenso ai cookie e al loro utilizzo.

Le aziende hanno pagato immediatamente perché, vista così, la sanzione è equiparabile ad una mera componente di costo del prodotto, per cui l’unica vera azione presa in considerazione dalle aziende non è adoperarsi per essere conformi alle disposizioni del legislatore, ma semplicemente accantonare delle risorse per il pagamento di multe eventuali; qualora la sanzione non arrivi, quell’accantonamento diventa un’ulteriore voce di profitto.

Venendo all’Italia, il Garante della privacy è in cima alla classifica per il valore totale delle sanzioni emesse dall’inizio dell’applicabilità del GDPR con più di 69,3 milioni (circa il 25% del totale UE+UK), e gli importi più elevati comminati non hanno mai superato lo 0,2% del fatturato.

La maggior parte delle sanzioni non derivano dalle violazioni riportate dalle prime pagine dei giornali, come i data breach conseguenti a un cyber attacco, ma bensì sono tutte collegate al trattamento dei dati personali, dalla validità del consenso raccolto dagli interessati al trasferimento dei dati alle società nel cui interesse le attività di marketing vengono svolte.

Inoltre, va anche considerato che il costo da sostenere per fare una cookie policy ben fatta è decisamente superiore a quello di una eventuale multa.

Perché la Cookie Law è inefficace lato esperienza utente

Venendo invece al povero utente, la Cookie Law è nata per difenderlo dal tracciamento selvaggio, ma non mancano gli esempi che mostrano come l’obiettivo non solo non sia stato raggiunto ma sia ben lontano. Di seguito l’esperienza di navigazione su uno dei siti italiani più visitati:

  • dapprima compare il banner dell’informativa, non volendo accettare integralmente si decide di approfondire quali sono le preferenze;
  • la schermata dell’informativa delle preferenze fornisce la possibilità di personalizzare le preferenze relative ai cookie di profilazione e di poter entrare nella categoria partners per accedere alle informative ed alle preferenze di ciascun cookie di terza parte;
  • si apre così il banner che permette di entrare nel dettaglio di ogni singolo web tracker; come si evince facilmente è una missione praticamente impossibile dato che in questo caso sono oltre cento i servizi forniti da una terza parte. Volendo ulteriormente approfondire i servizi, la complessità aumenta perché, nell’esempio di Yandex, la lingua in cui viene fornita l’informativa è il russo.

Come sopperire alle inefficienze della Cookie Law

È palese come la Cookie Law sia stata facilmente aggirata e non tuteli gli interessi del consumatore: sarebbe opportuno che i legislatori rivedessero in toto la normativa, questa volta in favore dell’utente.

Nel frattempo, però, esistono delle possibilità di “difenderci” autonomamente, nonostante le impostazioni di default della maggioranza dei browser Internet facciano sì che i cookie vengano accettati in modo automatico.

Tutte le azioni che erano efficaci per “proteggerci” dai cookie, come bloccarli utilizzando le funzioni del browser (o del sistema operativo in caso di mobile) per la disabilitazione dei cookie oppure utilizzare la funzione di navigazione anonima oggi risultano inefficaci perché con i webtracker non è più necessario salvare nulla a bordo macchina.

L’unico modo di navigare con la sicurezza di non esporre all’esterno dati (in maniera non voluta o inconsapevole) è utilizzare dei sistemi di tracker blocker, che esistono sia per il mercato B2C che per il mercato B2B: nel primo caso l’amministratore è l’utente, nel secondo caso sono gestibili centralmente. Tecnicamente:

  • per i computer si tratta di estensioni dei vari browser;
  • per i dispositivi mobile invece è necessario agire su tutto il dispositivo, dato che la maggior parte della navigazione avviene mediante app, per cui bisogna dotarsi di una VPN locale che filtri tutto il traffico online.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4