Google Privacy Sandbox, conciliare profilazione e privacy sbarazzandosi dei cookie - Cyber Security 360

MARKETING ONLINE

Google Privacy Sandbox, conciliare profilazione e privacy sbarazzandosi dei cookie

Si chiama Privacy Sandbox la proposta di Google che consente di aggirare il problema privacy nel marketing online ottenendo risultati comparabili a quelli di una profilazione diretta dell’utente mediante cookie ma utilizzando dati aggregati anonimizzati. Ecco di cosa si tratta e quali impatti potrebbe avere

28 Dic 2020
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

L’intelligenza artificiale al posto dei cookie per profilare gli utenti online in maniera rispettosa della loro privacy: è la soluzione proposta da Google con la sua Privacy Sandbox che promette di cambiare per sempre il nostro modo di navigare in Rete.

L’idea alla base del Google Privacy Sandbox

L’obiettivo dichiarato da Google è quello di garantire la massima riservatezza dei dati personali senza mettere in discussione l’attuale modello di funzionamento del Web che, di fatto, funziona proprio grazie allo sfruttamento di questi dati.

Il Google Privacy Sandbox potrebbe dunque rappresentare una possibile soluzione per trovare il giusto bilanciamento tra la tutela della privacy degli utenti su Internet e i comprensibili interessi delle aziende che necessitano della profilazione degli stessi utenti ai fini di marketing.

Soprattutto, come dicevamo, il Google Privacy Sandbox potrebbe finalmente consentire di superare la tecnologia che sta dietro ai cookie e affrontare in maniera efficace il tema degli strumenti alternativi di tracciamento.

Cookie: cosa sono e a cosa servono

La tecnologia alla base dei cookie, piccole ancore digitali che ricordano a un sito web “qualcosa” di noi (dalle preferenze di impostazioni a quelle di marketing), è davvero interessante e ha rivoluzionato il modo di interagire con gli utenti del web sin dal 1994, quando un programmatore che allora lavorava per Netscape ebbe l’idea di trasferire nel mondo del web il concetto di “magic cookie” (un pacchetto dati che veniva spedito e ritrasmesso senza modifiche, principalmente per finalità di autenticazione, e che veniva utilizzato sin dagli Anni 80 in ambiente Unix).

Da allora, questa idea si è diffusa a macchia d’olio, tanto che oggi è davvero difficile imbattersi in un sito web che non utilizzi questa tecnologia e i browser hanno dovuto evolversi per raccogliere un numero di cookie sempre maggiore (ad esempio Chrome ne consente 180 per dominio, con una dimensione massima complessiva di 4096 bytes).

La reazione normativa ai cookie

Questa straordinaria diffusione ha allertato i legislatori delle varie nazioni con interventi variegati sulla materia.

Sicuramente il legislatore comunitario è quello che più si è distinto in merito, imponendo ai gestori di siti web rivolti a cittadini UE di informare gli utenti riguardo alla presenza di determinati tipi di cookie (attraverso un banner) e di chiedere il consenso per inviarne altri.

L’intenzione del legislatore europeo era quello di offrire all’utente la possibilità di esprimere o meno un libero consenso all’invio di cookie (o quantomeno di certe tipologie di cookie) sul proprio dispositivo.

Come sappiamo non è andata proprio così e la dipendenza di certi siti web (specie quelli che monetizzano sulle inserzioni) dai cookie ha fatto sì che questa normativa vedesse applicazioni distorte, si va dall’invenzione dello “scroll to agree” (del tutto illegittimo) passando per i cosiddetti “cookie wall” che impediscono di fruire dei contenuti di un sito senza prestare assenso all’invio di cookie (anch’essi illegittimi a detta dell’European Data Protection Board) per finire con i vari percorsi ad ostacoli per ottenere l’agognato rifiuto dei cookie, presenti su moltissimi siti web.

Del resto, il problema è anche l’inverso. Data la “fama” negativa che ormai hanno acquisito i cookie, nel momento in cui un soggetto si trova davvero di fronte all’opzione per esercitare il proprio libero consenso al loro invio, è evidente che sceglierà di eliminarli o ridurli il più possibile, generando così due conseguenze:

  • da un lato rischia di peggiorare la qualità della sua navigazione sul web;
  • dall’altro lato finisce per premiare (in termini monetari) la stragrande maggioranza dei soggetti che non hanno un cookie banner adeguato e che secondo un recente studio contano fra le loro fila l’88% dei siti web europei.

Questa difficile situazione, unita al fatto che i siti web europei risultano penalizzati ed appesantiti nella navigazione da questi cookie banner, a tutto vantaggio dei più agili siti stranieri, ha spinto molti alla ricerca di una soluzione alternativa all’uso dei cookie, che fosse rispettosa della privacy “by default.

Il tramonto dei cookie

Un primo importante passo è arrivato dalle innovazioni contenute nei browser web di più recente generazione che superano in parte il problema del cookie banner bloccando di default alcune tipologie di cookie particolarmente invasive.

Ad esempio, Safari dall’inizio del 2020 blocca i cookie di terze parti (con il suo sistema di Intelligent Tracking Prevention (ITP)), Google promette di fare lo stesso su Chrome dal 2022 e Firefox che ha appena implementato la funzione Network Partitioning disponibile sulla versione 85 del browser (che in realtà non blocca i cookie ma l’utilizzo di altri elementi, come i dati di cache che possono servire per tracciare un utente).

La soluzione del blocco dei cookie ha però effetti negativi, andando a ridurre le funzionalità di certi siti web che contano sui cookie per funzionare o per offrire servizi gratuiti agli utenti sostenendosi economicamente con le inserzioni.

Un’altra interessante prospettiva arriva quindi da Google, che da tempo ammette che i cookie sono una tecnologia obsoleta destinata ad essere abbandonata e si propone di superarla la tecnologia dei cookie con un’implementazione privacy oriented.

Naturalmente Google ha anche un interesse diretto verso una gestione delle inserzioni online che coniughi con successo privacy e marketing, in quanto gestisce un quasi monopolio nel mercato dell’online advertisement e visto il fatto che i blocchi dei cookie che iniziano a diffondersi fanno perdere davvero molti soldi all’azienda (è la stessa Google che ci fa sapere che quando i cookie di terze parti sono disabilitati, un inserzionista in media vede le proprie entrate dimezzate).

Questo fatto ci fa anche capire come mai Apple e la Mozilla Foundation sono così solerti nella “guerra” ai cookie mentre Google arranca e pospone al 2022 il blocco dei cookie di terze parti.

Mossa quindi da intenti insieme nobili e meno nobili, Google sta cercando la proverbiale quadratura del cerchio, una profilazione rispettosa, un tracciamento non tracciante, insomma una contraddizione in termini che presenta sfide tecnologiche (e logiche) all’apparenza insuperabili.

Google e il suo Privacy Sandbox

Come spiegato in un recente post sul blog italiano del colosso di Mountain View, l’iniziativa trova spazio all’interno del Privacy Sandbox di Google, un progetto annunciato ancora nell’agosto 2019 che si propone di sviluppare un set di standard aperti ed accessibili che migliorino la privacy degli utenti sul web e garantiscano al contempo il mantenimento di un efficiente marketing online.

Nelle parole dell’articolo comparso sul blog di Google Italia, il cosiddetto Privacy Sandbox è un’iniziativa aperta e collaborativa che vede coinvolti esperti del web e di computer science, insieme ad aziende, associazioni di categoria, publisher e autorità di regolamentazione, con l’obiettivo di definire nuovi standard comuni per il web.

Il progetto è quindi più ampio del semplice superamento dei cookie e coinvolge iniziative volte a limitare il fingerprinting (tecnica di profilazione che prescinde dai cookie e che anche per questo è meno trasparente), regolare le nostre webID (per permettere agli utenti di fare scelte consapevoli quando un sito o ci propone un’autenticazione attraverso un altro account già creato e relativo ad esempio ad un nostro profilo social) e sviluppare i cosiddetti trust token (ovvero token crittografici non-personali – per impedire il tracciamento di chi li utilizza – da poter “spendere” per garantire al sito che stiamo visitando che siamo utenti legittimi e non invece ad esempio degli attaccanti che cercano solo di far aumentare il traffico del sito per farlo saltare).

Nell’ambito di questa iniziativa, Google sta però lavorando anche a una serie di innovazioni per creare un’esperienza online che mira alla qualità e al marketing, senza fare affidamento sui cookie (tecnologia che nel post viene definita in procinto di essere superata).

Queste soluzioni si propongono, in sostanza, di “approssimare la tecnologia pubblicitaria attuale garantendo una maggiore privacy”.

La scommessa di Google per aggirare il problema privacy nel marketing è in sostanza quella di ottenere risultati comparabili a quelli di una profilazione diretta dell’utente utilizzando però dati aggregati anonimizzati.

La proposta Federated Learning of Cohorts (FLoC)

Il pilastro per ottenere questo risultato è il machine learning. La proposta di nome Federated Learning of Cohorts (FLoC) ad esempio si basa su algoritmi di intelligenza artificiale che operano all’interno dei singoli dispositivi (smartphone e pc) senza condividere dati personali all’esterno, per elaborare modelli utili ai fini pubblicitari che facciano a meno di un profilo individuale.

Quindi invece di tracciare un singolo utente mentre naviga, il piano di Google è quello di creare un profilo all’interno del dispositivo dell’utente per poi acquisirlo, aggregare il dato così da renderlo anonimo e creare un profilo preciso (non a livello di singolo individuo ma quasi) per individuare ad esempio il target per una campagna marketing.

In questo modo i dati acquisiti rimangono gli stessi (se non di più), ma Google rinuncia alla profilazione individuale accontentandosi di una approssimazione statistica della profilazione individuale così da evitare problemi con il GDPR e le varie norme che dal GDPR hanno tratto ispirazione in giro per il mondo.

Come dice il nome del meccanismo, “Federated Learning of Cohorts”, il sistema vuole far imparare agli algoritmi di machine learning non il comportamento del singolo utente, ma di “coorti” di utenti che sono state in precedenza “federate” (sempre dall’intelligenza artificiale) sulla base di comportamenti simili.

Non è chiaro però come Google intenda inserire nel dispositivo di ognuno di noi questo profilo (salvo questa profilazione non sia intesa quale strumento riservato ai soli produttori di OS, ovvero appunto Google, Microsoft e Apple).

Soccorre a questo punto il cardine dell’iniziativa privacy sandbox, che secondo le intenzioni dichiarate di Google, dovrebbero essere aperte a tutti e non appannaggio esclusivo del colosso statunitense.

Del resto, se Google tenesse per sé una tecnologia simile, amplierebbe eccessivamente il divario con la concorrenza, che difficilmente potrebbe mettere in piedi un sistema di machine learning all’altezza di quello di Google, con conseguenti attenzioni indesiderabili (per Google) da parte delle autorità antitrust americane ed europee.

Google ha quindi interesse a mantenere viva (anche se ben sotto controllo) una qualche forma di concorrenza.

Conclusioni

Le idee sul tavolo sono molte, è però evidente che c’è ancora molta strada da fare (ed è appunto per questo che Google ha individuato un orizzonte ampio – il 2022 – per il blocco di default dei cookie di terze parti dal proprio browser) e che Google non ha ancora trovato la soluzione definitiva all’annoso problema della privacy nell’online advertising.

Il Privacy Sandbox, quindi, forse è solo un punto di partenza, verso il raggiungimento di una soluzione che coniughi privacy, efficienza e marketing nella navigazione di domani.

Una soluzione che consenta di navigare un web mondato dai banner cookie, rispettoso della privacy e comunque efficiente per il mercato, una soluzione che, forse, non esiste (ancora).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5