L’autorità inglese per la protezione dei dati personali, l’Information Commissioner’s Office (ICO), ha delineato sfide e problemi del contemporaneo digital advertising, il quale dovrebbe sposarsi finalmente con i principi della privacy e della protezione dei dati una volta spogliatosi dei cookie di terze parti (mercato detto da alcuni “cookieless”, di cui si è già trattato varie volte in precedenza).

Nondimeno lo scenario non appare affatto pacificato, anzi i dubbi sulle varie proposte e strategie – da Google e altri operatori dell’ecosistema dell’advertising – sono più che copiosi; l’ICO non ritiene affatto maturo quanto si prospetta per poter affermare di poterci lasciare alle spalle la “società della sorveglianza”, costruita sul tracking onnipresente del marketing, per una società più rispettosa dei diritti e delle libertà delle persone legati ai loro dati personali.

È quanto emerge da un rapporto pubblicato di recente in forma di “opinion”, ovvero “Data protection and privacy expectations for online advertising proposals” del 25 novembre scorso.

L’autorità vuole sensibilizzare il mercato sui punti tuttora critici, specie dopo che in Inghilterra il monitoraggio della tematica era stato formalmente “sospeso” per dare precedenza all’emergenza pandemica, avvisando del riavvio delle analisi e delle indagini per quanto di propria competenza – e non solo, vista la sinergia con l’Antitrust britannica DMA di cui sono già in corso altrettante indagini e approfondimenti, non ultimo un corposo report consumeristico e concorrenziale sul settore.

Nonostante sia ormai compiuta la Brexit, l’Opinion costituisce un documento di forte interesse per tutti i soggetti nella UE, considerato che il “filtro” di lettura dell’ICO è tuttora quello del GDPR e della Direttiva ePrivacy, almeno finché non avvieranno concrete riforme di tali normative. L’ICO resta un ente di grande autorevolezza che in passato ha fornito strumenti, linee guida, codici di condotta o simili supporti informativi e operativi di assoluto valore (pensiamo ad es. alle guide sulle DPIA o al codice per l’attività online verso i minorenni), certamente condivisibili dalle altre autorità continentali.

Segnaliamo che questo documento costituisce una sorta di aggiornamento del precedente report del 2019, ovvero “Update report into adtech and real time bidding”, che già aveva messo in allarme sulle prassi di settore, non certo in linea con la normativa privacy. Dopo lo stop pandemico già menzionato, l’ICO riprende il filo anche per fare il punto su quanto aveva già paventato quasi tre anni fa.

Il report del 2019 e lo stallo del settore

Nel report del 2019 sullo stato dell’adtech e RTB erano delineate diverse criticità. L’autorità puntualizza come quasi tutte tali doglianze siano rimaste inascoltate, ad es. quanto a:

invalida raccolta del consenso a causa di scelte progettuali, mancanza di informazioni chiare e complete sulle finalità per le quali vengono utilizzati cookie e tecnologie simili, oltre all’impiego dell’interesse legittimo come base di trattamento (oltretutto privo di adeguata comprova del test di bilanciamento e delle adeguate garanzie compensative verso l’utente);

a causa di scelte progettuali, mancanza di informazioni chiare e complete sulle finalità per le quali vengono utilizzati cookie e tecnologie simili, oltre all’impiego dell’interesse legittimo come base di trattamento (oltretutto privo di adeguata comprova del test di bilanciamento e delle adeguate garanzie compensative verso l’utente); trattamento illecito di dati particolari (ad es. sanitari) perché privo di un consenso esplicito;

(ad es. sanitari) perché privo di un consenso esplicito; confusione nella supply chain , ingenerando scarsa trasparenza tra i vari soggetti coinvolti e rispettivi ruoli privacy (ad es. quanto al Real Time Bidding), oltre ad appoggiarsi solo su garanzie contrattuali – invece di audit ed effettive verifiche – nei rapporti coi fornitori e terzi;

, ingenerando scarsa trasparenza tra i vari soggetti coinvolti e rispettivi ruoli privacy (ad es. quanto al Real Time Bidding), oltre ad appoggiarsi solo su garanzie contrattuali – invece di audit ed effettive verifiche – nei rapporti coi fornitori e terzi; una profilazione degli utenti comunque sproporzionata, intrusiva e sleale, in spregio alla minimizzazione dei dati e a un’adeguata retention, giovandosi dell’asimmetria, di potere e informativa, esistente tra le parti.

Il danno derivante dalle criticità suddette non è solo individuale ma anche “sociale, con conseguenze collettive”, quando individui o gruppi sono ostacolati o vengono impediti nell’esercizio dei propri diritti.

Tra i danni che l’ICO ravvisa troviamo la mancanza di autonomia e perdita di controllo, la manipolazione e l’influenza da parte dei marketer, l’uso improprio dei dati, la mancanza di riservatezza, le modifiche comportamentali indotte (ad es. pensando di essere costantemente sorvegliati si omettono certi comportamenti), il vulnus alla fiducia sociale, ecc. Un bilancio certamente pesante e amaro.

Le nuove proposte: adtech post-Covid19 e post-cookie

Nella panoramica dell’autorità si descrivono e analizzano molte delle proposte attuali del digital marketing e i loro riflessi privacy. Tra queste troviamo:

proposte di eliminare gradualmente l’uso di cookie di terze parti e altre forme di tracciamento “cross-site” e sostituirli con alternative; una delle principali è il framework di Google Privacy Sandbox (“GPS”) che dal 2023 dovrebbe del tutto sostituire l’uso dei cookie;

che dal 2023 dovrebbe del tutto sostituire l’uso dei cookie; aumento della trasparenza del tracciamento online, come l’ App Tracking Transparency (ATT) di Apple – l’ICO ne ravvisa un sensibile impatto di mercato, sia in termini di numero di utenti che esercitano il controllo sul tracciamento, sia per il mercato stesso (ovvio calo dell’efficacia pubblicitaria);

di Apple – l’ICO ne ravvisa un sensibile impatto di mercato, sia in termini di numero di utenti che esercitano il controllo sul tracciamento, sia per il mercato stesso (ovvio calo dell’efficacia pubblicitaria); meccanismi per consentire agli interessati di indicare le loro preferenze sulla privacy in modo semplice ed efficace;

sviluppo di browser per includere la prevenzione del tracciamento nel loro software.

Il mercato vuole arrivare a sistemi alternativi per effettuare un efficace marketing (ancor meglio: annunci sempre mirati e misurazione del valore degli stessi, per dirla tutta), né è intenzione delle autorità di controllo vietare od ostacolare tali attività.

Il punto è farlo nel rispetto della privacy, per una privacy by design e by default sempre più inscritti nella progettazione di soluzioni come quelle sopra esposte, garantendo trasparenza verso l’utente, controllo significativo sui propri dati, esercizio effettivo dei propri diritti.

L’ICO apprezza alcune proposte, come il passaggio “ad approcci meno intrusivi alla pubblicità online” oppure che alcuni sviluppi stiano “creando tensioni tra il più ampio mercato adtech e gli operatori di browser e piattaforme mobili”. Ogni soluzione proposta dovrà, sempre e comunque, “dimostrare in modo trasparente e responsabile in che modo rispettano la legge e sostengono i diritti degli individui”.

Tracciamento e sorveglianza online, la funzione di cookie e browser

Non sfugge ai conoscitori della normativa che né il GDPR né altre fonti definiscono cosa possa essere il “tracking” online, cioè il tracciamento, il monitoraggio o la sorveglianza di un soggetto a fini di marketing.

L’ICO approfitta di una definizione del World Wide Web Consortium (W3C) per il quale si può intendere come “la raccolta di dati relativi all’attività di un particolare utente in più contesti distinti e la conservazione, l’uso o la condivisione di dati derivati da tale attività al di fuori del contesto in cui si è attuata”. Lato privacy, si intende che possa comprendere attività molto diverse tra loro, per finalità differenti, con modalità e tecniche molteplici, svolte da una pletora potenziale di soggetti.

Si ricorda oltretutto, nel report, che lo strumento principe di questa attività, cioè il cookie, era stato varato per permettere ai siti web di storicizzare e tenere conto delle visite pregresse degli utenti, per fini prevalentemente tecnici. L’Internet Engineering Taskforce (IETF) nel 1997 ne indicava un uso limitato al sito prima parte, per consentire l’utilizzo del sito web visitato e un necessario controllo da parte dell’utente. L’evoluzione seguente di tale strumento (cookie di terze parti, uso marketing, tracciamento cross-site, opacità informativa e consensuale, ecc.) viene additata dall’ICO come paradigma di ciò che può accadere quanto non si considerano i rischi delle tecnologie e non si approntano garanzie e rimedi per arginarli.

Altro tema fondamentale è quello dei browser che – in forza del loro progressivo allineamento nel bloccare i cookie di terze parti, in primis Safari di Apple nel 2017 – stanno portando l’adtech verso nuovi orizzonti.

Lo strumento tecnico e le sue opzioni, sempre più privacy by design, si stanno rivelando più decisivi della normativa, in questo caso, nel mutare l’assetto.

Di strada da fare ce n’è ancora: è vero che nuove tecniche di tracciamento stanno dilagando tramite browser, come il fingerprinting, con effetti ancor più subdoli (il fingerprinting è arduo sia da percepire che da bloccare tecnicamente, molto più dei cookie, allo stato attuale) che rappresentano le nuove sfide per i produttori di browser.

Simile è il discorso circa gli identificatori dei dispositivi, come l’IDFA di Apple, già oggetto di restrizioni in virtù degli aggiornamenti di iOS a partire dalla versione 14 in ottemperanza al framework ATT, a cui pare seguirà analoga mossa da parte di Google per Android.

Google e la sua Privacy Sandbox (GPS)

L’attenzione principale è rivolta alle iniziative di Google, artefice del framework GPS già accennato. Le ragioni sono ovvie:

Google copre la fetta di mercato più rilevante per il digital marketing, pensiamo ad es. alla diffusione del browser Chrome, del sistema operativo Android, all’uso dei suoi cookie di terze parti come Analytics, alla fornitura di annessi servizi di RTB e marketing (AdSense, Google Ads ecc.).

Pertanto, è il player più rilevante sotto la lente delle autorità tutte, le cui decisioni possono di fatto sconvolgere il mercato attuale come lo conosciamo.

L’annuncio nel 2019 di GPS da parte di Google dichiarava proprio l’intenzione di abbandonare i cookie di terze parti, il tracciamento cross-site, l’introduzione di tecniche alternative.

Nel puzzle di Google troviamo più tessere che dovrebbero combinarsi in un insieme omogeneo, tra le quali:

Attribution Reporting , quale misurazione delle conversioni senza utilizzare identificatori cross-site;

, quale misurazione delle conversioni senza utilizzare identificatori cross-site; First Party Sets , quale funzionamento di più domini nella stessa titolarità come se fossero un dominio unico;

, quale funzionamento di più domini nella stessa titolarità come se fossero un dominio unico; Federated Learning of Cohorts (FLoC ), il più noto e decisivo perché connesso all’uso di Chrome, per un targeting mirato per coorti (gruppi omogenei), senza identificazione univoca degli utenti;

), il più noto e decisivo perché connesso all’uso di Chrome, per un targeting mirato per coorti (gruppi omogenei), senza identificazione univoca degli utenti; FLEDGE , quale strumento di remarketing che non permetta però il tracciamento cross-site;

, quale strumento di remarketing che non permetta però il tracciamento cross-site; Trust Tokens , quali mezzi per trasmettere dai siti web una quantità limitata di informazioni e per combattere le frodi online;

, quali mezzi per trasmettere dai siti web una quantità limitata di informazioni e per combattere le frodi online; User-Agent Reduction, quale riduzione dei dati utilizzati dal browser per rimuovere le informazioni più importanti e la possibile identificazione.

Iniziative importanti e promettenti sotto vari profili. Tuttavia l’autorità non è convinta di una loro concreta efficacia, per una serie di ragioni: l’impatto complessivo del GPS sulla protezione dei dati dipenderà dal modo in cui ciascuna delle sue proposte interagisce collettivamente (nel mercato si stanno sviluppando altre proposte da parte di terzi a cui si stanno rivolgendo gli operatori); alcune di queste idee sono tuttora solo in fase di sviluppo, oltre a poter dar luogo a ulteriori vettori di tracciamento (come nel caso di FLoC); non mancano le critiche accese da parte degli operatori del settore, non da ultimo per il maggior controllo e potere che i vari tool possono regalare a Google. Ergo: l’ICO aspetta di saperne di più e i prossimi sviluppi, ricordando che la normativa da rispettare è tecnologicamente neutra e i nuovi approcci non devono introdurre “ulteriori vettori di minacce alla privacy o portare a un maggiore uso delle impronte digitali o di entrambi”.

Sviluppi circa gli identificatori online: il caso TCF di IAB Europe e gli altri

In questa sede abbiamo già discusso del Transparency & Consent Framework di IAB Europe, standardizzazione datata 2018 per l’uso di cookie e identificatori di terzi parti cross-site a uso di sistemi Real Time Bidding, di largo uso internazionale e sposata anche da Google.

Nel rapporto 2019 l’ICO ne aveva già ravvisato varie criticità, per poi sospendere – in costanza della pandemia – i relativi approfondimenti. Ora l’autorità inglese è in attesa della decisione dell’omologa belga che ne sta giudicando la liceità sotto profili come i ruoli nel RTB (con IAB probabile titolare/contitolare), sulla cui base l’ICO si muoverà per eventuali ulteriori iniziative. Nel 2019 si erano già segnalati l’insufficiente trasparenza, un trattamento non corretto e un consenso non libero nè informato.

Altre iniziative importanti citate nel report sono il Global Privacy Control (GPC) – che permetterebbe di notificare ai servizi online le proprie preferenze circa il tracciamento, tramite settaggi del browser, come avviene per la funzione Do-not-track ma con risultati non del tutto in linea con la normativa – e l’Advanced Data Protection Control (ADPC) – sostenuto anche dalla NOYB di Max Schrems, potenziale punto di incontro tra rispetto della privacy e supporto agli inserzionisti, tuttora però in fase embrionale.

L’identificabilità è uno dei concetti chiave su cui le nuove proposte ruotano, parlando talvolta di “anonimizzazione” dei dati.

È necessario ribadire, come fa l’autorità, che questa parola è spesso utilizzata in modo improprio visto che ai sensi del GDPR i dati sono anonimi solo se (Considerando 26) “non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato” (processo irreversibile, che non comporta più applicazione del GDPR), da non confondere col concetto di “pseudonimizzazione” ex art. 4.1.5 GDPR per cui i dati non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive (processo reversibile grazie a tali informazioni) e relativa applicazione del GDPR.

L’ICO segnala che in molti casi la presunta anonimizzazione è di fatto solo pseudonimizzazione (ad es. tramite l’utilizzo di un dato comunque identificativo come l’e-mail, pur mascherata con vari stratagemmi), oltre a mancare adeguata documentazione in regime di accountability che comprovi l’effettività del processo.

Oltretutto si ribadisce che la Direttiva ePrivacy – quanto ad es. alla necessità di consenso – viene comunque applicata alle “informazioni” presenti sul dispositivo utente, che siano dati personali o meno.

Le peggiori idee diffuse nel settore

Nel chiudere il suo report, l’ICO segnala che nell’adtech sarebbe invalse idee sbagliate che minano la corretta comprensione delle varie questioni in gioco. Esempi di tali falle culturali sarebbero i seguenti:

la legge sulla protezione dei dati favorirebbe il concetto di “prima parte” rispetto a quello di “terza parte” (come i termini sono intesi nella prassi settoriale), peraltro alimentando una costante confusione sui ruoli e gli adempimenti collegati, specie pensando ai titolari;

la percezione che i titolari possano fare ciò che vogliono con i dati personali dopo averli raccolti, senza dar conto del principio di finalità inerente al trattamento;

la normativa privacy favorirebbe la divulgazione di dati personali all’interno di un gruppo di imprese, rispetto alla condivisione dei dati tra imprese terze, senza considerare le basi di trattamento, i ruoli di eventuale titolarità/contitolarità di società del medesimo gruppo;

terze, senza considerare le basi di trattamento, i ruoli di eventuale titolarità/contitolarità di società del medesimo gruppo; i big player sarebbero in grado di utilizzare la privacy come una sorta di “scudo”, invocando la legge in modo autoreferenziale, per ostacolare la condivisione dei dati con altre imprese, quando la normativa affida invece all’interessato il potere di decidere a chi e come concedere il trattamento dei propri dati personali.

Da ciò si desume come molti operatori non riuscirebbero a cogliere la disciplina come mirata alla tutela di diritti umani e delle libertà della persona, della dignità della stessa in ogni contesto.

E sarebbe fondamentale, per questo, la predetta collaborazione tra ICO e DMA, cioè tra tutela della privacy e dei consumatori. Auspicando, infine, una sinergia degli operatori per proposte incentrate sugli interessi, diritti e libertà delle persone, allontanandosi il più possibile dall’attuale mercato del tracciamento onnipervasivo.

Richiamando i “soliti” principi sottesi al trattamento dei dati personali (minimizzazione, trasparenza, ecc.) a cui ben pochi paiono guardare nel pensare al domani, l’ICO invita sempre a un approccio risk-based, come richiesto dal GDPR, adeguatamente ponderato, motivato e documentato (ad es. mediante le dovute DPIA).

Speriamo che tutto questo non sia utopico e che il prossimo report dell’autorità accolga finalmente sensibili passi in avanti.

