cookies

Behavioural advertising: tre paradossi della privacy ed una proposta

Giangiacomo Olivi, partner, e Marco Leone, associate, DLA Piper

A CURA DELLA REDAZIONE DI LEX24

Non sei ancora abbonato aLEX24?
Per scoprire come farlo clicca qui

Nei prossimi giorni il Governo sarà chiamato ad emanare un decreto legislativo per dare attuazione alla direttiva europea 2009/136/CE, che introduce nell'ordinamento europeo nuove regole per l'utilizzo dei c.d. cookies e di ogni altro strumento informatico ad essi equivalente. I cookies sono piccoli file di testo, che vengono installati nei terminali degli utenti per diverse finalità durante la navigazione su Internet. Alcuni di essi servono a memorizzare determinate scelte o preferenze degli utenti (ad esempio i beni inseriti nei c.d. 'carrelli della spesa' dei negozi online) o ad ottimizzare l'esperienza di navigazione sui siti, potendo pertanto essere utilizzati senza particolari formalità. Altri invece, e tra questi quelli utilizzati dall'industria pubblicitaria per veicolare messaggi coerenti con i gusti e le abitudini di consumo degli utenti (c.d. behavioural advertising), possono essere impiegati, secondo quanto previsto dalla nuova normativa europea, solo se questi ultimi abbiano dato il proprio consenso, dopo essere stati previamente informati in merito al loro utilizzo.


In claris non fit interpretatio, recita un antico broccardo latino (ovvero, se il significato letterale di una norma è chiaro allora non è ammessa l'interpretazione). La direttiva sui cookies è invece tutt'altro che chiara, sia a causa della mancanza di una reale presa di posizione da parte del legislatore comunitario, che ha forse preferito affidarsi all'ambiguità per ricomporre diversi interessi in gioco, sia a causa di una tecnica normativa non proprio felice. Se si considera poi che, nel caso dell'Italia, la confusione è aggravata da un vistoso errore nella traduzione del testo della direttiva (si legge che il consenso dell'utente deve essere stato dato 'preliminarmente' all'installazione di cookies, ma tale avverbio non compare nelle traduzioni nelle altre lingue europee), si possono comprendere facilmente le ragioni della 'guerra di religione' che sta caratterizzando il recepimento di questa direttiva.


Da un lato, infatti, le Autorità garanti della privacy nei diversi Stati Membri sostengono che quando la direttiva menziona il consenso degli utenti quale presupposto indefettibile per l'installazione dei cookies, essa si riferisce ad un consenso preliminare ed esplicito (c.d. opt-in). Dall'altro, gli editori ed i pubblicitari online ritengono che la direttiva richieda soltanto che gli utenti siano previamente informati circa l'utilizzo dei cookies e che il consenso degli stessi possa essere desunto dalla scelta di continuare a navigare nonostante l'informativa ricevuta o dalle impostazioni del browser utilizzato per navigare, fermo restando il diritti degli stessi di opporsi in qualsiasi momento a ricevere ulteriori cookies (c.d. opt-out).

Tralasciando in questa sede l'analisi delle difficoltà tecnico-operative che comporterebbe l'adozione del sistema di opt-in, problema tutt'altro che secondario e che, oltre a poter compromettere l'esperienza di navigazione sul web a cui siamo abituati, determinerebbe ingenti costi di adeguamento da parte delle imprese, scopo di questo articolo è di evidenziare alcuni paradossi originati da un approccio alla tutela della privacy online fondato sul consenso degli utenti. La tesi è cioè che una regolamentazione formalmente rigorosa ed imperniata sulla libertà di autodeterminazione degli individui potrebbe in realtà generare effetti avversi proprio sui quei diritti che si vorrebbero tutelare.

Il primo è il paradosso dell'identificazione. La normativa europea prevede che le nuove regole non si applichino ai cookies necessari a fornire un servizio richiesto dall'utente. Molti operatori, anche per far fronte al prevedibile calo degli introiti pubblicitari, garantiranno l'accesso ai propri siti solo agli utenti previamente registrati, subordinando contrattualmente l'accesso ai contenuti alla possibilità di installare cookies e veicolare pubblicità comportamentale. Attualmente l'industria pubblicitaria costruisce dei profili approssimativi con metodo probabilistico attorno a codici numerici (ad esempio gli indirizzi IP), che non consentono di identificare immediatamente la persona fisica ed essi associata. La registrazione degli utenti porterebbe invece ad una piena identificazione degli stessi ed alla conseguente costruzione di profili molto dettagliati, non più basati su stime e deduzioni ma su informazioni oggettive riferite a persone reali. Altri operatori sceglieranno, invece, di cambiare completamente il modello di business, rendendo a pagamento ciò che ora è offerto gratuitamente solo grazie agli introiti pubblicitari. Gli utenti potrebbero dunque ritrovarsi nell'indesiderabile condizione di aver barattato un'offerta di servizi gratuiti a fronte di una moderata ed imperfetta profilazione con un'offerta dei medesimi servizi al costo di una maggiore profilazione o a pagamento.

Il secondo è il paradosso dell'incentivazione avversa. Un sistema di opt-in, compromettendo i modelli di business che sostengono l'economia della rete e potendo così mettere a rischio la sopravvivenza delle imprese del settore, favorirebbe gli operatori extra UE, che sono tipicamente soggetti a regole più blande in materia di privacy. Il prezzo da pagare è in termini di minore tutela. Nonostante, infatti, la normativa europea si applichi formalmente anche agli operatori extra UE che fanno ricorso ai cookies, l'esperienza ha dimostrato che esistono scarsissime possibilità di enforcement nei confronti di questi soggetti, che peraltro sono tra i pochi in grado di costruire profili veramente completi e certamente gli unici ad avere la possibilità di 'schedare' buona parte degli internauti del pianeta. L'asimmetria regolamentare tra Europa e Stati extra EU, avvantaggiando gli operatori stabiliti in questi ultimi, determinerebbe inoltre una sostanziale delocalizzazione dell'industria pubblicitaria europea, che, si badi, è fondamentale per la sopravvivenza dell'economia della rete e per la sussistenza di quella vasta offerta di servizi e contenuti (apparentemente) gratuiti a cui siamo abituati. Il risultato potrebbe essere quello di incentivare la migrazione dei dati dei cittadini europei verso Paesi che non offrono adeguate garanzie sul rispetto della privacy, cagionando al contempo un grave danno all'economia digitale, che è l'unica a mostrare un trend positivo in questo momento storico di recessione.

Il terzo è il paradosso della libertà inconsapevole. Il sistema di opt-in, e - seppur con diverse modalità - anche quello di opt-out, lasciano agli utenti la libertà di scegliere se ed in che misura autorizzare l'installazione di cookies nei propri terminali ed il conseguente trattamento dei propri dati personali. A ben vedere si tratta di una falsa libertà. La normativa europea disciplina allo stesso modo sia gli spyware (ed altri simili software malevoli) che i cookies (e le altre simili tecnologie) utilizzati per veicolare pubblicità comportamentale o valutare la performance commerciale dei siti Internet (c.d. analytics cookies). Posto che è inaccettabile che strumenti così diversi per funzionamento, finalità e potenziale di pericolosità per gli utenti siano soggetti alle medesime regole, i sistemi di tutela imperniati sul consenso possono essere dunque molto rischiosi, perché non c'è alcun limite a cioè che può essere legittimato dal consenso dell'utente. Si aggiunga che tipicamente l'utente medio, da un lato, non legge le privacy policy sui siti Internet (o, se lo fa, difficilmente ne comprende pienamente il significato) e che, dall'altro, vi è una radicata tendenza ad accettare passivamente qualsiasi cosa pur di arrivare rapidamente al contenuto desiderato. È pertanto di tutta evidenza che lasciare agli utenti la facoltà di definire il limite di ciò che è socialmente accettabile, in assenza di un livello di consapevolezza adeguato, può produrre risultati tutt'altro che desiderabili in termini di tutela della privacy.

Dall'analisi dei paradossi scaturisce una proposta per uscire dall'impasse. Se è vero che il sistema di opt-in è inefficace e tecnicamente difficile da realizzare, si assuma il legislatore europeo, di concerto con tutti i portatori di interesse, la responsabilità di stabilire se ed in che misura i cookies pubblicitari possano essere utilizzati per costruire profili di utenti non registrati, specificando termini massimi di conservazione dei profili, indicando che tipo di informazioni possano essere raccolte, vietando il trattamento di dati sensibili o di altri dati meritevoli di tutela, imponendo l'adozione di specifiche misure di sicurezza, anche se del caso prescrivendo l'uso di tecniche di anonimizzazione - che sono già disponibili sul mercato. Si tratta, in altri termini, di sterilizzare a monte i rischi per la privacy degli interessati, consentendo al contempo all'industria pubblicitaria di sopravvivere e di svolgere la propria importante funzione a sostegno dell'editoria online e dell'economia digitale. Stabilito il livello massimo di profilazione consentito dalla legge, si potrebbe comunque imporre all'industria di concedere un diritto di opt-out, per tutelare quegli utenti che dovessero ritenere anche tali trattamenti come lesivi della propria privacy. Questo tipo di soluzione segnerebbe il passaggio da un modello di tutela della privacy di tipo burocratico-procedurale ad un nuovo e più moderno approccio tecnologico, mirante non solo all'effettività ma anche alla semplificazione.

Strumenti e servizi

CERCA UN AVVOCATO
   
Vetrina