Attenti ad incorporare sul proprio sito web video e contenuti che sembrano rispettare la privacy degli utenti ma hanno il cookie nascosto
La normativa sui cookie che molti conoscono, anche solo per sentito dire, forse fin quasi alla nausea, descrive in quali termini il legislatore abbia voluto delineare nella sostanza il metodo di identificazione di un utente, come al considerando 30 del Regolamento UE 679/2016 (GDPR):
(Nella foto: Paolo Romani, Delegato Federprivacy nella provincia di Lodi)
“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
È ovvio che non si potesse prevedere (o sapere) a livello tecnico quali sarebbero state le modalità con le quali i proprietari di siti Internet più o meno grandi avrebbero implementato tale sistema di identificazione, giustamente si è voluto ricomprendere “identificatori di altro tipo” così da allargare l’applicazione a realizzazioni nuove o non molto note.
Si dà il caso che fin dai primi anni duemila l’uso dei cookie per applicazioni (leggi siti web) di un certo tipo erano, e sono, limitate dalla capacità di memorizzazione dei cookie medesimi. Se un sito volesse memorizzare molte informazioni il cookie si rivelerebbe incapace di operare questa funzione in modo semplice.
Allo scopo di uscire da questa limitazione, nacquero le c.d. “Local Storage”, le quali altro non sono che un normale sistema di salvataggio di “file” da parte del browser in uso.
Questo permise di uscire dal limite di dimensione massima dei cookie, e di avere a disposizione uno spazio molto più ampio, che permette di memorizzare in modo permanente molte informazioni.
Diversamente dai nomali cookie però, questi file presenti nella “Local Storage” sono un po’ più nascosti alla vista, oltretutto ogni produttore di browser ha deciso di sviluppare una propria tecnologia per l’utilizzo di questo spazio di archiviazione.
Questa premessa, sulla possibilità di memorizzazione locale oltre i cookie, è importante per capire quanto segue in termini di rispetto della normativa sul tracciamento degli utenti in rete, non esaurendosi con il cookie la possibilità di mantenere un identificativo univoco collegato al dispositivo dell’utente.
Nella stesura delle informative sui cookie, il consulente privacy si trova oggi tra delegare ad un tecnico informatico la rilevazione dei “biscotti” o affidarsi a qualche sito specializzato, demandando in realtà un problema sicuramente spinoso, non privo di trappole e delle volte per nulla chiaro. Il risultato in questo caso non è dei migliori, perché si corre il rischio, da un lato, di inserire sull’informativa dei cookie un eccesso di informazioni non rispondenti al vero seguendo la filosofia del “meglio in più che in meno”, e dall’altro di mancare di segnalare all’utente una certa situazione frutto dei sistemi tecnologici in uso, probabilmente per pura non conoscenza.
Purtroppo una certa preparazione in ambito tecnologico è fondamentale per evitare di incorrere in abbagli in buona fede, anche solo per riuscire a capire una eventuale relazione del tecnico preposto, e questo punto di vista è certamente pertinente con le “Local Storage”.
Sappiamo che i cookie in origine non avevano lo scopo di identificare l’utente per la profilazione, ma di permettere una certa interazione con il sito web visitato, allo stesso modo la “Local Storage” ha parzialmente abdicato dalla semplice funzione di memorizzare dati.
Giusto per avere contezza dell’impatto di questa possibilità tecnologica, vorrei portare l’esempio di YouTube, che tutti conosciamo e probabilmente utilizziamo quotidianamente, e in alcuni casi video nostri o altrui che sono ospitati su detta piattaforma vengono incorporati sul nostro sito web.
Il portale video YouTube mette infatti a disposizione dei proprietari di siti web la possibilità di incorporare sul proprio sito un video utilizzando il dominio Internet Youtube-nocookie.com, che nel nome già ricorda il teorico scopo della sua esistenza: non rilasciare cookie sul dispositivo dell’utente, tutelando così la sua privacy.
Ma sarà proprio così?
Dalle analisi effettuate in effetti i cookie che il dominio Youtube-nocookie.com rilascia sono limitati ad uno solo, il quale appare non fornire un identificativo preciso, seppur contenente un numero di tre cifre che cambia su ogni dispositivo che già basterebbe ad accendere un campanello di allarme.
Scavando più affondo però, guardando attentamente i dati che vengono scritti nella “Local Storage” troviamo una sorpresa non da poco conto, tenendo presente che il proprietario del sito web (ad esempio la nostra azienda) si sente tranquillo nel rimuovere indicazioni specifiche dall’informativa cookie del proprio sito.
All’interno della “Local Storage” del nostro browser troveremo tuttavia fino a sette “file” creati da questo sedicente dominio cookie-free, e tra questi ne spicca uno in modo specifico chiamato “yt-remote-device-id”, il quale contiene un valore che cambia per ogni dispositivo, con tanto di data di scadenza. Oltretutto, il nome non sembra lasciare adito ad interpretazioni.
Seppur non si trova nell’area de cookie, ha proprio l’aria di un identificativo di altro tipo, come la norma ci prescrive, eppure per la maggior parte dei siti di analisi dei cookie non risulta esistere, in modo specifico e per questo dominio, perché tali “file” vengono creati solo ed esclusivamente all’atto della pressione del tasto “play”.
Non ci è dato sapere se questo tipo di informazione sarà utilizzato o meno per rilevare l’identità digitale dell’utente al fine di tracciarlo e profilarlo, l’unica certezza è che un valore identificativo viene assegnato da un programma ed è inviabile ai server di YouTube.
Quindi, i proprietari dei siti web, oltre a dover giustificare l’utilizzo di servizi made in USA a causa del decaduto Privacy Shield, si ritrovano anche a far i conti con dati nascosti, e nascosti in modo tale da rendere le informative potenzialmente false, quantomeno prive di alcuni elementi fondamentali.
Non solo con il fingerprinting, quel sistema che viene utilizzato per raccogliere molteplici informazioni dell’utente al fine di creare una specie di impronta digitale che lo identifica, spesso fuori dalla possibilità di essere individuati, ma anche con fuorvianti dichiarazioni che mettono in luce criticità alle quali il proprietario di un sito web deve prestare attenzione, anche perché potrebbe informare l’interessato che non è tracciato online quando invece non c’è certezza che sia davvero così.
Oltretutto, con l’utilizzo sempre più ampio delle piattaforme di pubblicazione di contenuti, basta aggiungere qualche funzionalità in più al proprio sito web per attivare processi nascosti e non privi di ripercussioni in termini legali.
Per gli utenti europei, sappiamo che sono stati approntati quei famosi proxy che permettono di filtrare tutto il traffico dei cookie e dei potenziali fingerprinting verso i fornitori di servizi d’oltre oceano, ma non c’è oggi garanzia che riescano ad azzerare tutti quei tentativi di “passare dati personali”. Oltretutto l’utilizzo di questi proxy non è noto alla massa di proprietari di siti web.
Il proprietario di un sito web dovrebbe ridurre al minimo l’utilizzo di elementi terzi, fuori dal proprio controllo, utilizzando il più possibile strumenti che permettano di rimanere “in home” sotto la propria diretta sorveglianza, oppure affidandosi a soluzioni completamente made in UE.