NEWS

I cookie e la profilazione: il lupo perde il pelo ma non il vizio

Navigando in rete è ormai diventata la normalità trovarsi, all’interno della schermata, un riquadro più o meno evidente, con colori e pulsanti, posto ad avvisarci dell’uso degli ormai famosi cookie. Sono molte le aziende che si affidano a servizi di terzi per mostrare questi messaggi. Ma sono realmente corretti? Oppure ci sono nuove insidie?  Senza gridare allo scandalo, sono emerse delle novità importanti per gli utenti dei siti.

(Nella foto: Paolo Romani, Delegato Federprivacy nella provincia di Lodi)


L’analisi della situazione in modo diretto - Sappiamo, perché ormai storia, le motivazioni che hanno portato ad obbligare le aziende a mostrare gli avvisi: informare l’utente che verrà tracciato e, molto probabilmente, anche profilato.

Non è una cosa da poco, è uno dei fondamenti delle nostre libertà saperlo.

I cookie sono alla fine dei piccoli file che vengono scritti nel nostro computer direttamente dal sito che visitiamo e, normalmente, contengono un codice identificativo simile al codice cliente presente nei nostri gestionali. Certamente non è automatico che associno il nostro nome e cognome, ma tutto il resto come quali siti visitiamo, quali cose leggiamo o le nostre abitudini di navigazione certamente sì.

Per mostrare questi messaggi le aziende utilizzano o sistemi propri oppure, cosa molto più frequente, acquistano il servizio da terzi con la convinzione che questi “terzi” li sollevino da tutti i problemi relativi ai cookie ed alla profilazione.

Infatti la maggior parte di questi messaggi permette all’utente di decidere se attivare o non attivare certi cookie.

Attivando certi cookie o meno in teoria l’utente sarà o meno tracciato e quindi profilato.

Abbiamo fatto un’indagine a campione sui maggiori siti, come i portali di informazione, ma anche siti specialistici. Anche siti aziendali che potremmo definire “normali”.

Questa ricerca la si può fare con i normali strumenti messi a disposizione dei navigatori Internet, anche se per l’occasione abbiamo usato Firefox avendo questo programma una predilezione per la privacy degli utenti.

La procedura fatta è stata semplice, ma ha mostrato in quasi tutti i casi due cose molto particolari, che fanno riflettere sull’effettiva tutela della privacy.

Il primo fenomeno riscontrato, che potrebbe anche ritenersi il meno pericoloso dei due, riguarda proprio la creazione dei cookie che nella teoria necessitano del consenso dell’utente.

Il secondo fenomeno, più insidioso e apparentemente meno noto, riguarda i link di tracciamento, specie per i fornitori terzi che aggiungono funzionalità al sito tra i quali i pulsanti dei like, ma anche link nascosti.

Nonostante abbiamo disattivato i cookie di tracciamento/profilazione, alcuni siti “collegati” a quello in uso hanno comunque ottenuto informazioni sul nostro conto con la medesima efficacia dei cookie attraverso link di tracciamento.

Non solo ad avviso di chi scrive, si tratta di una nuova modalità di tracciatura che vorrebbe scavalcare la normativa dei cookie, cosa apparentemente lecita perché nella forma i cookie non vengono usati.

Sorvolando per un attimo su quei casi nei quali, nonostante il diniego all’uso dei cookie, abbiamo riscontrato invece la permanenza di alcuni di essi per i quali non abbiamo certezza che siano semplicemente tecnici, sembrerebbe invece certo l’uso, all’interno della pagina visitata, il richiamo a link contenenti chiaramente un riferimento univoco dell’utente.

Oltre all’analisi dei dati dettagliati scambiati tra il nostro computer ed i siti su cui stavamo svolgendo l’analisi, Firefox mette a disposizione diversi strumenti tra i quali uno attivo sempre che non solo avvisa della tracciatura ma elenca anche i siti terzi che in quel momento lo stanno facendo.

Spesso attraverso i cookie gli utenti vengono tracciati e profilati

Sembra esserci qualcosa di stonato - A seguito dell’analisi su siti web reali, a detta di chi scrive sorge un problema in relazione non alla norma sui cookie ma, quella più generale, del concetto di profilazione espresso nel Regolamento.

Un utente che disabilita i cookie di profilazione da quel momento avrà la percezione che è “al sicuro”? Probabilmente si, penserà di aver impedito al sito su cui sta navigando di tracciarlo e profilarlo.

E qui si innesca un dilemma molto ampio: il proprietario del sito si sta preoccupando di informare in altro modo l’utente che la sua navigazione verrà, in qualche misura, tracciata e profilata?

Nei siti da noi utilizzati per sondare la situazione la risposta è negativa, perché siti esterni ricevono informazioni sulla mia navigazione collegando un codice univoco creato appositamente.

Ad una analisi superficiale alcuni di questi codici univoci potrebbero essere semplicemente associati, ad esempio, alle inserzioni pubblicitarie che cambiano tra una visualizzazione e l’altra.

Questo però non spiega come mai, nonostante le informazioni visualizzate, sia come contenuto sia come pubblicità, seppur uguali tra di loro, contengano dietro le quinte informazioni diverse se visualizzate su due computer diversi.

La sequenza non è quella giusta - Torniamo al banner/finestra visualizzata al primo accesso di un sito che utilizza cookie non solo tecnici, ovvero quelli non necessari al funzionamento del sito stesso. Quasi senza eccezioni i cookie sono salvati a prescindere della volontà dell’utente.

Non è un’affermazione forte e priva di fondamento analizzando la sequenza, passo dopo passo, con la quale avviene l’operazione su di un comune browser come Firefox o simili, mettendoci appunto dal punto di vista del programma che l’utente utilizza.

L’utente, digitandolo direttamente o tramite altro link, apre il sito web sotto esame. Il navigatore si connette al server del sito e inizia a scaricare tutte le informazioni per visualizzare il contenuto della pagina come il testo, le immagini etc.

Ma in quel momento il server remoto inoltra anche i cookie, teoricamente dovranno essere gestiti da un piccolo programmino di terze parti direttamente sul mio computer, lo stesso che mostrerà all’utente la famosa finestra o banner.

Cosa accade in realtà? In effetti quei piccoli file vengono creati nel computer dell’utente, non tutti, ma una parte importante. Successivamente quando l’utente decide di non consentire l’uso dei cookie, da quel momento il sito non invierà più tali dati o ne impedirà il salvataggio.

Ma questo solo dopo.

Nel frattempo però il navigatore questi cookie li ha nella propria pancia e cosa ne fa? Ad ogni richiesta verso il server sul quale è ospitato il sito web diligentemente li inoltra. Ora, sarebbe corretto che il sito web scarti senza nemmeno guardarne il contenuto di questi cookie, ma quali garanzie vengono date non è assolutamente chiaro.

Dire quali siano le strade a livello tecnico non è il nostro scopo, ma ad esempio da quei siti che quando attivo o meno il consenso viene completamente ricaricata la pagina, magari infastidendoci un po’, è molto più probabile ottenere il rispetto completo della privacy dell’utente.
Cosa dire poi dei cookie di terze parti praticamente fuori dal controllo del sito web visitato i quali rimandano a servizi tutt’altro che necessari all’utente, dati raccolti da aziende Big per fini statistici e di profilazione?

Quale strada è forse meglio percorrere - Leggendo le linee di indirizzo proposte dal Garante, non si può che essere d’accordo con la strada descritta nelle raccomandazioni stesse perché, seppur non fornendo dettagli tecnici adeguati, se lette attentamente permettono di ottemperare agli obblighi senza cadere in tranelli alquanto pericolosi, sia per l’azienda sia per l’utente.

Fondamentalmente non dobbiamo dimenticare la ragione a monte del banner sui cookie, il fatto cioè di far prendere coscienza all’utente di una mano invisibile nell’atto di raccogliere i fatti suoi, ponendolo nella condizione potenziale di poter impedire questo.

Come per l’emissione della fattura sono necessari alcuni dati personali senza i quali non si può procedere è, a mio avviso, simile l’utilizzo di un sito web contenente proprietà intellettuali per accedere alle quali l’utente deve permettermi di gestire l’area al meglio del profitto lecito.

Certo potremmo parlare, in ottica di Regolamento, della minimizzazione dei dati: la raccolta di tutte quelle informazioni eccede rispetto ai diritti e le libertà dell’utente?

Probabilmente no, specie se alcuni dati sono utili per meglio soddisfare le necessità dell’utente.

Non sembra quindi un obbligo dover fornire dei pulsanti di diniego contestuali all’informativa tramite banner, specie se queste non consentono realmente di ottemperare alla norma. È forse meglio informare l’utente di come poter disabilitare i cookie in base al programma di navigazione in uso considerato che, ricordiamocelo, è l’effettivo strumento causa del problema.

O di allontanarsi dal sito in caso non sia d’accordo con il tipo di trattamento. Il proprietario del sito deve ovviamente fare un ragionamento per bilanciare i propri interessi rispetto ai diritti e le libertà dell’utente, valutando attentamente l’efficacia di certi strumenti rispetto all’invasione della privacy.

Meriterebbe un’attenta analisi l’utilizzo massivo dei molteplici strumenti di analisi statistica presenti in alcuni siti web da parte del suo proprietario: mi sono veramente tutti utili?

Non rischio di ottenere dati inutili che rallentano di fatto l’utente?

Forse un domani, quando si arriverà ad uno vero standard condiviso e vincolante tra i produttori di navigatori, nella creazione e gestione dei cookie e di tutti gli elementi traccianti non saranno più necessari programmi di terze parti, in quanto sarà il browser a mostrare un messaggio e gestire realmente ed efficacemente questi piccoli dolci file.

Note sull'Autore

Paolo Romani Paolo Romani

Consulente Privacy e Sicurezza IT presso Delmiele Digital Agency, Delegato Federprivacy nella provincia di Lodi. Professionista certificato Privacy Officer e Consulente della Privacy (CDP) con TÜV Italia.

Prev Didattica digitale, serve anche la cultura della privacy come quotidianità
Next Privacy non prerogativa per ricchi, ma presidio di democrazia

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy