Privacy

Cookie per fini di marketing: la guida dello IAB

Secondo lo IAB, per inserzionisti ed editori è fondamentale ottenere il massimo sfruttamento dei cookie e altri strumenti di prima parte. Il quadro normativo

24 Set 2020

Andrea Michinelli

avvocato, CIPP/E, CIP/M, studio legale d’Ammassa & Partners

Gianmaria Le Metre

avvocato, studio legale d’Ammassa & Partners

Dopo Safari (pioniera nel 2017) e Mozilla Firefox (dal 2018) anche Google Chrome (browser utilizzato da circa il 65% degli utenti) sta pianificando per il 2022 la rimozione dell’utilizzo dei cookie di terze parti, strumenti ampiamente utilizzati da soggetti titolari di domini diversi da quello che sta visitando l’utente, i quali possono effettuare attività di monitoraggio e retargeting di quest’ultimo, nonché fornirgli materiale pubblicitario personalizzato sfruttando i dati contenuti nella cronologia dell’internauta. Si pensi agli esempi stranoti e diffusi dell’utilizzo di cookie come quelli di Google Analytics/AdSense e i pixel di Facebook che – se non debitamente pseudonimizzati e vietati per l’eventuale “incrocio” con dati terzi – rientrano nella categoria qui esaminata.

In questo scenario “apocalittico” per il mercato digital, l’Interactive Advertising Bureau (IAB) – importante organizzazione internazionale del settore marketing, proponente anche un proprio framework sulla trasparenza e i consensi – è intervenuto recentemente con un documento di studio denominato “Guide to the Post Third-Party Cookie Era”: si propone di dare una prima risposta a diversi quesiti di estremo interesse e dissipare alcune preoccupazioni sollevate dagli operatori del settore.

Cookie e traccianti

Giova premettere che quanto riguarda i cookie si estende anche a meccanismi analoghi di tracciamento. Per contestualizzare: quando parliamo di cookie, ci riferiamo a strumenti adottati dai browser nel web, dunque sostanzialmente di applicativi desktop per PC e assimilati. Mentre app e dispositivi mobili utilizzano altri identificativi (ad es. IDFA, AAID, MAID, ecc.), senza che muti alcunché circa la disciplina applicabile: ai sensi dell’art. 122 D.Lgs. 196/2003 sono comunque strumenti per “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate”. Tecnicamente, dunque, a seconda del contesto il meccanismo potrà essere diverso ma comportare gli stessi risvolti normativi.

Il quadro normativo relativo al consenso e al monitoraggio/profilazione

Il dato di partenza è noto: attualmente, le disposizioni normative in ambito privacy e applicabili ai cookie si presentino a livello globale in un quadro vasto e piuttosto frammentato. La Direttiva e-privacy (Direttiva 2002/58 CE), il GDPR e il California Consumer Privacy Act (CCPA), per citare le più rilevanti, sono tutte normative che comunque prevedono la prestazione di un consenso (opt-in) per la condivisione, a fini di marketing, di dati personali con terze parti. Ciò significa che rispetto al passato gli utenti sono più consapevoli dei diritti in materia di dati personali e che le aziende devono fare del proprio meglio per rispettare le leggi relative al loro utilizzo per scopi pubblicitari, prendendo in considerazione miglioramenti significativi, sia in termini di tecnologici che di policy aziendale, per essere in grado di profilare lecitamente il pubblico del web.

È opportuno segnalare che anche l’EDPB è recentemente intervenuto in merito ai cookie, con le rinnovate proprie Linee guida sul consenso (Guidelines 05/2020 on consent under Regulation 2016/679). L’ente ha specificato che non rispetta i requisiti di libertà del consenso, richiesta dal GDPR, la visualizzazione e utilizzo di una pagina web subordinata all’accettazione in blocco di tutti i cookie (c.d. cookie wall) e, inoltre, che il mero scrolling di una pagina non è considerabile una manifestazione chiara, positiva e inequivocabile di prestazione del consenso. Tuttavia, sebbene abbia fornito precisazioni attese da tempo e su cui si stavano dividendo le varie autorità di controllo europee, l’EDPB non ha precisato nulla di nuovo sul tema dei cookies di terze parti, posto che i requisiti di trattamento restano quelli del GDPR a cui si sommano quelli del D.Lgs. 196/2003 (a recepimento della Direttiva ePrivacy).

L’evoluzione dei browser

Oltre a rispettare le suddette leggi, molte aziende si sono attivate proattivamente nell’offrire una maggiore tutela ai propri utenti in termini privacy, riconsiderata ora come un vantaggio competitivo. Come accennato, Firefox (Mozilla), Edge (Microsoft), Safari (Apple) e Chrome (Google) nel corso degli anni hanno sempre più sviluppato nuove funzioni che permettono di bloccare i cookie di terze parti. Se i primi tre hanno già implementato delle tecnologie che impediscono il funzionamento della maggior parte dei cookie di terze parti, Chrome (di Google) introdurrà Privacy Sandbox, fornendo al settore della pubblicità digitale uno strumento che utilizza dei dati anonimi e cinque interfacce (API) di programmazione volte a ricevere dati aggregati.

Il blocco degli annunci (Adblocking)

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Relativamente al blocco degli annunci, com’è noto la maggior parte dei browser hanno iniziato a incorporare delle estensioni per attivare tale funzione, a favore degli utenti sempre più infastiditi dai continui pop up e altri messaggi che fioccano visitando i siti web. Timori in ambito privacy (data leakage), ragioni di sicurezza (ad es. malware), un caricamento più rapido di siti web, meno distrazioni, risparmio sulla larghezza di banda (specialmente su dispositivi mobili) e sulla batteria sono tutte ragioni che hanno portato gli utenti a utilizzare sempre più frequentemente gli Adblocker. A ciò si aggiungono i meno noti blocchi pubblicitari indiretti implementati dalle applicazioni antivirus, col risultato complessivo di ridurre considerevolmente gli annunci “personalizzati” frutto dell’analisi dei cookie raccolti e, dunque, di frustrarne l’efficacia.

L’impatto sugli stakeholder e l’industria

L’industria della pubblicità digitale ha precedentemente osservato come le novità in ambito privacy e di gestione del dato personale talvolta conferiscono, involontariamente, una posizione sempre più dominante alle piattaforme proprietarie degli OTT – Over-the-top (come Google e Facebook, per intenderci). In una nuova era senza cookie di terze parti, se da un lato queste piattaforme proprietarie saranno comunque in grado di fare targeting sulla base di una potenziale enorme base di dati di prima parte, d’altro lato potrebbero imporre delle limitazioni e restrizioni a danno della concorrenza e della trasparenza verso gli inserzionisti. La perdita dei cookie di terze parti rischia di avere un maggiore impatto sugli inserzionisti che su tali big players. Come affrontare il problema? Una possibile soluzione ravvisata dallo IAB è nell’open internet: al giorno d’oggi infatti gli inserzionisti possono concentrarsi sui rapporti diretti con i propri utenti, oltre a puntare a collaborazioni con piccoli editori a prezzi competitivi. Rivolgersi esclusivamente a piattaforme OTT può portare l’inserzionista ad avere delle limitazioni sia sul range di pubblico che di dati analizzabili. Inoltre, la pubblicità potrebbe essere una soluzione data agli editori che ancora oggi faticano a convertire i propri utenti da free a premium: attraverso un virtuoso meccanismo di advertising anche i piccoli editori potranno sostenere gli sforzi per restare competitivi nell’era digitale. Lato utenti, avere la possibilità di godere di un’informazione pluralista, attendibile e non incentrata nelle mani di pochi grossi editori è senz’altro un beneficio di non poco conto.

Conclusioni

In sintesi, lo IAB sottolinea come divenga fondamentale per inserzionisti ed editori – anche di piccole e medie dimensioni – ottenere il massimo sfruttamento dei cookie e altri strumenti di prima parte. In tal modo, infatti, sarà possibile sia raggiungere con successo i propri consumatori, sia monetizzare con una “nuova” forma pubblicitaria.

@RIPRODUZIONE RISERVATA
M
Andrea Michinelli
avvocato, CIPP/E, CIP/M, studio legale d’Ammassa & Partners
L
Gianmaria Le Metre
avvocato, studio legale d’Ammassa & Partners
Argomenti trattati

Approfondimenti

C
cookie
D
data privacy
G
GDPR

Articolo 1 di 5