Dalla primavera del 2018, l’esperienza online di chi vive in Europa ha una nuova, fastidiosissima, costante: i pop-up di consenso ai cookie—che, in teoria, ti permettono di dire la tua sulle informazioni raccolte dalle aziende quando accedi a un sito (che sia quello della banca o un blog di ricette).
Un piccolo riepilogo per chi ne avesse bisogno: i cookie sono file che il computer scarica quando entri su un sito. Contengono informazioni su di te, o sul tuo dispositivo, che possono essere lette dal server dall’altro lato della connessione, e sono usate per tracciare la tua attività su internet.
Videos by VICE
I cookie di prima parte sono piazzati sul sito dal proprietario dello stesso, con lo scopo, per esempio, di ricordare il tuo username. I cookie di terze parti sono piazzati da altre aziende, con lo scopo, sempre per esempio, di personalizzare le inserzioni pubblicitarie che vedi. Ci sono molti altri tipi di tecnologie di tracciamento, ma in questa sede, per semplicità, le nominerò sempre come cookie o tracker.
COME FUNZIONA IL GDPR
I banner per il consenso ai cookie sono diventati una costante grazie al regolamento generale sulla protezione dei dati (GDPR), che stabilisce le linee guida per raccolta, elaborazione e conservazione dei dati personali delle persone che vivono in Europa da parte delle aziende. Questo regolamento vale anche per il Regno Unito, almeno per ora. Il GDPR gestisce molto più dei cookie—è un enorme insieme di leggi che persone esperte considerano fondamentale per la protezione della privacy.
Sotto il GDPR, abbiamo il diritto di sapere quali informazioni cediamo e di acconsentire o meno alla raccolta. Di contro, le aziende devono spiegare perché raccolgono dati di utenti o clienti e ottenere il consenso preliminare, a meno che quei dati non siano strettamente necessari al funzionamento del sito (per esempio, i cookie che permettono a un sito di shopping di salvare articoli in una lista dei desideri).
È a questo che servono i banner dei cookie. Il GDPR dice che il consenso dovrebbe essere “libero, specifico, informato e chiaro nei suoi termini.” In pratica, acconsentire o rifiutare il tracciamento dovrebbe essere facile—ma se hai mai provato a rifiutare i cookie non essenziali, sai benissimo che non basta premere un pulsante.
Così, ho deciso di mettere alla prova il sistema. Per tre giorni, ho registrato il mio schermo durante l’orario di ufficio e ho cercato di rifiutare tutti i cookie non essenziali per ogni singolo sito che ho visitato. Poi, ho riguardato tutto per vedere quanto era stato facile.
Ho determinato la “facilità” secondo diversi parametri. Prima cosa, usando uno stopwatch, ho cronometrato quanto ci mettevo a leggere il pop-up e rifiutare i cookie. Ho anche contato quante volte cliccavo dentro lo stesso banner e se se fossi sicura di aver davvero negato il consenso o se a un certo punto mi ero stufata di provarci e avevo acconsentito per disperazione.
In tre giorni, ho interagito con 76 siti web—32 il primo giorno, 30 il secondo e 14 il terzo. Lavorando come editor per VICE, ho visitato molti siti di news, ma ho anche fatto ricerche su calcio, festival, giardinaggio. Un buon mix, diciamo.
Il primo giorno ho passato 14,38 minuti a rifiutare cookie. Il banner che mi ha richiesto meno tempo si è preso 2,6 secondi, quello più impegnativo ha richiesto più di cinque minuti—al termine dei quali ho semplicemente rinunciato. Il secondo giorno, ho passato 13 minuti a fare lo stesso; al terzo giorno, poco più di nove.
Non sembrerà chissà cosa nel grande circo della vita, ma la società di ricerca Nielsen Norman Group—che si occupa di user experience—stima che le persone passino in media meno di un minuto su un sito. Ecco perché per molti utenti l’idea di cliccare e leggere in tutte le sue parti un pop-up è una fatica tale che preferiscono selezionare direttamente l’opzione “accetta tutto.”
La cosa più interessante che ho scoperto con il mio esperimento non è la quantità di tempo che mi richiede gestire i pop-up dei cookie, ma il fatto che sono riuscita a rifiutarli con successo solo il 46 percento delle volte. Ben 13 siti avevano un banner ma non potevo declinare nulla, o era così complicato e snervante farlo che ho dovuto arrendermi.
In due casi, rifiutare i cookie ha significato non poter più accedere alla maggior parte dei contenuti del sito. Siti come Healthline e Medical News Today, entrambi appartenenti allo stesso gruppo, mi hanno dato il benvenuto nella versione “senza ad e tracking” dei siti, dove avrei potuto leggere solo dieci articoli. Se da un lato può avere senso per un publisher impedire di usufruire dei contenuti agli utenti che non vogliono vedere la pubblicità, in questo caso è diverso: i dati che rifiuti tramite un banner per i cookie sono tuoi e stai rifiutando di farli tracciare.
Per 26 siti (il 34 percento del totale), non ero del tutto sicura di aver rifiutato i cookie. È successo per lo più quando i siti non avevano un banner (13 siti) o quando non me ne accorgevo io, nonostante sia stata attenta (dieci siti). Qualcuno potrebbe dire che è colpa mia se me li sono persi, ma sono fatti per essere ignorati: otto su dieci di quei banner erano posizionati in fondo all’interfaccia e sette erano una singola riga di testo che poteva facilmente confondersi nel design della pagina.
COSA SONO I DARK PATTERN
Questo tipo di design è noto come dark pattern o “design che ti spinge a fare qualcosa che normalmente non avresti fatto,” stando allo specialista in user experience Harry Brignull, che ha coniato il termine nel 2010. Brignull mi racconta via Zoom che esistono diversi tipi di dark pattern, ma la maggior parte rende determinate opzioni più semplici di altre.
“Molti dark pattern prendono principi di buon design e fanno l’esatto contrario,” spiega. “È design appositamente fatto male.”
In questo caso, i banner per il consenso erano così difficili da notare che ho dimenticato di esprimere una scelta. Anzi, alcuni dati suggeriscono che la maggior parte degli utenti ignora queste porzioni dello schermo. A prescindere, stando a uno studio del 2020, il 32,5 percento dei siti esaminati registrava il consenso degli utenti prima che questi compissero una scelta—per esempio, se avevano scrollato o ricaricato la pagina, o solo per aver aperto il sito. Il paper ha scoperto inoltre che un misero 11,8 percento dei siti rispetta davvero il GDPR.
“Ecco un punto importante: il GDPR non è responsabile di questi pop-up,” spiega Midas Nouwens, assistente all’Università di Aarhus in Danimarca, nonché ricercatore a capo dello studio del 2020. “Il GDPR ha stabilito le regole per ottenere un consenso valido. È l’industria della pubblicità che le interpreta e crea i pop-up.”
Il ruolo dell’industria della pubblicità nel tracking online è complesso. Molte aziende investono in inserzioni personalizzate—un modello che si basa sul capire chi sei e cosa ti piace—perché è più remunerativo. Ma esiste un altro modo per fare soldi online: le inserzioni contestuali, che ti mostrano contenuti pubblicitari basati su ciò che stai guardando in un dato momento.
Per far funzionare le inserzioni personalizzate, i servizi di ad come Google AdSense devono raccogliere informazioni su di te e sulle tue abitudini di navigazione. Ecco perché la maggior parte dei cookie sono di terze parti e piazzati su siti dalle aziende di pubblicità stesse. Di conseguenza, “un sacco di proprietari di siti non sanno che tipo di dati stanno raccogliendo,” spiega Nouwens. “Gli viene offerto un pacchetto di insight o un plugin, in cambio di quei dati.”
Per esempio, un report del 2020 di The Markup ha esaminato 80.000 siti e ha trovato tracker di Google Analytics sul 69 percento del campione. Google Analytics fornisce informazioni gratuite sulle performance che chi ha un piccolo sito non potrebbe permettersi altrimenti—ma la policy sui cookie di Google permette ai colossi tech di accedere ai dati raccolti dai tracker. Lo stesso vale per altre funzioni costose, come le sezioni commenti e i bottoni di condivisione via social, offerti da molte aziende “gratuitamente” in cambio dei tracker del sito.
Dopo l’introduzione del GDPR, chi aveva un sito era improvvisamente nei guai: le nuove normative richiedevano di ottenere il consenso dell’utente, ma molti non sapevano neanche che tracker avevano, figuriamoci come chiedere il consenso. A quel punto, il braccio europeo della Interactive Advertising Bureau (IAB Europe), un’associazione di categoria che rappresenta centinaia di aziende di comunicazione e pubblicità, è intervenuta. Ad aprile 2018, un mese prima che fosse implementato il GDPR, la IAB Europe ha pubblicato il Transparency and Consent Framework (TFC), un insieme di tecniche pr “aiutare l’industria della pubblicità digitale a interpretare e seguire le regole europee sulla protezione dei dati e della privacy.”
Questo framework ha creato un modo universale per registrare il consenso tramite specifiche righe di codice. Ha anche introdotto nuovi attori chiamati Consent Management Platforms (CMP), tra cui, per esempio, Quantcast, OneTrust e Cookiebot. Le CMP sono servizi che perlustrano un sito alla ricerca di cookie e compilano banner per i cookie; chi possiede il sito può decidere quanto attenersi al regolamento. Ecco perché capita che i pop-up di siti diversi si somiglino.
Ma “le CMP servono due mercati,” spiega Nouwens. In teoria, il loro scopo principale è ottenere il consenso libero e informato dell’utente, ma i loro clienti sono le persone proprietarie dei siti, che hanno interesse nel raccogliere più dati possibili e venderli all’industria delle inserzioni online. “Il messaggio delle CMP è: se usi la nostra tecnologia, il 90 percento delle persone dirà di sì e non soffrirai le conseguenze della legge,” dice Nouwens. “Ecco perché usano i dark pattern.”
IAB Europe non è parte neutrale—rappresenta nomi importanti, compresi Google e Facebook Atlas (il servizio di ad personalizzati di Facebook). Stando a Corporate Europe, una ONG che monitora le attività di lobby in Europa, IAB Europe sta facendo campagna attiva contro le restrizioni sulle tecnologie di tracciamento da anni. Lobby Facts, un’altra piattaforma che compila report sulle lobby e ha sede a Bruxelles, ha documentato 17 incontri tra portavoce di IAB Europe e funzionari dell’UE tra il 2014 e il 2020. Sostengono anche che IAB Europe abbia speso tra i 300.000 e i 390.000 euro in attività di lobbismo solo nel 2019.
DIFFERENZE TRA CONSENSO E LEGITTIMO INTERESSE
Un’altra parte importante di IAB è relativa a due termini tecnici: “consenso” e “interesse legittimo.” “Il GDPR individua sei modi per processare legalmente dati personali,” spiega Nataliia Bielova, ricercatrice dell’Istituto nazionale di ricerca in scienze digitali e tecnologia (INRIA) in Francia.
Il legittimo interesse è un principio che permette alle aziende di processare i tuoi dati senza il consenso dell’utente, se dimostrano di averne legittimo bisogno, che le conseguenze per la privacy saranno minime, e che la persona potrebbe aspettarsi che quei dati siano elaborati a prescindere. Questo include un certo tipo di marketing diretto e personalizzazione dell’aspetto del sito (lingua, moneta, risultati di ricerca), ma dovrebbe essere usato con parsimonia e in relazione all’interesse dell’utente.
Il problema è che i parametri istituiti dalla IAB permettono agli inserzionisti di scegliere se elaborare le tue informazioni tramite i principi del consenso o tramite quelli dell’interesse legittimo, come spiega Cristiana Santos, assistente professoressa della facoltà di Giurisprudenza dell’Università di Utrecht, che è specializzata in e-privacy e protezione dati. “Se per il consenso devi dire esplicitamente ‘Sì, sono d’accordo,’ il legittimo interesse non lo richiede—l’unica cosa che l’utente può fare è ‘rifiutare’ o ‘obiettare’,” spiega Santos. “È molto ambiguo perché non si capisce bene la differenza.”
In pratica, ecco cosa succede: hai davanti un pop-up per il consenso con una serie di opzioni impostate come “inattive.” Ma se accetti le impostazioni così come sono, non compare la scheda successiva, che contiene le opzioni pre-attivate dell’interesse legittimo che le aziende sostengono di avere.
A mio avviso, questi sono i banner più complessi da gestire. Per esempio, sul portale di salute WebMD, il primo banner per il consenso ai cookie ti porta a una serie di schede secondarie che descrivono quali delle tue informazioni sono tracciate, e ti chiede di cliccare un bottone a destra per acconsentire. Le prime sei di 14 schede totali fanno riferimento a cookie strettamente necessari o mostrano cookie non necessari già disattivati. Ma alla settima scheda, quella che riguarda le inserzioni personalizzate, devi cliccare “obietta il legittimo interesse” nove volte affinché i tuoi dati non siano tracciati e trasmessi agli inserzionisti. In banner con altri formati, puoi magari cliccare su “rifiuta tutto,” ma spesso non include il legittimo interesse.
Santos e Bielova, che hanno collaborato a diversi studi multidisciplinari, hanno scoperto che, da un punto di vista legale, i banner dovrebbero chiedere il consenso per la maggior parte degli scopi elencati nel framework della IAB, ma spesso si basano solo sul legittimo interesse. In generale, Bielova ha confermato che è “estremamente raro” che questi banner siano del tutto rispettosi della legge. Eppure, molti siti li usano—IAB Europe conta 76 CMP, ognuna delle quali crea banner per centinaia o centinaia di migliaia di siti.
“Una delle critiche principali al GDPR è che non è applicato come dovrebbe, soprattutto nei banner per i cookie,” dice Nouwens. Al momento, le persone possono denunciare le violazioni al Garante della privacy e, certe volte, possono rivolgersi ad associazioni per la tutela dei consumatori, o a ONG come il Centro europeo per i diritti digitali.
Il problema è che la maggior parte di noi non nota le violazioni dell’e-privacy. Inoltre, le autorità per la protezione dei dati possono affrontare solo un caso alla volta e lo strumento più forte che hanno sono le multe. È un processo molto lento, considerata la grandezza del problema. E, infine, un report del 2019 ha scoperto che la maggior parte delle autorità competenti ha subito un taglio del 30 o 50 percento ai fondi.
Non è l’unica via. “Penso che dovremmo includere requisiti che rendano possibile monitorare queste tecnologie,” dice Nouwens.
Va detto, inoltre, che potremmo fare a meno del tutto dei pop-up per il consenso. “Il consenso è come lo vediamo oggi perché queste aziende di pubblicità hanno deciso così,” svela Nouwens. Il Parlamento europeo, il Consiglio dell’Unione Europea e la Commissione Europea stanno discutendo una serie di misure complementari per il GDPR, chiamate ePrivacy Regulation. In questo contesto è stata avanza la proposta di considerare le preferenze dei cookie come consenso legale. In questo modo, le persone dovrebbero esprimere le loro preferenze una volta sola e decidere che cosa è ok e cosa no.
Ovviamente gli inserzionisti non sono contenti, perché a loro conviene che le persone debbano prendere una decisione ogni volta e cadere nella stessa trappola di pessimo design all’infinito.
“Onestamente, non credo che la possibilità di prendere decisioni ogni giorno dia alle persone più controllo,” dice Nouwens. “Sono 45 minuti che ne parliamo e neanche io ho tutte le risposte. Per questo l’idea che tu possa davvero compiere una scelta informata è sbagliata.”
COME PROTEGGERTI DAI COOKIE
Se ti preoccupa che i tuoi dati personali galleggino nell’universo delle inserzioni, ci sono delle cose che puoi fare. Innanzitutto, se vuoi controllare l’attività di tracking di un sito specifico, copia e incolla l’url dentro al tool Blacklight, sviluppato da The Markup. E scegli browser più sicuri, tipo Tor o Brave. Se invece vuoi restare dove sei, Nouwens suggerisce un’estensione che ha sviluppato lui stesso, chiamata Consent-O-Matic (per Firefox e Chrome), che “risponde” automaticamente ai pop-up per i cookie sulla base di preferenze che imposti preliminarmente.
Le negoziazioni sulla ePrivacy Regulation sono ancora in corso. Se vuoi farti sentire, qui puoi scoprire il nome e il contatto di chi ti rappresenta al Parlamento Europeo e qui puoi unirti alle petizioni per l’UE o lanciarne una. Forse, riusciremo a riprenderci una volta per tutte il consenso ai cookie.