privacy

Il Gdpr e l’arte di rifiutare il tracciamento online: tutti i problemi dei cookie banner

I cookie banner, introdotti con l’obiettivo di aiutare gli utenti a capire chi raccoglie i dati e per quali motivi, non sembra stiano riuscendo nell’intento. Cosa sono, i problemi, le alternative possibili per proteggere davvero la nostra privacy

07 Lug 2022
Laura Brandimarte

Assistant Professor of Management Information Systems, University of Arizona

Linee guida Agcom su equo compenso: opportunità e criticità di uno strumento improprio

I cookie banners sono quei pannelli che dovrebbero dare la possibilità all’utente di scegliere se accettare o meno i vari cookies.

La loro introduzione, col GDPR, rappresenta senz’altro un passo avanti nell’etica del trattamento dei dati personali, che prima dell’entrata in vigore del Regolamento europeo sulla protezione dei dati somigliava molto più ad uno sfruttamento indiscriminato di cui l’utente non veniva mai neanche informato.

Tuttavia, analizzando l’efficacia dei banner, si deve concludere che, di fatto, per nulla aiutano l’utente a capire chi raccoglie quali dati e per quale scopo.

GDPR, più danni che benefici? Una prima valutazione degli effetti economici

I cookie banner

Qualche settimana fa riportavamo i risultati dei primi studi empirici sugli effetti economici del GDPR, la regolamentazione europea sul trattamento dei dati personali, e riflettevamo sul fatto che, sebbene le intenzioni della regolamentazione siano lodevoli, il modo in cui essa è stata finora implementata lascia molto a desiderare. Parlavamo ad esempio del costo imposto ai consumatori, cui viene addossata tutta la responsabilità di proteggere i propri dati ma che, di fatto, non vengono davvero mai messi nelle condizioni di farlo perché gli strumenti a loro disposizione sono del tutto inadeguati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Uno dei cambiamenti apportati dal GDPR è stata l’introduzione dei cosiddetti ‘cookie banners’, vale a dire quei pannelli che vengono visualizzati su pressoché tutti i siti che visitiamo e che ci chiedono se acconsentiamo al posizionamento di cookies sul nostro dispositivo.

Tecnicamente, il GDPR non ha imposto l’utilizzo dei banners, che, piuttosto, risultano dall’implementazione da parte di alcuni Stati membri dell’UE della Direttiva ePrivacy risalente al 2002. Ciò che il GDPR ha imposto è l’obbligo di richiedere in maniera esplicita il consenso al trattamento dei dati personali. Tuttavia, i cookie banners sono diventati lo standard de facto dell’implementazione di tale obbligo, sviluppo dovuto alla più rigida e severa applicazione del GDPR rispetto alla Direttiva, che invece non ha avuto effetti pratici rilevanti. Non risulta dunque una semplificazione eccessiva la constatazione che i banners sono, di fatto, la tecnica che la stragrande maggioranza dei siti ha scelto per applicare il GDPR.

I “default bias” e altri problemi dei cookie banner

Anzitutto, in molti casi le opzioni nei banners vengono presentate in modo tale che, se non vengono modificate, consentono il piazzamento dei cookies sul dispositivo del visitatore del sito web interessato. Ciò implica che l’utente deve esercitare un’azione per cambiare le impostazioni, che di base sono molto simili a quello che vedevamo prima dell’entrata in vigore del GDPR. E l’economia comportamentale ci insegna che, a meno di forti incentivi, le persone difficilmente cambiano lo status quo: un problema noto come “default bias”.

Secondo poi, se l’utente desidera modificare le impostazioni di base, si trova di fronte a lunghe liste di aziende pubblicitarie e delle rispettive motivazioni per cui esse richiedono di poter effettuare il tracciamento, spesso riportate con linguaggio vago o contorto, per cui occorrerebbe molto tempo e impegno per effettuare una scelta ragionata.

Infine, anche quando si giungesse a una decisione valutata razionalmente e si volessero cambiare le impostazioni di base, spesso le opzioni per farlo creano confusione, utilizzano un linguaggio poco chiaro, rendono pressoché invisibile il tasto per rifiutare i cookies o quasi colpevolizzano l’utente che tenta di farlo.

Guardate questi esempi:[1] il primo suggerirebbe che acconsentendo al tracciamento e ricevendo le pubblicità personalizzate dell’azienda promotrice l’utente contribuisce attivamente a salvare il pianeta (!), perché grazie ai ricavi ottenuti dalla pubblicità, l’azienda pianta alberi. Il secondo esempio indicherebbe che le pubblicità mostrate sostengono gli artisti e, dunque, lasciando che esse vengano visualizzate l’utente contribuisce alla diffusione di arte e cultura. Chi non vuole salvare il pianeta? Chi non vuole diffondere cultura? La protezione dei dati si avvicina sempre più ad una battaglia quasi persa in partenza a causa di questi e altri “dark patterns” di cui parlammo tempo fa.

Se la volontà di chi richiede il consenso al tracciamento tramite cookies è davvero quello di informare gli utenti, dar loro pieno controllo della gestione dei propri dati e proteggere la loro privacy, si può senz’altro fare di meglio e offrire un modo più semplice e diretto per evitare il tracciamento tramite cookies.

Alcuni banners sono già migliorati molto e offrono chiaramente l’opzione di continuare a navigare rifiutando i cookies con un solo click del mouse (repubblica.it/ e tgcom24.mediaset.it/ sono solo due esempi).

Come allontanarsi dall’idea di cookie banner

Ancor meglio sarebbe finalmente allontanarsi dall’idea dei cookie banners, che si fonda su una concezione sbagliata della protezione della privacy – come dicevamo, quella secondo cui la responsabilità risiede unicamente nell’individuo, che non ha tempo né, spesso, le risorse per effettuare una scelta ragionata – e guardare altrove. Facciamo degli esempi concreti.

Usare solo i cookies necessari

Il primo e più intuitivo consiste nell’utilizzare solo ed esclusivamente i cookies necessari al funzionamento del sito che si sta visitando. Nella sezione relativa alla privacy policy si potrebbe poi dare all’utente che apprezza la pubblicità targetizzata ed i contenuti personalizzati la possibilità di scegliere cookies per il tracciamento.

La “usable privacy”

Alternative più radicali e innovative si trovano invece nella scienza della “privacy facile da usare”, che tra gli accademici ed esperti dell’industria è nota come “usable privacy”.

Questa disciplina mira a creare tecnologie che consentono il rispetto dei princìpi, alla base del GDPR e di altre normative di protezione dei dati, di privacy-by-design e privacy-by-default: la protezione della privacy come base di partenza, intrinseca nell’infrastruttura stessa della tecnologia.

Notifiche sul trattamento dati sotto forma di tabelle

Un esempio è quello delle notifiche sul trattamento dati riportate in maniera semplificata sotto forma di tabelle, simili alle tabelle nutrizionali che troviamo sui prodotti alimentari. La loro natura schematica, organizzata per categorie, facilita la comprensione veloce delle modalità con cui un’azienda raccoglie ed utilizza dati personali, rendendo quindi semplice l’accettazione o il rifiuto dei termini e condizioni di un sito o un’applicazione. Tuttavia, dalle prime analisi basate sui pochi esempi disponibili (come l’implementazione di Google o Apple), questa soluzione non sembra particolarmente apprezzata o utile agli utenti – del resto, se fosse semplice riassumere le privacy policies in una tabella in modo efficace, probabilmente il problema della protezione della privacy e del controllo da parte dell’utente non si porrebbe neanche.

I privacy assistant

Soluzione più recente è quella degli “assistenti artificiali” o “privacy assistants”, agenti intelligenti in grado di apprendere nel tempo le preferenze degli utenti in materia di privacy, di configurare in modo semi-automatico molte impostazioni e di prendere molte decisioni di privacy per conto degli utenti stessi. Attraverso interazioni mirate, questi assistenti alla privacy aiutano gli utenti a comprendere meglio le ramificazioni associate al trattamento dei loro dati e li rendono in grado di controllare tale trattamento in modo intuitivo ed efficace.

Ad esempio, gli assistenti possono inviare un avviso su pratiche con cui gli utenti potrebbero non sentirsi a proprio agio, confermare direttamente con loro le impostazioni di privacy che non sono sicuri di configurare correttamente, affinando i modelli delle preferenze degli utenti nel corso del tempo e, occasionalmente, spingendoli a (ri)considerare attentamente le implicazioni di alcune delle loro decisioni. Questi assistenti impareranno pian piano le nostre preferenze e ci aiuteranno a gestire in modo più efficace le nostre impostazioni di privacy su un’ampia gamma di dispositivi e ambienti, senza bisogno di frequenti interruzioni.

Conclusioni

Ci vorrà del tempo prima che questi strumenti diventino davvero efficaci ed utilizzabili, ma preferiamo guardare in questa direzione piuttosto che rimanere ancorati a modelli di richiesta di consenso esplicito al trattamento dei dati personali che, specialmente con la proliferazione di tecnologie portatili, sempre connesse ad Internet e con sensori in grado di raccogliere continuamente sempre più dati, sono ormai obsoleti e davvero poco utili per la protezione della privacy.

  1. Per il primo esempio si rimanda all’originale, trovato in questo tweet; per il secondo esempio, a questo.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4