l'analisi

Apple contro la pubblicità personalizzata, ecco che cambia per privacy e mercato

Apple cambia rotta sul fronte della profilazione con l’intento di “tutelare” maggiormente la privacy dei propri utenti. Ma la mossa, tra le più aggressive finora attuate dal gruppo, potrebbe creare un conflitto col settore dell’advertising. Ecco perché e cosa cambierà

14 Set 2020
Monia Donateo

Polimeni.Legal

Angela Lo Giudice

Avvocato, Polimeni.Legal


La nuova opzione privacy annunciata da Apple lo scorso giugno – che consentirà agli utenti di disattivare il monitoraggio degli annunci in-app – è tra le modifiche più aggressive finora attuate da Apple sulle policy degli sviluppatori e, non a caso, ha rapidamente attirato l’ira dei big della pubblicità per il timore che questo “libero arbitrio” lasciato all’utente avrebbe reso più difficile fornire annunci mirati con ogni pregiudizievole conseguenza economica.

Potremmo definirlo un passo indietro nel mondo del digital marketing o, per i più attenti lato privacy, una rivoluzione contro la profilazione.

E, se non possiamo per ora spingerci a ritenere che Apple entrerà necessariamente in conflitto con il settore delle adv digitali e mobile, resta il fatto che in queste ultime ore le proteste di Google, Facebook e di tutti gli sviluppatori sono riuscite a posticipare il rilascio di questa feature ai primi mesi del 2021 “per consentire agli sviluppatori di avere il tempo per effettuare i cambiamenti necessari”.

Per comprendere esattamente la portata di questa funzione anti-tracking e prefigurare i possibili scenari, facciamo chiarezza sul funzionamento dell’advertising sui dispositivi mobili.

Cosa sono i cookie e come funzionano

I cookie sono dei piccoli file contenenti una stringa di testo es: “GeoIP=IT:::43.15:12.11:v4; itwikimwuser-sessionId=0e7c5c26f4c77fcc5032; WMF-Last-Access=03-Sep-2020; WMF-Last-Access-Global=03-Sep-2020”.

Quando navighiamo su un sito, il browser effettua varie chiamate http ad altri server su domini diversi. Questi server possono inviare in risposta, oltre ai dati richiesti dal browser, anche un cookie. Il browser salva il cookie sul pc e si occupa di allegarlo a tutte le successive chiamate effettuate a quello specifico server (dominio).
Esempio: carico la pagina di wikipedia e ipotizziamo che ci sia una sezione dove viene visualizzato il meteo di oggi. L’informazione “meteo di oggi” è sul server di iltempo.it. Il browser sa che deve chiedere il meteo di oggi al server de iltempo.it e lo fa attraverso una chiamata http. Ed ecco che iltempo.it risponde con le informazioni richieste e con un cookie (tecnicamente questa azione si definisce “settaggio di cookie”). Se il browser farà altre chiamate al server de iltempo.it allegherà sempre – così com’è, quindi senza modifiche – quello specifico cookie. Ciò finché a iltempo.it non ritorna un nuovo cookie che sostituisce il vecchio oppure finché non cancelliamo i cookie dal browser (il cosiddetto svuota cache).
In altri termini, quando i server vengono interrogati, hanno la facoltà di settare dei cookie sul client che fa queste chiamate. Questi cookie sono “firmati” con il dominio che li ha settati in modo che il browser sappia esattamente a chi rimandare questi cookie.

Utilizzo dei cookie

Il protocollo http utilizzato per fare le chiamate al server – e così ottenere le info richieste – è stateless, cioè non conserva uno stato tra una chiamata e l’altra. In estrema sintesi, esso non ha memoria.
Ipotizziamo di accedere a Facebook che ci chiede email e password. Noi le forniamo e le mandiamo. Facebook le convalida e ci invia il nostro profilo. Se poi navighiamo su altre pagine Facebook, questi non è in grado di capire che siamo “noi” per il solo fatto che abbiamo precedentemente effettuato il login. Infatti, ci chiederà nuovamente il login.
Ecco qui che i cookie, tra le altre, nascono con questo preciso scopo. Pertanto, effettuato il login, Facebook – oltre che convalidare e mandarci il nostro profilo – imposta un cookie, che verrà rimandato dal browser a tutte le chiamate fatte a Facebook. Tramite questo cookie il social network sa chi sta facendo queste chiamate ed è in grado di rispondere con i dati voluti senza richiedere ogni volta l’autenticazione.

Ma se i cookie vengono inviati solo al dominio che li ha creati, allora come fa Facebook a “tracciare” l’attività di navigazione? 

Si badi bene, se navigo su un determinato sito, il mio browser non gli invierà automaticamente il cookie di Facebook e viceversa.
Facebook ci riesce nel momento in cui un determinato sito inserisce il pulsante “Facebook like” sulla sua pagina. L’immagine di quel pulsante è sul server di facebook.com, quindi quando l’utente accede a quel sito che ha integrato il tasto Facebook, il browser scarica la relativa immagine del tasto like dal server di Facebook. E dato che la richiesta è fatta al server di Facebook, verrà associato il cookie che Facebook ha impostato in precedenza. Il social, che vede l’origine della chiamata, sa che il suo utente ha fatto questa richiesta da un determinato sito.
Facebook ha vita facile, poiché quasi tutti i siti hanno integrate le sue funzioni, come il like preso in esempio. Ovviamente, ciò vale anche per Google con le proprie adv, Twitter (spesso i siti mostrano uno o più tweet) e Youtube (che permette di inserire canzoni all’interno dei siti in maniera gratuita).

I cookie nell’adv

Come vengono utilizzati nella pubblicità? Se lo stesso circuito pubblicitario viene inserito in più siti, e l’utente naviga in questi siti, il circuito è in grado di sapere quali di questi siti abbiamo visitato. Non la nostra identità, ma solo quali.

Se poi il circuito pubblicitario è anche un brand dove noi abbiamo un account, ad esempio amazon.com, questo è in grado di tracciarci anche su più dispositivi. Ciò in quanto il cookie di Amazon sul pc è collegato al mio account Amazon (ho fatto il login), così come il cookie sul browser del tablet, smartphone etc., su cui ho fatto il login, è riconducibile al mio account.

L’alternativa ai cookie: l’adv nelle App Mobile

Anche le app mobile hanno l’esigenza di mostrare pubblicità personalizzata in base agli interessi e i movimenti sul web dell’utente. Diciamolo subito, le app non possono utilizzare i cookie del browser, non possono accedervi né settarli. I cookie non vengono inviati quando partono richieste ai server già visitati dal browser. Ciò vale sia per le app “native”, cioè scritte nel linguaggio nativo del dispositivo su cui girano, sia per le “web app” ossia app che si installano come le app native ma mostrano il contenuto all’utente attraverso una webview (una sorta di mini browser). In buona sostanza, le webapp sono dei mini browser camuffati da app; questa tecnologia permette di sviluppare una sola app che funzioni poi sia su Android che iOS. Pur trattandosi di webview, quindi di un browser, questi possono – se abilitati – settare e inviare cookie, ma solo ed esclusivamente per il traffico generato al loro interno. Sono compartimenti stagni rispetto all’app browser che utilizziamo di solito.
Per analogia, se facciamo il login con Facebook sul nostro browser e abbiamo una webapp che utilizza Facebook, saremo obbligati a rifare il login con Facebook al suo interno poiché la webapp è completamente all’oscuro di ciò che accade fuori.

Advertising ID

La tecnica utilizzata dai vari circuiti pubblicitari per tracciare l’utente nelle app è l’advertising. Un ID unico per dispositivo (IDFA per iOS o AdID per Android) a cui l’app può fare accesso per tracciarlo “anonimamente”. Per un circuito pubblicitario che mostra adv, l’advertising ID è una sorta di raccoglitore di interessi che viene via via popolato con lo scopo di targettizzare sempre meglio la pubblicità mostrata. Questo id è resettabile in qualsiasi momento dalle impostazioni del dispositivo. Se resettato, tutto lo storico accumulato viene perso e reso inutile/inutilizzabile.

Come arricchire l’Advertising ID

Ad arricchire di dati caratterizzanti un advertising ID (che di per sé è un numero e basta) spesso sono gli stessi produttori delle app che ospitano un circuito pubblicitario.
Ipotizziamo che l’app di Tizio ha il circuito pubblicitario CaioADV. L’utente dell’app di Tizio, avrà un profilo completo di informazioni spontaneamente fornite come data di nascita, residenza, etc. Immaginiamo inoltre che l’app di Tizio serva a mostrare i risultati sportivi.
Spesso i circuiti come CaioADV danno la possibilità di impostare anche l’età di chi utilizza il dispositivo e i relativi interessi come lo sport e il calcio.
CaioADV sarà in grado di fornire annunci sportivi conformi all’età dell’utente.

Un’altra pratica è quella della rivendita del matching tra adv e email. Se abbiamo un profilo utente su un’app, abbiamo sicuramente inserito la mail. L’app può quindi accoppiare la mail a quell’ID pubblicitario e utilizzarlo per riconoscere che quel dispositivo appartiene a noi. Se facciamo il login su altri dispositivi, avverrà lo stesso matching riconoscendo i device di quel determinato profilo utente.

Se questo matching tra email e advertising ID o altri dati, come ad esempio la posizione, vengono ceduti o venduti a circuiti pubblicitari che girano su migliaia di app, queste saranno in grado di targettizzare le ads per il vostro dispositivo nel migliore dei modi.

Ecco il nuovo panorama adv con l’annuncio di Apple

Ebbene, se fino ad oggi le app hanno utilizzato liberamente l’Advertising ID per raccogliere e condividere dati dell’utente per scopi pubblicitari senza il suo previo consenso, dagli inizi del prossimo anno Apple ha confermato di voler cambiare rotta e “tutelare” maggiormente la privacy dei propri users. Ecco il messaggio divulgato: “”Riteniamo che la tecnologia debba proteggere il diritto fondamentale degli utenti alla privacy, e ciò significa che abbiamo il dovere di fornire strumenti per capire quali app e siti web possono condividere i propri dati con altre società per scopi pubblicitari o di misurazione pubblicitaria, nonché strumenti per negare l’autorizzazione a questo tipo di tracciamento. Quando la nuova feature sarà attiva, un avviso di sistema darà agli utenti la possibilità di consentire o rifiutare il tracciamento per ogni app. Vogliamo dare agli sviluppatori il tempo necessario per apportare le modifiche necessarie e, di conseguenza, il requisito per utilizzare questa autorizzazione di tracciamento entrerà in vigore all’inizio del prossimo anno”.

Apple ha peraltro già provveduto a fornire tutte le informazioni lato privacy con il dettaglio della tipologia di dati per le quali uno sviluppatore dovrà divulgare i suoi metodi di raccolta, nonché linee guida su come uno sviluppatore deve comunica il modo in cui utilizza tali dati. Agli sviluppatori verrà inoltre chiesto di identificare come “ogni tipo di dato è collegato all’account, al dispositivo o all’identità di un utente da te e / o dai tuoi partner terzi”. Vi sono anche istruzioni sulle divulgazioni per il monitoraggio e le politiche sulla privacy.

Sebbene Apple comunichi la necessità di dare tempo agli sviluppatori, i colossi pubblicitari, come Facebook, hanno già avvertito che il cambiamento potrebbe avere un grave impatto sulle loro operazioni, tale per cui si prevede già una perdita di interesse ad effettuare gli aggiornamenti sui dispositivi dotati delle nuove policy o persino – nel peggior scenario – decidere di rimuovere totalmente la disponibilità di alcune app o servizi.

Policy che metterebbe, dunque, a repentaglio le partnership con Apple, oltre che colpire direttamente i profitti della stessa Big mela.

Il quadro normativo

Ai sensi dell’articolo 4 par. 1 del regolamento europeo, dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile; con la precisazione che si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione (…) un identificativo online (…).

Ebbene, la definizione di dato personale era già presente nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali (sostituita dal nuovo regolamento 2016/679/UE GDPR). Già nel 2007, quindi, il Working Party 29 (oggi European Data Protection Board) si era espresso sul concetto, analizzando la definizione, approfondendone i contenuti e raccomandando, da un lato di non ampliare troppo l’ambito di applicazione delle norme[1] tenendo presente che la finalità cui mirava il legislatore era di proteggere le forme di trattamento che tipicamente presentassero un rischio più alto di “facile accesso ai dati personali” mentre dall’altro, mettendo in guardia da un’applicazione troppo restrittiva del concetto.

In base a quanto detto, quindi, dato personale è qualsiasi informazione che consenta di risalire ad una persona fisica con la specificazione che, seguendo il noto brocardo “in medio stat virtus”, occorre che si trovi un giusto equilibrio che consenta di disciplinare tutte quelle zone d’ombra che inevitabilmente possono venire a crearsi.

Chiarito questo, aggiungiamo un altro tassellino.

Un altro concetto ben espresso dal wp29 e ripreso, successivamente, anche dal Regolamento, riguarda gli sforzi che devono essere compiuti per identificare l’interessato. Il considerando 26 specifica che per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare l’interessato. Per accertare la ragionevole probabilità di utilizzo dei mezzi per l’identificazione, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.

E pertanto non occorre solo che il dato, l’informazione, possa ricondurre all’identificazione di una persona fisica ma, perché il dato personale sia rilevante ai fini dell’applicazione del regolamento europeo, occorre che gli sforzi per ottenere l’identificazione non siano sproporzionati.

Tutto questo non è ancora sufficiente. Una volta chiarito che si tratta di dato personale, perché il regolamento possa spiegare i suoi effetti, occorre qualcosa di più e cioè che il dato personale venga sottoposto a trattamento.

Su questo concetto non c’è da spenderci troppo tempo; infatti per trattamento s’intende una qualsiasi operazione che venga effettuata sul dato personale[2].

L’ultimo concetto, fondamentale, da analizzare è quello relativo alla profilazione.

Per profilazione s’intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti (…) gli interessi.

E pertanto la profilazione attuata mediante IDFA è rilevante ai sensi del regolamento europeo a condizione che venga attuata mediante trattamento automatizzato e, soprattutto, che l’identificatore venga considerato dato personale.

L’IDFA è un dato personale?

L’IDFA, come detto, è un codice (unico per apparecchio) a cui le app iOs possono fare accesso e utilizzarlo per tracciare il dispositivo e profilare il soggetto che lo possiede o lo utilizza.

Pertanto, il codice corrisponde ad un utilizzatore che è senza dubbio una persona fisica ma l’IDFA non lo identifica né potrebbe farlo se non attraverso il ricorso ad altri strumenti “identificatori” come indirizzi ip o coordinate gps, codice imei.

Stando così le cose si finisce per ritenere che l’IDFA sia dato personale nella misura in cui consenta di identificare indirettamente una persona fisica.

C’è da dire che, recentemente, il report Out Of Control del Norvegian Consumer Council[3] ha dimostrato come, di fatto, le applicazioni effettuano questo incrocio di dati e possano, pertanto, risalire all’identificazione del soggetto confermando quindi che l’IDFA rientrerebbe a pieno diritto tra i dati personali e quindi meriterebbe ogni forma di tutela prevista dal regolamento.

L’interpretazione, come sempre, gioca un ruolo fondamentale.

L’IDFA come dato personale e la sua tutela

Già oggi, Apple si mostra molto attenta alla tutela della privacy dei propri utenti ed infatti la grande differenza tra gli IDFA e gli ADID (sistemi android), risiede nella circostanza che solo IOS consente di attivare un’impostazione dispositivo che impedisce efficacemente a terzi di ricevere o utilizzare l’ID pubblicità perché l’ID viene reso inaccessibile mediante una sostituzione con un valore non univoco di tutti zeri per impedire la pubblicazione di annunci mirati (una sorta di opt-out); sui dispositivi Android, invece, la disattivazione degli annunci personalizzati funziona imponendo alle app di non utilizzare l’ ID pubblicità per creare profili o mostrare annunci personalizzati, ma non rimuove o offusca l’ID pubblicità dal dispositivo e pertanto le app possono ancora utilizzare l’ID pubblicità per altri scopi che coinvolgono personale a livello individuale dati, anche se l’utente rinuncia alla pubblicità personalizzata.[4]

Perché allora Apple ha sentito l’esigenza di spingersi ancora oltre?

È legittimo presumere che questa spinta in avanti sia frutto di due ulteriori considerazioni:

  • Rispetto dei principi di privacy by design e privacy by default. Il considerando 78 impone che “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.
  • Corretta individuazione della base giuridica di trattamento. In base a tutto quanto sopra descritto, l’unica base giuridica valida si rinverrebbe nel consenso dell’interessato che, ovviamente, deve essere reso in modo specifico e prima del trattamento dei suoi dati.

Da ultimo, perché a pensar male si fa peccato ma ogni tanto ci si prende, c’è da dire che il 12 maggio 2020 l’organizzazione NOYB ha proposto un reclamo contro Google basato proprio sul sistema di attivazione e di funzionamento dell’ADID e contestando a Google di procedere ad un trattamento di dati personali illecito.

______________________________________________________________________________________

  1. Parere 4/2007 sul concetto di dati personali, pag. 5
  2. qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
  3. https://fil.forbrukerradet.no/wp-content/uploads/2020/01/2020-01-14-out-of-control-final-version.pdf
  4. idem

@RIPRODUZIONE RISERVATA

Articolo 1 di 4