Malgrado le multe record comminate alle grandi aziende tecnologiche per scarsa trasparenza nell’uso dei cookies, è stato rilevato che la maggior parte dei siti ostacola la libertà di scelta degli utenti
di MIT Technology Review Italia
Google e Facebook sono state entrambe pesantemente multate per aver utilizzato illegalmente i cookies alla fine del 2021 dall’autorità francese per la protezione dei dati, la Commission Nationale de l’Informatique et des Liberté (CNIL). Nelle versioni francesi di Google, della sua piattaforma gemella YouTube e Facebook, agli utenti veniva chiesto di acconsentire ai cookies in modo tale che fosse molto più facile accettare che rifiutare la richiesta. Dire sì era molto più semplice che rifiutarsi.
Il proprietario di Google, Alphabet, è stato multato di 150 milioni di euro e il proprietario di Facebook, Meta, di 60 milioni di euro. Alphabet ha subito una sanzione maggiore perché le sue violazioni hanno colpito più persone ed già aveva dei precedenti in passato. A entrambe le aziende sono stati inoltre concessi tre mesi per modificare i propri sistemi in modo che gli utenti potessero rifiutare facilmente le richieste di cookies, vale a dire quei piccoli file di testo che tengono traccia della navigazione degli utenti di Internet, ai quali vengono poi indirizzati messaggi pubblicitari “personalizzati”.
Queste modalità di tracciamento sono state regolarmente denunciate dalle associazioni di consumatori e dagli utenti di Internet. Già nel 2018, l’Unione europea ha adottato un regolamento sui dati personali con regole più severe. Meta e Alphabet devono ancora conformarsi, anche se hanno tempo fino ad aprile del 2022 per farlo.
I cookies raccolgono così tante informazioni che di solito sono più che sufficienti per identificare la persona dietro il dispositivo. Oltre alle visite a singole pagine Web, possono anche registrare le domande di ricerca di una persona, i beni o servizi acquistati, l’indirizzo IP e la posizione esatta. Da ciò è possibile dedurre il nome, la nazionalità, la lingua, la religione, l’orientamento sessuale e altri dettagli intimi dell’utente, la maggior parte dei quali sono categorie di dati personali che non possono essere trattati senza il consenso esplicito dell’individuo ai sensi della Direttiva ePrivacy dell’UE e del Regolamento generale sulla protezione dei dati (GDPR) dell’UE e del Regno Unito.
Il GDPR richiede che tale consenso sia specifico, informato, non ambiguo e prestato liberamente , richiedendo un’azione affermativa da parte dell’utente. Sfortunatamente, questo non ci sta dando una grande protezione.
I siti Web hanno utilizzato vari metodi per aggirare i requisiti. La maggior parte delle richieste di consenso ai cookies veniva presentata con caselle di spunta preselezionate che, per impostazione predefinita, consentivano alle persone di accettare i cookies sui propri dispositivi. Non a caso, secondo uno studio sperimentale, il 93 degli utenti ha accettato i cookies indipendentemente dal fatto di avere una seconda opzione di finestra per gestirli.
Nel 2019 la Corte di giustizia dell’Unione europea (CGUE) ha deciso che i siti Web non potevano più farlo, poiché evitava l’obbligo di azione affermativa del GDPR. Ma tale è il valore dei dati che possono essere raccolti utilizzando i cookies che i siti Web sono semplicemente passati a soluzioni alternative.
La CNIL ha sanzionato questa nuova opzione, sostenendo che i due clic necessari per il rifiuto mettono sotto pressione gli utenti , spingendoli al consenso. La maggior parte delle aziende non ha commentato mentre Meta ha risposto di essere impegnata a collaborare con le autorità competenti. “Abbiamo aggiunto”, ha chiarito l’azienda, “ controlli sul consenso dei cookies che offrono alle persone un maggiore controllo sui propri dati, incluso un nuovo menu delle impostazioni su Facebook e Instagram in cui gli utenti possono rivedere e gestire le proprie decisioni in qualsiasi momento. E’ nostra intenzione continare a sviluppare e migliorare questi controlli”.
La decisione francese non è vincolante per le altre autorità di regolamentazione in Europa. Pertanto, una volta scaduto il termine di tre mesi della CNIL, i siti Web potrebbero affermare che esiste un’ambiguità nella legge sul concetto di consenso. Dall’indagine condotta su 50 noti siti web da “The Conversation”, solo 15 (il 30 per cento) sembrano essere conformi alle leggi sulla privacy dei dati UE/Regno Unito. Alcuni di quei siti conformi, come ebay.co.uk , forniscono i pulsanti “Accetta” e “Rifiuta” nello stesso banner. Altri come bbc.co.uk rendono più difficile rifiutare i cookies, ma consentono in ogni caso agli utenti di navigare.
Ben 32 siti (il 64 per cento) non rispettano le regole europee sui cookies dell’UE e del Regno Unito, tra cui includono Google, Facebook e Twitter, oltre ad altre grandi aziende come Ryanair e il sito web del Daily Mirror.
C’erano altri tre siti Web in cui non era chiaro se ci fosse rispetto delle regole. Spotify, come la BBC, ha un tipico banner sui cookies, ma consente agli utenti di navigare anche se non li accettano. E’ da rimarcare, però, che il suo banner sui cookies copre metà dello schermo del dispositivo. Ciò riduce la qualità dell’esperienza di navigazione dell’utente e potrebbe essere potenzialmente considerata una pratica coercitiva.
Il fatto che le grandi aziende tecnologiche non rispettino le leggi sui cookies rende probabile l’ipotesi che milioni di cittadini stiano vedendo i propri dati personali raccolti illegalmente. È difficile non chiedersi se alcune aziende stiano violando consapevolmente le regole perché generano così tante entrate dai loro cookies che vale la pena rischiare una sanzione per una violazione della privacy.
Potrebbero anche scommettere sul fatto che le autorità competenti siano troppo sottofinanziate o con personale insufficiente per far rispettare le regole. Per esempio, un recente rapporto del difensore civico olandese ha evidenziato che l’autorità competente in quel paese aveva 9.800 reclami sulla privacy irrisolti alla fine del 2020.
E secondo l’Irish Council for Civil Liberties, “quasi tutti (98 per cento) i principali casi di GDPR in Irlanda rimangono irrisolti”, in parte a causa della mancanza di budget e di personale specializzato sufficiente. È improbabile che la situazione sia radicalmente diversa negli altri paesi dell’UE.
Se l’Europa e il Regno Unito sono seriamente intenzionati a proteggere la privacy dei cittadini, devono modificare le regole sulle caratteristiche di una finestra di consenso e condurre campagne di informazione per chiarire ai cittadini che negare il consenso non può in alcun modo limitare la loro esperienza di navigazione. Dovrebbero inoltre allocare le risorse necessarie per far rispettare le regole. Solo allora le leggi su questi strumenti poco conosciuti per la raccolta dei nostri dati saranno conformi allo scopo.
(rp)
