Che l’effettiva entrata in vigore del GDPR nel vecchio continente non potesse costituire la panacea di tutti i mali riguardanti la privacy e la sicurezza dei dati lo abbiamo sempre saputo. La normativa europea fissa rigidi paletti in merito alle modalità di ottenimento e conservazione delle informazioni, ma a che punto siamo per quanto concerne l’implementazione? C’è ancora molto da fare, anche in relazione ai cookie.
Cookie, tracking e GDPR: a che punto siamo?
Un argomento già discusso anche su queste pagine, in seguito alle perplessità sollevate dalla DPPA olandese poco meno di un anno fa. Torniamo a farlo oggi citando uno studio condotto in collaborazione da MIT, UCL e Aarhus University. Gli istituti hanno analizzato i tool offerti ai gestori dei siti da parte di cinque dei più importanti player del mercato al fine di acquisire il consenso per il tracking da parte degli utenti: QuantCast, OneTrust, TrustArc, Cookiebot e Crownpeak. Rimandiamo al report completo (link a fondo articolo) intitolato “Dark patterns after the GDPR: scraping consent pop-ups and demonstrating their influence” per ogni dettaglio. Qui ci limitiamo a riportare i passaggi più significativi di quanto emerso.
Prendendo in esame i 10.000 portali più visitati nel Regno Unito (sulla base del rating Alexa), solo l’11,8% risulta conforme ai requisiti minimi fissati dal GDPR. Anzitutto, al navigatore non dovrebbero essere mostrate caselle preselezionate (rendendo così più probabile l’accettazione del tracking). Poi il rifiuto dei cookie dovrebbe essere semplice tanto quanto autorizzare la loro creazione: il 50,1% dei siti non mostra invece il pulsante per rifiutare ogni forma di tracciamento (previsto per legge) e anche tra coloro che lo fanno solo nel 12,6% dei casi richiede un numero di interazioni uguale o inferiore rispetto a quanto necessario per dare il via libera all’acquisizione delle informazioni.
Un pulsante “Accetta tutto” non è mai nascosto in un secondo layer, mentre quelli “Rifiuta tutto” sono posizionati nel 74,3% dei casi in un layer inizialmente non visibile, richiedendo almeno due comandi, per lo 0,9% ne servono addirittura tre o più.
Problemi legati al design, insomma. I provider dei servizi CMP (Consent Management Platform) citati poc’anzi sembrano aver strutturato le loro piattaforme in modo che il cliente (chi gestisce i siti) possa configurarne il funzionamento al fine di rendere più probabile la creazione dei cookie e meno accessibile il loro rifiuto.
La legislazione europea vieta inoltre il cosiddetto consenso implicito ovvero l’accettazione dei cookie senza un’azione attiva da parte dell’utente, semplicemente scorrendo una pagina oppure facendo click (o tap) sul pulsante per chiudere il pop-up mostrato alla prima visita. Inutile dire che la direttiva non viene recepita nel modo in cui è stata pensata. Così facendo è possibile creare solo quelli necessari al funzionamento del sito per non compromettere la fruizione delle informazioni ospitate.
Fatta la legge, trovato l’inganno? Di certo si è di fronte a un problema di implementazione. Le finalità della cookie law con qualche anno ormai alle spalle e quelle della più recente GDPR sono le medesime (regolamentare la raccolta e il trattamento dei dati), ma perché l’obiettivo possa dirsi raggiunto c’è ancora molto da fare. Nessuno si è mai illuso che l’entrata in vigore di una legge potesse risolvere ogni cosa: le stesse autorità delegate al controllo e incaricate di sanzionare eventuali abusi hanno fin qui mostrato un atteggiamento spesso eccessivamente permissivo, intervenendo con decisione solo nei casi più eclatanti con misure che hanno dato l’impressione di voler fungere più che altro da deterrente.
Lavorare con l’obiettivo di aggiustare il tiro nell’applicazione delle normative e sostenere l’impiego di strumenti confezionati ad hoc (pensiamo ad esempio alle nuove feature incluse nei browser) potrebbe contribuire a compiere un passo in avanti nella giusta direzione.