di Massimo Bolchi
Appuntamento ad aprile 2024 per la presentazione del testo finale del regolamento sui cookies al ‘Consumer Summit’. Perché non basta che Google abbia accettato di precedere alla deprecazione dei cookies di terza parte nel corso dell’anno: la Commissione europea (e l’EDPB – European Data Protection Board) stanno mettendo a punto delle regole comuni, valide per tutti i paesi della UE, di cui per il momento sono disponibili della bozze di lavoro, che rappresentano (per ora) una riflessione su come mettere i consumatori in condizione di fare scelte efficaci in merito ai modelli pubblicitari basati sul tracciamento.
Lo stato attuale delle discussioni sul cosiddetto ‘cookie pledge’ è tutto sommato positiva: il Comitato europeo per la protezione dei dati ha approvato l’iniziativa della Commissione, che consiste in un impegno volontario delle imprese a semplificare la gestione dei cookie e delle scelte pubblicitarie personalizzate da parte degli utenti. L’EDPB ha espresso un parere limitatamente favorevole il 13 dicembre 2023, esprimendo alcune raccomandazioni: in particolare, l’EDPB ha ricordato di non chiedere il consenso al trattamento dei dati personali degli utenti per un anno successivamente a un rifiuto, al fine di ridurre il fenomeno della ‘cookie fatigue’.
La Commissione ha preso in considerazione le raccomandazioni dell’EDPB e ha aggiornato i principi del ‘cookie pledge’ di conseguenza. La nuova versione è stata pubblicata il 20 dicembre 2023 e prevede che le imprese che aderiscono all’iniziativa si impegnino a fornire agli utenti informazioni chiare e trasparenti sul modo in cui i loro dati vengono raccolti e utilizzati, consentendo agli utenti di scegliere quali cookie accettare o rifiutare. In più, è stata recepita anche la richiesta di non chiedere il consenso al trattamento dei dati personali degli utenti per un anno almeno in caso di rifiuto.
Tuttavia, non è ancora chiaro come la Commissione intenda procedere. È possibile che venga adottata una nuova normativa che renda obbligatorio per le imprese aderire al ‘cookie pledge’, oppure che si opti per una soluzione più flessibile, come la creazione di un modello di contratto standard che le imprese possano scegliere di adottare. In attesa di una decisione definitiva, le imprese che intendano aderire al cookie pledge possono già iniziare a prepararsi. Il documento con i principi del cookie pledge è disponibile sul sito web della Commissione europea.
L’EDPB ha riconosciuto il valore dell’iniziativa della Commissione e ha fornito indicazioni utili per la sua implementazione. È probabile che la Commissione adotterà una soluzione che garantisca un adeguato livello di protezione dei dati personali degli utenti, senza ostacolare l’innovazione e lo sviluppo del mercato digitale.
Ecco alcuni dettagli sulle altre raccomandazioni dell’EDPB:
1) Raccogliere solo i dati personali necessari per le finalità specificate. Questa raccomandazione mira a ridurre la quantità di dati personali raccolti dalle imprese tramite i cookie. Le imprese dovrebbero raccogliere solo i dati personali necessari per le finalità specifiche per le quali i cookie vengono utilizzati, ad esempio per fornire pubblicità personalizzata o per migliorare l’esperienza di navigazione degli utenti.
2) Fornire agli utenti informazioni chiare e concise sul trattamento dei dati personali. Questa raccomandazione mira a migliorare la trasparenza del trattamento dei dati personali tramite i cookie.
Ma c’è un ultimo punto in discussione, quello del ‘pay or leave’, ossia l’opzione di pagare (un abbonamento di solito) per vedere il sito nella sua interezza oppure essere costretti ad abbandonarlo, che vediamo diffondersi sempre più spesso nel web e che in Italia è il più frequente per gli editori. La proposta alternativa sostenuta dall’EDPB è che i siti, giornali e i social dovranno offrire, oltre alla versione a pagamento e a quella con la profilazione pubblicitaria attiva, anche una terza via che preveda una pubblicità meno invasiva, una sorta di contextual advertising che leghi i contenuti editoriali a quelli pubblicitari.
L’EDPB ha proposto una definizione di ‘contenuto contestuale’ che si basa sul contenuto della pagina web che l’utente sta visitando. Questa definizione è stata tuttavia criticata da alcune imprese, che ritengono che sia troppo restrittiva e possa limitare l’efficacia della pubblicità contextual. L’EDPB ha raccomandato inoltre che le imprese non utilizzino dati personali non necessari per il targeting contextual, un’altra indicazione che ha suscitato discussioni accese tra le azinde favorevoli e quelle contrari.
La Commissione europea ha dichiarato che prenderà in seria considerazione le raccomandazioni dell’EDPB nel processo di implementazione del cookie pledge, incorporandole probabilmente nella nuova normativa o nel modello di contratto standard che la Commissione adotterà.
