I cookie rivestono un ruolo fondamentale per le iniziative marketing online ma sembra che questi siano destinati a scomparire, lasciando spazio a modi alternativi per fare pubblicità online, creando un mondo senza cookie grazie all’AI (“cookieless web”).
Innanzitutto, occorre definire che cosa sono i cookie. I cookie, come definiti dal Garante Privacy nelle Linee Guida sui Cookie (sull’argomento, si veda Siete pronti alle nuove linee guida del Garante privacy sui cookie?), come stringhe di testo che i siti web (c.d. publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (c.d. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
E, come anche previsto dal Garante, si suddividono principalmente in tre categorie:
- Cookie tecnici
- Cookie analitici e
- Cookie di profilazione.
Ai sensi dell’art. 122 del Codice Privacy, che implementa l’articolo 5.3 della Direttiva ePrivacy, solamente per queste ultime due categorie è richiesto il consenso dell’utente prima di poterli installare (per i cookie analitici, solo quando questi sono di terze parti), attraverso cookie banner realizzati in maniera user friendly evitando i c.d. dark patterns (sull’argomento, si veda “La prima sanzione del Garante privacy sui dark pattern: l’importanza del legal design”) ai sensi delle Linee Guida sui Cookie del Garante.
Pertanto, per fini analitici (quando i cookie sono installati da terze parti), o di profilazione, il sito web deve necessariamente raccogliere il consenso degli utenti, altrimenti potranno essere installati unicamente cookie c.d. tecnici necessari per poter navigare sul sito, rendendo dunque i dati degli utenti che non hanno acconsentito inutilizzabili per finalità di analisi per esempio delle campagne marketing, o ancora per finalità di profilazione.
Per tale ragione, alcuni provider come Google, stanno promuovendo modi per utilizzare anche le informazioni ottenute dagli utenti che non hanno acconsentito all’installazione dei cookie, in maniera aggregata, non installando alcun cookie sui dispositivi degli utenti ma solo utilizzando altri tracciatori come i ping (per questo motivo si parla di “cookieless world”). Attraverso l’AI, e sulla base di poche informazioni, i ping riescono a recuperare informazioni fondamentali sull’efficacia delle campagne digitali nell’attirare lead e aumentare le vendite online anche quando gli utenti non accettano i cookie, attraverso calcoli probabilistici. È chiaro dunque come questi strumenti possano essere molto utili per le aziende, con cui è pertanto possibile circuire il problema di doversi preoccupare di aver acquisito il consenso degli utenti, prima di poter utilizzare tali dati.
Come detto, però, tecnicamente tali informazioni vengono recuperate attraverso i ping che sono strumenti di tracciamento c.d. passivi. Anche tali strumenti, benché non prevedano uno storage nei dispositivi degli utenti, entrano nell’ambito di applicazione delle Linee Guida sui Cookie del Garante, nonché nelle Linee Guida 2/2023 dell’EDPB, e pertanto non sono da considerarsi completamente esenti dalle tematiche in tema di cookie.
Il tema privacy principale in merito all’utilizzo di questi strumenti “cookieless”, che, si badi bene, al momento non sono ancora stati oggetto di alcuna decisione da parte delle autorità privacy europee (ma potrebbero esserlo) è comprendere fino a che punto i provider riescono a garantire di non poter risalire in alcun modo agli utenti che non hanno acconsentito all’installazione dei cookie.
Per il momento, un mondo senza cookie grazie all’AI sembra possibile, ma la questione rimane aperta, e, sebbene da un lato i ping ben possano rientrare nella definizione di “cookie tecnici”, è anche vero che (i) le posizioni delle autorità privacy europee sul tema dei cookie e degli altri strumenti di tracciamento si è sempre fatta più rigida, e poco flessibile, e (ii) al momento si hanno ancora troppe poche informazioni rispetto a come tecnicamente i provider utilizzano le informazioni ottenute attraverso i ping.
Su un simile argomento può essere di interesse: “Siete pronti alle nuove linee guida del Garante privacy sui cookie?”.
