▼ Il tweet del giorno

giovedì 17 gennaio 2013

#Privacy e pubblicità, l'appello del #Garante sui cookie



La normativa europea sui cookie è stata infine recepita anche in Italia. Tutti i Paesi europei sono tenuti ad armonizzare le proprie regole nazionali per recepire le nuove direttive europee, delle quali avevo già parlato un anno fa alla loro pubblicazione.

In Italia Il garante per la Privacy ha appena avviato una consultazione pubblica volta ad individuare modalità semplificate per l'informativa sui cookie. I soggetti invitati a partecipare alla consultazione sono le associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte,  le università e i centri di ricerca. Tutti gli interessati possono inviare un'email all'indirizzo consultazionecookie@gpdp.it. La consultazione ha una durata di 90 giorni a partire dal 18 dicembre 2012 (quindi c'è tempo fino al 18 marzo 2013 per presentare i propri suggerimenti). Con questo post intendiamo sensibilizzare l'opinione pubblica, e invitiamo in particolare gli operatori economici della rete a presentare i propri suggerimenti per semplificare al massimo la procedura.

In estrema sintesi per la direttiva è necessario informare ed acquisire il consenso degli utenti se si desidera effettuare una profilazione di carattere pubblicitario attraverso l'installazione di cookie. Nessun problema invece per i cookie tecnici, quelli necessari ad una corretta fruizione di un servizio internet, dei quali va comunque comunicata la presenza.

Prima di entrare in materia, c'è da dire che quella europea è una normativa che arriva in forte ritardo, alla presenza di consolidate forme di autoregolamentazione avanzata, che vedremo tra poco.

C'è da dire che sarebbe stato meglio regolare i cookie a livello di browser, lì dove si possono gestire ed eventualmente cancellare. Che poi per me è sempre stata una questione di marketing del nome. Cookie significa biscotto dolce, è un termine inglese americano che ha la sua origine dall'olandese del '700 (koekje). In Italia, dove una volta superate le brutture dell'autarchia fascista che obbligava a tradurre in italiano tutti i termini, ci siamo ormai abituati ad assimilare senza tradurre qualsiasi termine tecnico informatico. Fatto sta che cookie, in italiano suona malissimo, e nell'immaginario comune sembra il cugino del worm e del trojan, un malware. In realtà il cookie non è il male. Il cookie è utile, è simpatico. Ti aiuta ad ottenere un servizio migliore senza chiederti noiose iscrizioni o di rilasciare te stesso quelle informazioni. Ma l'Unione Europea ha deciso di regolare questo accordo implicito tra il navigatore e siti che fanno utilizzo di cookie (in pratica tutti, chi più, chi meno).

Che informazioni ottengono i cookie?

Una mappa di tracciamento cookie (collusion.toolness.org)
A destra potete vedere un'immagine che rappresenta i siti che hanno ottenuto le mie informazioni di navigazione in una fascia oraria di 48 ore. I punti in rosso rappresentano i media che hanno rilasciato i cookie con finalità di tracciamento pubblicitario, quelli in grigio invece fanno ricorso a cookie di servizio (ma non sappiamo se facciano altri tracking di tipo pubblicitario). Ok, quando si tratta di navigare su internet io non scherzo, ma una mappa così complessa si può ricavare per la maggior parte di noi. Ma che tipo di dati hanno ottenuto da questa mappatura i vari siti internet e i servizi di terzi associati? Essenzialmente i dati di navigazione proveniente dal mio computer. I network possono così costruire profili pubblicitari, e i proprietari dei siti realizzare contenuti migliori e personalizzarli ai miei gusti. Nessun problema. Ciò che potrebbe non andar bene è che questi dati possano essere incrociati con quelli di Facebook, o di altri social network in possesso delle mie informazioni sensibili. Se si viene a sapere che dal mio computer partono attività di navigazione che possano aiutare ad identificare la mia sfera sessuale, politica, religiosa (esempi di informazioni sensibili), non ho nulla in contrario. Ma se qualche media riuscisse ad incrociare queste informazioni risalendo alla mia identità (magari tramite Facebook) questo sarebbe un problema. La raccolta delle informazioni tramite cookie è sempre stata anonima. Oggi è invece possibile che questi dati vengano incrociati con quelli dei nostri profili sui social media. E' da questa congiunzione che possono nascere problemi di privacy, e questo territorio non pare ancora oggetto di regolamentazione da parte dell'UE.

Autoregolamentazione: cosa fanno i big di Internet per mantenere un atteggiamento rispettoso della nostra privacy?

Partiamo da Montain View, dove ha sede il motore di ricerca di internet. Google costruisce profili pubblicitari basati sul tracciamento dei cookie e su altre informazioni in suo possesso, come le nostre ricerche. Queste informazioni sono utilizzate per presentarci pubblicità il più possibile mirata al profilo che è stato costruito intorno al nostro account Google. Nel mio caso è abbastanza corrispondente: hanno individuato il mio profilo demografico e hanno individuato le categorie di siti internet che maggiormente mi interessano. In altri casi la corrispondenza è meno efficacie. Google consente di disattivare questo tracking in maniera definitiva. Ve lo sconsiglio. Fare output non vuol dire che non vedrete più pubblicità, ma che essa sarà meno pertinente e interessante per voi. Io piuttosto immagino un mondo in cui davvero ci vengono proposti annunci pubblicitari in base alle nostre esigenze, senza per questo ricevere pubblicità invadenti.

Esempio informativa Cookie, Huffingtonpost.it
L'altro gigante della pubblicità è Facebook. Il profilo demografico è qui costruito dalla persona, e non indovinato come nel caso di Google (il quale però attraverso il proprio social network Google+ sta colmando il gap, con oltre 500 milioni di profili in tutto il mondo). Il targeting per interessi è quindi derivato dalle preferenze rilasciate dall'utente, come i brand di cui si è fan. Anche il popolare Social Network con sede a Palo Alto permette di modificare le opzioni pubblicitarie, dove ad esempio è possibile disattivare le Social Ads, che permettono alle aziende di utilizzare le nostre interazioni con i brand per finalità pubblicitarie.

Per iniziativa dello IAB, l'Internet Advertising Bureau, l'ente che dal 1996 riunisce i principali media pubblicitari della rete,  è possibile disattivare il tracciamento tramite cookie di alcuni o di tutti i principali network di monitoraggio pubblicitario. Questa scelta non è definitiva, ma è necessario tornare a visitare la pagina regolarmente. Ed è qui che si può notare il problema intorno alla regolamentazione cookie. I cookie non sono controllati dai pubblicitari, ma da chi possiede il computer.

 Suggerimenti per il garante

Dia tempo alle società per mettersi in regola, almeno fino a dicembre 2013. Faccia una deroga per i blog - i quali potranno comunque fare ricorso a servizi come quello di Iubenda (su Intervistato trovate un'intervista al suo fondatore Andrea Giannangelo). Cerchi di collaborare con i browser per far comprendere facilmente cosa sono i cookie e come rimuoverli; con i network pubblicitari lavori su informative presenti direttamente all'interno degli spazi pubblicitari.

Per i siti internet venga dato spazio all'informativa cookie all'interno del footer del sito, a piè pagina. In questa sezione i visitatori di internet sono abituati a trovare informazioni sul sito che stanno visitando, come le informazioni di contatto e le altre informative sulla privacy.

Alla registrazione di uno qualsiasi dei servizi del sito, si includa l'informativa sui cookie alle informative privacy e sull'utilizzo dei dati per finalità pubblicitarie.

Il Garante della Privacy, cui va dato atto di grande intelligenza nell'avviare una consultazione pubblica, semplificando questa regolamentazione, non farà un favore solo agli operatori del settore, ma anche agli utenti della rete.

Angelo Centini | @100tek


Privacy and advertising, the Guarantor appeal on cookies

The European regulamentation on cookies has finally been received in Italy as well. All European countries must harmonize their national laws in order to receive the new European directives, of which I had already talked one year ago at their publication.

In Italy the privacy guarantor has just started a public consulation with the aim of finding simplified modalities for the informative on cookies. Those invited to participate are the associations that are mostly representative at a national level of consumers and the economical categories involved, universities and research centres. All those who are interested can send an email to the address consulazionecookie@gpdp.it. The consultation has a duration of 90 days starting December 18th 2012, so there's time untile March 18th to present suggestions. With this post we intend to sensibilize the public opinion, and we invite particularly economical operators of the web to present their suggestions to simplify the procedure as much as possible.

Although cookies cannot carry viruses, and cannot install malware on the host computer, tracking cookies and especially third-party tracking cookies are commonly used as ways to compile long-term records of individuals' browsing histories — a major privacy concern that prompted European and US law makers to take action in 2011.

Other kinds of cookies perform essential functions in the modern Web. Perhaps most importantly, authentication cookies are the most common method used by web servers to know whether the user is logged in or not, and which account they are logged in under. Without such a mechanism, the site would not know whether to send a page containing sensitive information, or require the user to authenticate himself by logging in. The security of an authentication cookie generally depends on the security of the issuing website and the user's web browser, and on whether the cookie data is encrypted. Security vulnerabilities may allow a cookie's data to be read by a hacker, used to gain access to user data, or used to gain access (with the user's credentials) to the website to which the cookie belongs (see cross-site scripting and cross-site request forgery for examples).

What kind of information do cookies collect?


Cookies may be used to remember the information about the user who has visited a website in order to show relevant content in the future. For example a web server may send a cookie containing the username last used to log in to a website so that it may be filled in for future visits. Many websites use cookies for personalization based on users' preferences. Users select their preferences by entering them in a web form and submitting the form to the server. The server encodes the preferences in a cookie and sends the cookie back to the browser. This way, every time the user accesses a page, the server is also sent the cookie where the preferences are stored, and can personalize the page according to the user preferences. For example, the Wikipedia website allows authenticated users to choose the webpage skin they like best; the Google search engine once allowed users (even non-registered ones) to decide how many search results per page they want to see.

Autoregolamentation: what are the big of the Internet doing to maintain a respectful behavior towards our privacy?

The industry’s response has been largely negative. Some view the Directive as an infernal doomsday machine that will "kill online sales" and "kill the internet". Robert Bond of the law firm Speechly Bircham describes the effects as "far-reaching and incredibly onerous" for "all UK companies." Simon Davis of Privacy International argues that proper enforcement would "destroy the entire industry".

The P3P specification includes the possibility for a server to state a privacy policy, which specifies which kind of information it collects and for which purpose. These policies include (but are not limited to) the use of information gathered using cookies. According to the P3P specification, a browser can accept or reject cookies by comparing the privacy policy with the stored user preferences or ask the user, presenting them the privacy policy as declared by the server.

Many web browsers including Apple's Safari and Microsoft Internet Explorer versions 6 and 7 support P3P which allows the web browser to determine whether to allow third-party cookies to be stored. The Opera web browser allows users to refuse third-party cookies and to create global and specific security profiles for Internet domains. Firefox 2.x dropped this option from its menu system but it restored it with the release of version 3.x.

Third-party cookies can be blocked by most browsers to increase privacy and reduce tracking by advertising and tracking companies without negatively affecting the user's Web experience. Many advertising operators have an opt-out option to behavioural advertising, with a generic cookie in the browser stopping behavioural advertising.

Angelo Centini | @100tek

1 commento :

Posta un commento

▼ Leggi i migliori della settimana

2