CGUE: l'analisi basata sui cookie raccoglie dati sensibili

Image of Carlo Cilento

Pubblicato il 9 ago 2023 da Carlo Cilento

Le grandi multe contro Meta hanno fatto notizia ultimamente, ma una decisione è passata sotto silenzio: la sentenza del Bundeskartellamt della Corte di Giustizia dell'UE.

È un peccato, perché la sentenza è dinamitarda. Mette a dura prova la strategia di conformità di Meta, mette in discussione l'intero modello di business dell'azienda e potrebbe creare un mondo di problemi per le Big Tech nel lungo periodo, consentendo alle autorità della concorrenza di esaminare gli abusi di mercato.

Infine, ma non meno importante, la sentenza chiarisce che i cookie analitici possono, e spesso lo fanno, raccogliere dati sensibili(indovinate chi l'ha sempre detto?).

C'è molto da dire su questa decisione, quindi divideremo l'analisi in due parti. Questo blog analizza cosa dice la sentenza sui dati sensibili e cosa significa nel quadro generale. Il secondo blog si concentra sul resto della decisione e spiega come potrebbe avere un impatto enorme sia sul modello di business di Meta sia sulle Big Tech in generale.

Entriamo nel vivo: ecco cosa riguarda la sentenza del Bundeskartellamt, cosa significa e perché potrebbe cambiare le carte in tavola!

  1. Di cosa tratta il caso?
  2. Cosa dice la sentenza
  3. Cosa dice la sentenza sui dati sensibili?
  4. È sorprendente?
  5. Cosa significa questo per le analisi basate sui cookie?
  6. Conclusioni

Di cosa tratta il caso?

Il caso del Bundeskartellamt si colloca a metà strada tra la legge sulla protezione dei dati e la legge antitrust. Nel 2019 l'autorità tedesca per la concorrenza*(Bundeskartellamt*) ha scoperto che Meta abusava della sua posizione dominante sul mercato dei social media. Per correggere questo abuso, l'autorità ha ordinato all'azienda di modificare i termini di servizio e le politiche sulla privacy per gli utenti tedeschi.

In breve, l'autorità ha ritenuto che Meta non potesse trattare i dati off-Facebook (cioè quelli raccolti su altri siti web attraverso i cookie di Facebook e altri tracker) senza il consenso dell'utente. Inoltre, ha messo in dubbio le basi legali di Meta per servire pubblicità personalizzata agli utenti di Facebook.

Meta ha fatto quello che fanno sempre le Big Tech e ha contestato la decisione fino in fondo. Questa strategia si è ritorta contro e ha portato a una sentenza ancora peggiore da parte della Corte di giustizia dell'UE (CJEU) il 4 luglio.

Cosa dice la sentenza

C'è molto da analizzare nel Bundeskartellamt, ma ecco alcuni dei punti principali:

  • i cookie di analisi web possono raccogliere dati sensibili
  • un'autorità garante della concorrenza può prendere in considerazione le violazioni del GDPR quando valuta l'abuso di posizione dominante
  • Facebook non può fornire pubblicità mirata senza consenso

Per essere chiari: la CGUE non "decide" esattamente i casi, ma piuttosto chiarisce l'interpretazione della legge. Quindi, quando diciamo che "la Corte ha stabilito che Facebook non può fornire pubblicità mirata senza consenso", intendiamo dire che la CGUE ha confermato un'interpretazione del GDPR in base alla quale Facebook, con ogni probabilità, tratta dati sensibili. Spetta alla Corte tedesca decidere se questo sia il caso, in base ai fatti del caso. Ma quando si tratta del significato della legge, la Corte è vincolata alla sentenza della CGUE.

A questo punto, vediamo cosa ha detto la CGUE sui dati sensibili e perché è una questione così importante.

Cosa dice la sentenza sui dati sensibili?

Meta non si limita a tracciare gli utenti di Facebook sul proprio social network. Utilizza anche cookie, API e altri strumenti per tracciare il comportamento di navigazione degli utenti e l'utilizzo delle app al di fuori della piattaforma. Nella causa Bunderskartellamt, la Corte ha rilevato che questi tracker raccolgono dati sensibili quando qualcuno visita determinati siti web o utilizza determinate applicazioni (ad esempio, le applicazioni per incontri gay).

È necessario sottolineare due aspetti molto importanti. Primo: questi tracker funzionano come i cookie utilizzati nel web marketing e nell'analisi. Quindi, per estensione, la logica alla base della sentenza si applica a qualsiasi servizio di analisi basato sui cookie (compreso il più importante, Google Analytics).

Secondo: la Corte ha specificato molto chiaramente che una serie di dati deve essere trattata come dati sensibili quando contiene dati sensibili. Se avete mille visitatori giornalieri e solo uno di loro cerca su Google gli effetti collaterali del proprio farmaco, tutti i dati devono essere trattati come sensibili.

In conclusione, i cookie di analisi web e di marketing raccolgono dati sensibili e lo fanno molto, molto spesso.

Non si tratta di un'ipotesi, ma di una conseguenza logica del Bundeskartellamt. È solo questione di tempo prima che una Corte o un'autorità per la privacy si pronunci su questo punto quando si tratta di Google Analytics o di altri fornitori di analisi basate su cookie.

È sorprendente?

Non lo è affatto. Questa decisione è la conseguenza di una sentenza precedente che abbiamo già analizzato in modo approfondito e che già allora avevamo previsto.

Ecco le questioni legali in gioco. Il GDPR considera alcune categorie speciali di dati come dati sensibili. Si tratta di informazioni come l'orientamento sessuale, l'appartenenza religiosa e politica, i dati sulla salute e così via. I dati sensibili sono fonte di problemi se vengono utilizzati in modo improprio o se finiscono nelle mani sbagliate, quindi i requisiti per il trattamento dei dati sensibili sono più severi di quelli per il trattamento dei dati personali comuni.

Un tempo pensavamo a queste categorie speciali di dati come a una serie di caselle etichettate. C'era una casella per l'orientamento sessuale, una per le convinzioni religiose, una per l'origine etnica e così via. Tutto ciò che era all'interno delle caselle era un dato sensibile, tutto ciò che era al di fuori delle caselle non lo era. C'erano alcuni casi poco chiari, ma per la maggior parte era tutto qui.

Ma ecco l'inghippo: cosa succede quando si possono usare i dati fuori dalla scatola per capire cosa c'è dentro? Questo rende sensibili anche i dati al di fuori della scatola?

L'anno scorso la Corte ha risposto "sì" e ha aperto il vaso di Pandora.

IlBundeskartellamt è la logica conseguenza di questo precedente. Il GDPR non dice che la cronologia di navigazione e l'utilizzo delle app sono dati sensibili, ma si possono fare molte deduzioni su una persona in base alla sua cronologia di navigazione e una parte di queste deduzioni spesso si riferisce a dati sensibili. Pertanto, è necessario trattare tutti questi dati come dati sensibili.

In una parola, significa problemi. I dati sensibili sono regolamentati in modo molto rigoroso. Se utilizzate le analisi basate sui cookie, dovete rispettare tutte le regole per l'elaborazione dei dati sensibili, il che non è facile.

Ad esempio, i dati sensibili possono essere trattati solo in casi specifici ai sensi del GDPR. Per l'analisi web, l'unico scenario plausibile è quando viene dato un consenso esplicito. Come funzionerebbe in pratica?

Ebbene, il settore della pubblicità online fatica persino a raccogliere un consenso "di base", non esplicito, ai sensi del GDPR. Innumerevoli siti web estorcono il consenso attraverso banner cookie ingannevoli, anche se non sono conformi. Non è possibile che l'attuale ambiente pubblicitario online sia in grado di soddisfare il più alto livello di consenso esplicito.

Il consenso esplicito non è l'unico problema. L'articolo 35 del GDPR richiede una valutazione d'impatto sulla protezione dei dati (DPIA) in alcuni scenari di trattamento rischiosi, che includono il trattamento su larga scala di dati sensibili. Non è chiaro al 100% cosa significhi "su larga scala", ma non è azzardato pensare che questa norma si applichi a molti siti web che utilizzano analisi basate sui cookie, e sicuramente si applicherebbe ai siti web più grandi.

In termini pratici, questi siti web dovrebbero spiegare nei loro documenti come i rischi per la privacy derivanti dalla raccolta di una tonnellata di dati sensibili dei visitatori e dalla loro immissione in quel cassonetto della privacy che è l'ecosistema della pubblicità online siano una buona idea e non comportino rischi per la privacy intollerabili e decisamente sproporzionati. Oltre a valutare i rischi, devono anche spiegare come intendono mitigarli.

Buona fortuna.

Nel complesso, il Bundeskartellamt diventerà sicuramente un problema molto serio per i siti web che si occupano di argomenti sensibili e per i cookie di terze parti in generale.

A questo proposito, l'autorità norvegese per la protezione dei dati ha fornito alcuni interessanti consigli sulle analisi web (si noti che stiamo utilizzando una traduzione automatica per il testo norvegese):

datatylsinet screenshot 2.JPG

La Norvegia non è uno Stato membro dell'UE, ma fa parte del SEE. Quindi il GDPR si applica integralmente e l'autorità sta pensando alla legge europea, non a quella norvegese! E probabilmente non è una coincidenza che questo parere sia stato pubblicato poco dopo il Bundeskartellamt.

Ciò non significa che le altre autorità europee siano necessariamente d'accordo, ma non siamo i soli a ritenere che l'analisi basata sui cookie abbia un serio problema di conformità con i dati sensibili.

Conclusioni

IlBundeskartellamt non è esattamente una rivelazione. I difensori della privacy hanno sensibilizzato i consumatori sui rischi delle tecnologie di tracciamento già da anni. Sapevamo già da prima della sentenza che la pubblicità basata sui cookie è pericolosa ed estremamente invasiva della privacy individuale.

Ma affermare l'ovvio è importante perché molte organizzazioni minimizzano sistematicamente i rischi del tracciamento.

Google e molti altri fornitori hanno bisogno di vendere il prodotto, quindi fanno del loro meglio per nascondere i problemi di privacy sotto il tappeto. Giocano la carta retorica del controllo dell'utente sui dati, pur sapendo che questa parvenza di controllo non è altro che una farsa.

I clienti di queste aziende si lasciano ingannare da questa narrazione e non pensano troppo alle implicazioni sulla privacy degli strumenti che utilizzano. Dopo tutto, l'analisi basata sui cookie è ormai una pratica standard. Tutti lo fanno da anni, quindi non può essere così grave!

Ma è così grave, e il Bundeskartellamt dimostra senza ombra di dubbio che le pratiche attuali di web analytics e marketing non sono né conformi al GDPR né sostenibili a lungo termine.

Tutto sommato, questo sarebbe un ottimo momento per abbandonare del tutto i cookie. L'analisi web senza cookie è assolutamente possibile ed è esattamente ciò che facciamo noi.

Abbiamo costruito Simple Analytics per fornire alle aziende tutte le informazioni di cui hanno bisogno, senza raccogliere dati personali! La privacy è la pietra miliare di Simple Analytics. Non utilizziamo cookie, impronte digitali o tracciamento degli utenti in alcun modo. Se vi sembra una buona idea, provateci!