Panoramica
Google elimina i cookie di terze parti su Chrome: cosa significa?
Diciamolo francamente: la fine dei cookie di terze parti non è la fine del tracciamento.
Non solo, il fatto che Google non supporti più i cookie di terze parti non comporta la fine del tracciamento su Chrome.
I cookie di terze parti sono ben lungi dall’essere l’unica tecnologia utilizzata oggi per effettuare un tracciamento costante e invasivo del comportamento online degli utenti, e ce ne saranno molte altre.
Le tecnologie esistenti che possono tracciare gli utenti, proprio come i cookie di terze parti, includono:
- Local Storage,
- IndexedDB,
- Web SQL,
- qualsiasi altra tecnologia che permetta di salvare i dati sul dispositivo di un utente dai browser (come i cookie).
Sono anni che altri browser (come Safari) bloccano i cookie di terze parti, ma abbiamo visto più volte che i tracker ricorrono semplicemente ad espedienti, cioè altri metodi e nuove tecnologie, che rendono possibile tracciare gli utenti in modo analogo.
Il devastante report di Cookiebot™ del 2019 sul tracciamento ad opera di terzi sui siti web governativi e del settore sanitario dell’UE ha rivelato che Facebook non utilizzava cookie di terze parti, sostituendoli invece con cookie di prima parte combinati con un tracker di pixel, potendo così comunque sorvegliare i cittadini europei in modo continuo e non consensuale.
I cookie di prima parte continueranno a funzionare di default anche nei browser che bloccano i cookie di terze parti (anche in Google Chrome), e continueranno a richiedere il consenso nella maggior parte dei casi, a meno che lo scopo di un cookie non sia “strettamente necessario” per il funzionamento di base di un sito web.
Il progetto di Google di abbandonare i cookie di terze parti in Chrome fa parte di una più ampia strategia di creazione di una piattaforma della privacy con standard trasparenti per il tracciamento degli utenti, che ne tuteli al contempo la privacy (ad esempio attraverso nuove API per i browser, come i “trust token”, una sorta di segnale di riconoscimento per capire chi sia affidabile). Questa iniziativa sta trovando sulla sua strada notevoli ostacoli derivanti da indagini antitrust da parte della Commissione europea e della Competition and Markets Authority (CMA) del Regno Unito.
Le tecnologie di tracciamento stanno cambiando, ma le leggi sulla protezione dei dati richiedono sempre la stessa cosa: il consenso degli utenti finali.
Alcuni di questi nuovi standard potrebbero benissimo finire per rafforzare il tracciamento, dal momento che le nuove tecnologie (come i trust token) garantiranno una sicurezza ancora maggiore per quanto riguarda la re-identificazione degli utenti, risolvendo così solo i problemi di precisione del tracciamento e le frodi pubblicitarie da parte dei bot, due dei principali grattacapi per l’industria ad-tech contemporanea.
Anche se potrebbero sostituire i cookie di terze parti su Chrome, i trust token convivranno con diverse altre tecnologie.
I tracker dispongono di numerose tecniche per determinare l’identità di un utente sui vari siti: ciò significa che, a meno che Google Chrome e altri browser interrompano il supporto non solo dei cookie di terze parti, ma anche di tutte le altre tecnologie di tracciamento simili, i trust token probabilmente non riusciranno a garantire una maggiore protezione della privacy, rivelandosi invece una pedina nelle mani dell’industria pubblicitaria stessa.
Il consenso – ora e nel futuro
Ecco perché il consenso rimane il requisito fondamentale delle principali leggi mondiali per la tutela della privacy dei dati, a partire dal Regolamento generale sulla protezione dei dati (GDPR) dell’UE, fino alla LGPD brasiliana, ispirata alla legislazione europea, e ad altre leggi.
La fine dei cookie di terze parti non equivale alla fine del consenso.
Anzi, il tuo sito web dovrà comunque richiedere e ottenere il consenso esplicito degli utenti prima di poter archiviare qualsiasi dato sul browser di un utente, indipendentemente dalla tecnologia utilizzata: non importa che si tratti di cookie di terze parti, di Local Storage o di trust token.
Il tuo sito web sarà comunque tenuto a informare gli utenti finali in merito a qualsiasi tecnologia utilizzata per raccogliere dati personali, inclusi il relativo fornitore, lo scopo e la durata, e a documentare in modo sicuro i consensi ottenuti, richiedendone il rinnovo almeno una volta all’anno.
Il consenso era, è e sarà alla base del tracciamento conforme alla legge.
Il consenso non solo rimane cruciale nella maggior parte delle normative sulla privacy dei dati, ma sta anche assumendo sempre più grande rilevanza per l’industria pubblicitaria stessa – una tendenza consolidata dal lancio del Google Consent Mode da parte di Google nel settembre 2020, il quale permette ai siti web di eseguire tutti i servizi Google sulla base del consenso degli utenti finali – trovando in tal modo un equilibrio tra la conformità e il tracciamento consensuale.
Google Consent Mode rappresenta un chiaro segnale del fatto che Google, una delle più importanti aziende tecnologiche a livello mondiale, intende orientare l’industria ad-tech verso la direzione del consenso e introdurre un più giusto equilibrio tra la pubblicità digitale e la privacy dei dati personali.
Quindi, mentre è vero che i cookie di terze parti potrebbero scomparire nei prossimi anni, il consenso è destinato a prendersi sempre più la scena, con un ruolo da protagonista su Google e non solo, integrandosi ancora più a fondo e in maniera sistematica con le tecnologie di tracciamento del futuro e con l’industria ad-tech stessa.
Ci sarà bisogno di Cookiebot™ tra due anni?
Sì – non ci sono dubbi.
Cookiebot è una piattaforma di gestione del consenso (CMP) che – a dispetto del nome – gestisce i consensi degli utenti finali al trattamento dei dati personali per diverse tecnologie, tra cui, ma non solo, i cookie di terze parti!
Cookie non è altro che il nome più noto per una piccola parte delle tecnologie oggi disponibili per il tracciamento e la sorveglianza degli utenti sul web; Cookiebot individua già la maggior parte di tali tecnologie, assumendone il pieno controllo per assicurare un consenso reale e trasparente agli utenti del tuo sito.
Le tecnologie di tracciamento (come i cookie di terza parte) che raccolgono dati personali sono legali soltanto in presenza del consenso preventivo degli utenti finali.
Attualmente, Cookiebot ricerca, rileva e controlla le differenti tipologie di cookie presenti su un sito web, tutti i Local Storage, IndexedDB, beacon a ultrasuoni, pixel tag, Silverlight Isolated Storage, HTML5 Local Storage e molte altre tecnologie di tracciamento in uso su internet.
In uno scenario futuro senza i cookie di terze parti, Cookiebot continuerà a individuare qualsiasi altra tecnologia utilizzata per raccogliere i dati personali degli utenti finali, ad esempio le API del browser proposte da Google per la misurazione delle conversioni, il re-marketing e le aste di annunci pubblicitari in tempo reale.
La piattaforma per la gestione del consenso di Cookiebot, leader mondiale nel settore, agisce simulando la presenza di svariati utenti reali che interagiscono con il tuo sito web (cliccando, scorrendo e facendo tutto ciò che un essere umano farebbe su un sito), con lo scopo di attivare tutti i cookie e i tracker in funzione.
Cookiebot provvede poi a bloccare tutti i tracker e presenta agli utenti finali un banner di consenso semplice e diretto, il quale li informa in modo granulare e dettagliato riguardo a tutte le informazioni più rilevanti sulle tecnologie di tracciamento presenti sul sito web, quali il relativo fornitore, lo scopo e la durata.
Cookiebot rende possibile la conformità alle leggi sulla protezione dei dati, come il GDPR dell’UE, il CCPA della California, la LGPD del Brasile e tante altre.
Scansiona il tuo sito web gratuitamente per scoprire quali tecnologie di tracciamento sono in funzione
Il processo di eliminazione dei cookie di terze parti su Google Chrome, in dettaglio
Diamo ora un’occhiata più da vicino ai cookie di terze parti in generale, alla decisione di Google di porre fine ai cookie di terze parti su Chrome nel quadro della più ampia iniziativa denominata Privacy Sandbox, nonché al motivo per cui il consenso sta diventando un elemento difficile da ignorare per l’industria ad-tech nel suo complesso.
Cookie di terze parti: qual è il problema?
I cookie di terze parti, noti anche come cookie di tracciamento, sono una delle tante tecnologie fornite da una terza parte – spesso un’azienda ad-tech come Google – che puoi utilizzare sul tuo sito web per una migliore gestione di strumenti analitici, piattaforme di marketing e integrazioni con i social media.
I cookie di terze parti, tuttavia, non portano vantaggio soltanto a te e al tuo sito web, ma anche ai loro fornitori: l’industria del Digital Advertising, la pubblicità online nel suo complesso, ruota attorno alla raccolta massiccia di dati, alla profilazione degli utenti (con i cosiddetti “cookie di profilazione”) e alle aste di dati in tempo reale.
In cambio dei servizi di ottimizzazione del tuo sito web, molti cookie di terze parti immagazzinano enormi quantità di informazioni personali dei tuoi utenti finali, per poi inviarli, scambiarli e venderli nell’industria della pubblicità digitale.
Le categorie di dati personali che i cookie di terze parti raccolgono vanno da singoli indirizzi IP, cronologie sensibili di ricerca e browser per determinare le abitudini di navigazioni di un utente, dettagli specifici sui dispositivi, a informazioni riservate sulla salute, la sessualità, la famiglia, le convinzioni politiche, le credenze religiose e molto altro ancora.
I cookie di terze parti, una delle tante tecnologie di tracciamento, formano la filiera di una gigantesca industria ad-tech, che ha inizio sul tuo sito web, con i tuoi utenti e i loro dati privati.
Il problema dei cookie di terze parti non è solo la quantità di dati personali che raccolgono, o il carattere sensibile di tali dati – è anche che tutti i dati che raccolgono possono essere combinati per creare profili dettagliati sugli utenti, composti da migliaia e migliaia di “punti di dati” (le tue ricerche su Google negli ultimi cinque anni, le transazioni della tua carta di credito, il tuo profilo sulle app di dating e così via).
Tramite questi profili vengono ricavate informazioni sulla personalità e la vita dell’utente, nonché previsioni sullo stile di vita, che possono poi essere vendute agli inserzionisti, i quali a loro volta indirizzeranno i loro annunci persona per persona con campagne di pubblicità personalizzata, riuscendo ad operare con estrema precisione.
I cookie di terze parti forniscono questi dati, grezzi e lesivi della privacy, a un’industria ad-tech del valore di miliardi di dollari che si basa su queste inferenze per prevedere il comportamento degli utenti; per tutto ciò gli inserzionisti partecipano quotidianamente in aste con offerte in tempo reale, che sono alla base del meccanismo grazie al quale gli annunci di pubblicità personalizzata vengono mostrati agli utenti sul tuo sito web.
I cookie di terze parti scansionati, identificati e controllati dall’impareggiabile scanner di Cookiebot sul sito web di un cliente.
Usercentrics, azienda madre di Cookiebot CMP, si impegna a combattere il tracciamento pervasivo e non consensuale degli utenti finali su internet da parte di terzi. La nostra piattaforma per la gestione del consenso crea un equilibrio sul tuo sito web, in modo che tu possa utilizzare i cookie di terze parti per effettuare analisi e svolgere attività di marketing, lasciando al contempo ai tuoi utenti una scelta autentica e trasparente in merito al consenso – proprio come richiede il GDPR.
La Privacy Sandbox di Google e i cookie di terze parti su Chrome
Nel gennaio 2020, Google ha pubblicato un blogpost con il quale annunciava la decisione di cessare gradualmente il supporto ai cookie di terze parti su Chrome entro due anni, iniziando con le prove di misurazione e personalizzazione delle conversioni entro la fine dello stesso anno. Tutto ciò è poi stato rimandato più volte.
In ogni caso, questo annuncio ha fatto notizia su internet e ha dato il via a un dibattito su cosa sarebbe potuto succedere dopo la scomparsa dei cookie di terze parti, e su cosa li avrebbe sostituiti.
Google non ha di certo un ruolo pionieristico nel prendere le distanze dai cookie di terze parti: Safari e Brave li bloccano già da anni, e anche i principali editori e le maggiori case di produzione, come il New York Times, stanno per rinunciare del tutto ai dati pubblicitari di terze parti.
Ma la decisione di Google di non supportare più i cookie di terze parti su Chrome fa parte di una più ampia Privacy Sandbox (letteralmente una sabbiera piena di privacy), lanciata nell’agosto 2019 – un insieme di iniziative “per sviluppare una serie di standard aperti per migliorare radicalmente la privacy sul web”.
L’iniziativa di Google di eliminare i cookie di terze parti in Chrome ha incontrato la resistenza dell’industria ad-tech, soprattutto da parte dei professionisti del marketing, degli inserzionisti e delle agenzie pubblicitarie, che temono che il blocco totale dei cookie di terze parti possa danneggiare l’economia di internet e in particolare le start-up, e invitano quindi Google a mantenere attivi i cookie di terze parti in attesa di una valida alternativa dall’efficacia comprovata e collaudata.
I cookie di terze parti sono destinati a essere sostituiti con nuove tecnologie, progettate con la privacy già integrata.
Le iniziative della Privacy Sandbox di Google si concentrano su:
- Come veicolare gli annunci a grandi gruppi di persone senza raccogliere dati identificativi dai browser degli utenti,
- Come abilitare la misurazione delle conversioni per gli inserzionisti senza tracciare i singoli utenti sul web,
- Come riconoscere e prevenire le frodi negli annunci, ad esempio i bot che cliccano sulle pubblicità al posto degli utenti reali,
- Come permettere ai siti web di raccogliere i dati degli utenti dalle API dei browser che mantengono l’anonimato dei singoli utenti.
Alcune di queste iniziative si sono già concretizzate, come il Google Consent Mode, lanciato nel settembre 2020, che permette ai siti web di raccogliere dati aggregati e non identificativi, dando così la possibilità di proporre pubblicità contestuale, nel caso in cui gli utenti finali scelgano di non dare il loro consenso ai cookie statistici e di marketing.
Cookiebot CMP è una delle pochissime piattaforme di gestione del consenso selezionate da Google per collaborare con Google Consent Mode.
Cookiebot CMP si integra perfettamente con Google Consent Mode e offre una soluzione a 360° per il tuo sito web, coniugando conformità e ottimizzazione in modo semplice e intuitivo.
Trust token API & FLoC
Una delle iniziative di Google prevede di sostituire i cookie di terze parti su Chrome con i cosiddetti trust token che, come abbiamo visto prima, sono una sorta di “gettoni di fiducia”.
L’API dei trust token di Google rimpiazzerebbe i cookie di terze parti su Chrome con token non personalizzati e firmati crittograficamente per autenticare ciascun utente.
I siti web possono “spendere” i trust token per determinare se un utente è reale o un bot, garantendo così un livello di certezza molto più elevato per gli inserzionisti al momento della re-identificazione degli utenti, ma anche assicurando un livello di privacy più elevato ai singoli utenti, i quali non potranno essere rintracciati con la precisione che i cookie permettevano, andando però a ledere gravemente il diritto alla privacy.
L’API dei trust token consentirebbe ai siti web e agli inserzionisti di conoscere gli utenti solo fino a un certo livello e bloccherebbe i tentativi di conoscere gli utenti a livello individuale, a differenza degli attuali cookie di terze parti di Google.
Tuttavia, la proposta di Google dei trust token comporta che gli utenti debbano comunque fornire dati personali in combinazione con altre API nella Privacy Sandbox (come il Federated Learning of Cohorts di Google, in breve FLoC), che posiziona gli utenti in gruppi aggregati di target pubblicitari (i cosiddetti “flocks”, ovvero greggi), richiedendo così il trattamento di dati personali.
Anche se l’elaborazione dei dati personali da parte dei trust token e dei FLoC sarebbe fatta sul browser dell’utente e non da terze parti, Chrome elaborerebbe comunque dati quali la cronologia di navigazione, in modo da raggruppare gli utenti in greggi – gruppi di utenti simili che gli inserzionisti possono prendere di mira per il marketing.
I flock si basano fondamentalmente sullo stesso principio dell’attuale sistema di offerte in tempo reale (RTB, dall’inglese real time bidding), in cui gli inserzionisti fanno offerte per la presentazione di un annuncio a un determinato visitatore di un sito web sulla base di un profilo di tracciamento che colloca l’utente in specifici gruppi di interesse tematici.
I FLoC e le altre API della Privacy Sandbox di Google si serviranno di gruppi analoghi, che però saranno salvati sul browser e non da un’azienda terza.
Ciononostante, l’inserimento degli utenti in questi flock probabilmente rivelerà dati personali che potranno essere collegati al profilo di autenticazione del browser direttamente o per inferenza, rendendo quindi necessario il consenso ai sensi del GDPR.
Questi “gruppi di interesse” della Privacy Sandbox non sono ancora stati definiti, ma potrebbero ad esempio rivelare informazioni sulla tua salute, il tuo orientamento sessuale, le tue convinzioni religiose – tutte informazioni considerate dati personali sensibili ai sensi del GDPR.
Ciò potrebbe verificarsi persino quando gli utenti sono inseriti anche solo in gruppi di interesse aggregati (flock).
Qualsiasi dato, dagli indirizzi IP, alle e-mail, alle specifiche del dispositivo, potrebbe ancora essere raccolto ed elaborato tramite i trust token, il che significa che, secondo la maggior parte delle principali leggi sulla privacy dei dati nel mondo, ti servirebbe comunque il consenso esplicito degli utenti finali prima di poterli utilizzare sul tuo sito web.
L’Electronic Frontier Foundation (EFF) descrive la tecnologia dei FLoC di Google come “dannosa per la privacy”, sottolineando che piazzare gli utenti in gruppi, o greggi, costituirebbe una sorta di “punteggio di credito comportamentale: un tatuaggio sulla tua fronte digitale che riassume sinteticamente chi sei, cosa ti piace, dove vai, cosa compri e con chi ti relazioni”.
Le API della Privacy Sandbox di Google sono in uno stadio iniziale di sviluppo e si trovano ad affrontare problematiche di fondo che devono ancora essere risolte. In questa fase, infatti, sono ancora presenti diversi problemi relativi al tracciamento: ad esempio, i network pubblicitari possono ancora correlare le richieste dello stesso utente, e il network pubblicitario dell’editore può sapere a quale gruppo d’interesse è stato indirizzato l’annuncio vincente, se collabora con il network pubblicitario dell’inserzionista.
Ma la strada da percorrere per i test e l’implementazione di FLoC da parte di Google potrebbe non essere così semplice e lineare.
Google ha già deciso di non fare test preliminari dei FLoC in Europa, temendo che non sarebbero stati compatibili con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, in particolare per quanto riguarda la determinazione di chi sarà designato come responsabile e titolare del trattamento dei dati – materia che rientra nelle disposizioni centrali del regolamento sulla protezione dei dati a livello eurounitario.
Nel frattempo, la notizia che i browser DuckDuckGo e Brave bloccheranno i FLoC di default mentre milioni di utenti di Chrome sono stati aggiunti al progetto dei test FLoC di Google, senza preavviso né possibilità di opt-out, agita le acque di una delle iniziative principali della Privacy Sandbox di Google.
Anche il celebre editore The Guardian ha deciso di non partecipare alle sperimentazioni FLoC, citando valutazioni sulle implicazioni per la privacy.
Perché il consenso non è destinato a scomparire
L’idea di base per cui una persona online può dire “sì” o “no” a sconosciuti che vogliono raccogliere i suoi dati personali è semplice e al tempo stesso di grande impatto.
Il consenso si trova al centro della legge sulla privacy più importante del mondo, il Regolamento generale sulla protezione dei dati dell’UE (GDPR), e si sta diffondendo rapidamente in tutto il mondo, dalla LGPD del Brasile, al PDPA della Thailandia, al PDPA di Singapore, al POPIA del Sudafrica e in molti altri Paesi.
Il consenso è un’idea così convincente che Google – la più grande azienda tecnologica del mondo – ha deciso di imprimere una svolta decisiva alle sue attività con Google Consent Mode, installandolo come elemento fondamentale per l’esecuzione dei tutti i loro servizi.
Google Consent Mode è una precisa indicazione del fatto che l’industria ad-tech nel complesso prende coscienza della tematica del consenso e si rende conto che non è qualcosa che può permettersi di ignorare.
Cookiebot CMP by Usercentrics lavora per trovare un equilibrio tra la privacy degli utenti finali e l’industria ad-tech, che mette a disposizione i contenuti gratuiti che definiscono la rete internet così come la conosciamo oggi. Continueremo a fornire piena trasparenza con la nostra insuperabile tecnologia di scansione e con l’autentica gestione del consenso da parte dell’utente finale. Lo facciamo oggi e lo faremo domani, indipendentemente dalla fine dei cookie e da cosa arriverà dopo di loro.
FAQ
Sì, i cookie di terze parti sono sul viale del tramonto – diversi browser li bloccano da anni, e Google Chrome cesserà di supportare i cookie di terze parti entro il 2024, come parte della loro più ampia strategia della Privacy Sandbox. Google Consent Mode è stato lanciato nel settembre 2020 e permette al tuo sito web di eseguire tutti i servizi di Google sulla base del consenso dell’utente finale.
Molto probabilmente sì. Se utilizzi un qualsiasi tipo di software di analisi, piattaforma di marketing o integrazione con i social media di grandi aziende tecnologiche, come Facebook o Google, avrai cookie di terze parti in funzione sul tuo sito web, pronti a raccogliere i dati personali degli utenti quando visitano il tuo dominio.
I cookie di terze parti, tanto su Chrome quanto altrove, raccolgono dati personali dai tuoi utenti finali, e ciò significa che il loro utilizzo è lecito solamente dopo aver chiesto e ricevuto il consenso preventivo ed esplicito degli utenti stessi. In base al Regolamento generale sulla protezione dei dati (GDPR) dell’UE, sei tenuto a informare gli utenti della presenza di cookie e tracker, specificandone provider, finalità e durata, nonché a documentare tutti i consensi ottenuti.
L’utilizzo di una piattaforma per la gestione del consenso garantisce che il tuo sito web identifichi e tenga sotto controllo tutti i cookie e i tracker, assicurando agli utenti finali la trasparenza e la possibilità di fare una vera e propria scelta sul consenso, prima di procedere alla raccolta e all’elaborazione dei loro dati personali.
La soluzione più utilizzata per l’uso conforme dei cookie e del tracciamento online