Come i cookie banners eludono il meccanismo del GDPR.
“Accetta” o “Declina”: i tasti occupano la metà inferiore dello schermo dello smartphone, impedendoci di visualizzare quel paio di scarpe che da tempo desideriamo acquistare. Spazientiti, selezioniamo casualmente il tasto più facile da raggiungere col pollice, quello più grande: “Accetta tutti i cookies”. Con un “click” la pagina torna a mostrare solo scarpe, mentre un pacchetto di informazioni concernente la nostra posizione geografica, il tipo di dispositivo che utilizziamo e le scarpe che ci piacciono, viene riutilizzato per costruire un’estensione digitale della nostra personalità. Con un “click”, una nuova identità fittizia di noi stessi, frammentata e risultante dal mosaico di comportamenti registrati e previsti online, viene proiettata nel mercato digitale: qui le abitudini di consumo dell’utente sono vendute ai tech-vendors, ed utilizzate per erogare campagne pubblicitarie personalizzate. Attraverso questa mercificazione delle preferenze individuali, il mercato comportamentale raggiunge la sua massima efficienza allocativa, giacché la conversione delle abitudini online in valore predittivo di consumo, seguita dal ricorso ad una pubblicità mirata, consente di ridurre notevolmente la quantità di giacenze invendute dei prodotti offerti in rete.
All’origine della creazione delle identità digitali per il mercato vi è un complesso processo di tracciamento dei dati personali degli utenti sul web: la raccolta dei dati avviene attraverso i cookies, strumenti tecnologici di tracciamento e archiviazione che permettono il funzionamento dei siti online –cookies tecnici-, creano statistiche aggregate sul loro andamento –cookies analitici-, e realizzano la già citata profilazione dell’utente per scopi di marketing -cookies di profilazione. Mentre i primi due dispositivi citati, i cookies tecnici ed analitici, sono deputati alla mera gestione operativa del sito, e non partecipano alla creazione delle identità digitali, i cookies di profilazione costituiscono, invece, una tecnologia più divisiva, giacché la loro implementazione consente al sito che ne fa uso di registrare le azioni degli utenti che si muovono al suo interno, creando un diario del tempo trascorso in rete da ciascuno, e arrivando a dedurre informazioni nuove, attraverso l’utilizzo di algoritmi previsionali. Simili operazioni sono, all’evidenza, passibili di ledere la privacy altrui, soprattutto alla luce del quadro normativo nazionale ed europeo, disegnato dal Codice in materia di protezione dei dati personali (d. lgs. 196/2003), e dal General Data Protection Regulation (GDPR), che insieme hanno aperto la strada ad una nuova definizione della privacy: superando il tradizionale “right to be left alone”, la privacy si traduce nel diritto di controllare attivamente la propria proiezione digitale, la quale potrà costruirsi solo sulla base delle informazioni che l’utente è disposto a cedere, dopo aver fornito il proprio consenso libero, specifico, informato ed inequivocabile (art. 4 GDPR) all’attivazione di ciascuna tipologia di cookies -fatti salvi i cookies tecnici, il cui nullo potenziale invasivo rende superflua la concessione esplicita di un qualsivoglia consenso.
La manifestazione formale della volontà della persona costituisce, in altre parole, la base giuridica che rende lecita l’attivazione dei cookies di profilazione: l’utente dovrà, cioè, conoscere in ogni momento quali frammenti del suo patrimonio informativo l’azienda estrae dall’analisi dei suoi comportamenti online. A tal fine, il GDPR ha introdotto nel già vigente paradigma del consenso, il principio di accountability (artt. 5 e 24 GDPR), che non solo impone agli enti pubblici e alle aziende di raccogliere il consenso espresso delle persone fisiche, ma anche di predisporre strumenti atti a comprovare l’avvenuta autorizzazione al tracciamento dei dati. La nuova disciplina del GDPR si rivolge, perciò, alla struttura delle Consent Management Platforms (CMP), interfacce grafiche anche note come cookie banners, che diventano il vero baluardo dell’autodeterminazione informativa degli individui: per risultare conformi alle disposizioni del GDPR, i cookie banners devono, infatti, informare l’utente su quali tecnologie di tracciamento il sito vorrebbe adoperare; poi devono richiedere il consenso formale per l’attivazione di ciascuno dei suddetti cookies, attraverso tasti di accettazione e diniego che abbiano pari dignità visiva; infine, i cookie banners devono impedire che l’attivazione dei cookies di profilazione sia antecedente alla concessione o al diniego del consenso da parte dell’utente. Il mancato rispetto di tali disposizioni da parte delle aziende e degli enti che operano online, comporta la comminazione di misure amministrative di natura pecuniaria, nonché l’attivazione di sanzioni correttive disposte dalle Autorità nazionali di controllo -in Italia opera il Garante per la protezione dei dati personali. Così pensata, la normativa del GDPR appare difficilmente aggirabile.
Esiste, tuttavia, un dilemma strutturale insito nell’ontologia dell’era digitale: la sensibilità nei confronti del diritto inalienabile dell’individuo a non vedersi rappresentato in modo parziale o distorto nell’ecosistema digitale entra, infatti, in collisione con l’incessante tensione verso la profilazione sempre più invasiva degli utenti, che si rende necessaria per rispondere agli imperativi economici della società dell’informazione. Per tale ragione, aziende ed enti pubblici hanno escogitato vari metodi di elusione delle disposizioni del GDPR; tra questi, una menzione merita la Salient Object Detection (SOD), una manipolazione estetica volta a rendere più semplice e appetibile la selezione del tasto di accettazione di tutti i cookies predisposti dal sito. Spesso poi, a tale suggestione grafica si accompagna la cd. “consent fatigue”, che scaturisce dall’eccessivo numero di cookie banners che si incontrano nella navigazione online quotidiana, e che in ultima istanza induce l’utente a scegliere l’opzione più rapida, rinunciando a partecipare consapevolmente alla costruzione della propria identità digitale. Solo attraverso una gestione consapevole del proprio bagaglio informativo, la società dell’informazione può riappropriarsi delle singole identità, impedendone la distorsione e la frammentazione, restituendo a ciascuno il controllo sulla propria esistenza nell’universo digitale; altrimenti, come ammoniva Karl Marx, il rischio estremo è che l’uomo finisca a “produrre sé stesso come merce”.