Oltre 100mila siti web (europei) scandagliati e quasi tutti non conformi al GDPR. Alcuni ricercatori dell’Università di Amsterdam e del Politecnico di Zurigo hanno, a tal proposito, condotto un’attività di ricerca al fine di capire quanti di questi rispettano le normative in materia dei cookie e quindi il Regolamento (UE) 2016/679.

I risultati sono “preoccupanti” dal momento che 9 su 10 non risultano compliant con almeno qualche forma di violazione.

Vediamo meglio.

Cookie: lo studio congiunto sulla compliance dei siti

Alcuni studiosi di due poli universitari di tutto rispetto, l’Università di Amsterdam da un lato e il Politecnico di Zurigo dall’altro, hanno condotto uno Studio congiunto “Automated Large-Scale Analysis of Cookie Notice Compliance” dal quale è emerso come il 90% dei siti web sul territorio europeo non sia a norma.

I termini della ricerca

Si tratta della “prima analisi generale, automatizzata e su larga scala della conformità all’informativa sui cookie”. La ricerca nasce dall’esigenza di capire quanti siti web in Europa rispettino il GDPR.

Come noto, i siti web devono informare gli utenti (che risiedono in territorio europeo) sulla raccolta di dati non essenziali e di richiederne il consenso che deve avere tutti i sacri crismi.

Secondo questa indagine è stato “scoperto che il 90,2% di questi siti web contiene almeno una violazione della privacy.

Non solo, è risultato anche che nel 57% dei casi, e quindi in oltre la metà, “non vi sarebbe alcuna possibilità di rifiutare i cookie, mentre in poco meno di un terzo (il 32%) non verrebbe richiesto alcuni consenso per il loro salvataggio nel browser utilizzato”.

Circa il tracciamento degli utenti tramite i cookie, sempre secondo questo studio, nel 65% dei casi, l’attività di tracking avverrebbe comunque, anche quando si è negato in modo esplicito il consenso.

Di qui, la manifesta violazione, con quanto per conseguenza.

I modelli addestrati

Ai fini di questa ricerca sono stati istruiti più modelli, tali da classificare “gli elementi degli avvisi sui cookie con cui gli utenti possono interagire”, e in particolare tre:

1. un modello addestrato su un “set di dati di 2,4k campioni” (siti web) annotati/censiti;
2. un secondo modello addestrato su “un set di dati fornito da Santos et al”;
3. un terzo modello, infine, che consente di rilevare quando un sito web imposta cookie che richiedono il consenso dell’utente.

Le violazioni riscontrate e perché

Dal report in parola, secondo il ricercatore Amit Zak, esistono alcuni tipi di violazione e nella specie:

1. le cd “violazioni ingenue” laddove, ad esempio, il sito web non prevede la richiesta di alcuna autorizzazione volta a raccogliere cookie e violazioni intenzionali;
2. le “violazioni volute” non prevedendo ad esempio il “pulsante di rifiuto” o, peggio ancora il “rifiuto ignorato”. Nel primo caso, i siti web non sono conformi in quanto non mettono a disposizione dell’utente, un mezzo per rifiutare i cookie. Nella seconda ipotesi, l’uso dei cookie avviene nonostante il consenso negato e legittimamente manifestato dall’utente. Anche il “consenso implicito” è mal congeniato e costituisce una palese violazione.

Per la compliance dei siti web al GDRP, ottenere il consenso dell’interessato è la base.

Ora, come scrivono i ricercatori, occorre fare un distinguo tra quelle violazioni commesse involontariamente o “ingenuamente”, pensando ai siti di piccole dimensioni, e quelle invece commesse più che consapevolmente.

Dai numeri analizzati così come evidenziati da questo Studio, il 32,0% ovvero considerati i falsi positivi, comunque, un buon 25% di siti web non a norma di GDPR, ecco che non è un dato confortante, pensando anche a quanto vi ruota attorno.

Cookie: tecniche di manipolazione

Dalla ricerca in disamina, emergono anche altri aspetti come seguono.

Le tecniche di manipolazione

Anzitutto, viene fatto dallo studio un affondo sui cd “dark pattern” ovvero come li definisce anche il nostro Garante nella pagina a questi dedicata sono “modelli di progettazione ingannevoli” con i quali “vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Si tratta di tecniche di “manipolazione” che possono prevedere l’uso di colori più o meno vivaci per il pulsante di accettazione e colori più o meno visibili per il pulsante di rifiuto dei cookie, oltre a nascondere l’opzione di rifiuto utilizzando caratteri più piccoli.

“Il sistema dei cookie non funziona” e il “far web”

Ancora, secondo il ricercatore Amit Zak, “… alcuni siti web partono dal presupposto che non verranno scoperti”, di talché Internet diventa un “far web”.

La mancanza di opzioni per rifiutare i cookie e richieste di permesso assenti, secondo lo Studio in parola, spesso è legato a una scarsa conoscenza della normativa vigente, e per conseguenza di una assai limitata consapevolezza. Spesso, nella user experience dell’utente “medio”, i cookie vengono attivati prima ancora della possibilità di scegliere se attivarli o meno.

Cookie: le conclusioni della ricerca congiunta

Qualche battuta in chiosa, richiamandoci alle conclusioni della ricerca in questione.

Dalle indagini effettuate è emerso che “i siti web più popolari hanno maggiori probabilità di ignorare le scelte degli utenti nonostante abbiano interfacce di avviso sui cookie più conformi”.

Ciò ha evidenziato, quindi, la necessità di un maggior controllo finalizzato a individuare le violazioni della privacy.

Ecco che metodi automatizzati possono favorirlo; il che è importante se non assolutamente necessario alla luce della compliance più ampia del GDPR, pensando agli effetti delle normative europee (Digital Marketing Act, Digital Services Act) di recente piena attuazione.

Al netto di ciò, quel che resta ancora da contrastare con pervicacia è la poca consapevolezza (accountability) in ogni sua piega come questa dei cookie o più in generale, ancora tanto e troppo diffusa nonostante i sei/otto anni dall’entrata in vigore e applicazione del GDPR.

Riflettiamoci su e agiamo di conseguenza potenziando le carenze/mancate conformità, a maggior ragione ove riscontrate.