Attualmente nel web, gli interessi degli utenti vengono generalmente dedotti dalle piattaforme in base alle consultazioni effettuate e ai contenuti consumati. Abbandonare i cookies di terze parti dovrebbe essere una svolta importante, con significativi riflessi sulla privacy di ciascun utente.
Cookies: la multa del Garante Privacy a Google
Il CNIL, Autorità Garante della Privacy francese, a questo proposito ha sanzionato Google al pagamento di 120 milioni di euro, perché, nonostante gli utenti tentassero di bloccare gli annunci personalizzati, un cookie pubblicitario restava comunque in funzione e, inoltre, il banner cookie era incompleto.
Alcuni importanti interventi normativi, come il Regolamento sulla e-Privacy, la cui versione finale è stata da poco approvata dal Consiglio UE, e l’ampliamento della definizione di “servizi di comunicazione elettronica“ contenuta nel Codice Europeo delle Comunicazioni Elettroniche rispecchiano la necessità di tutela della riservatezza, sancita dall’art. 7 della Carta dei Diritti dell’Unione Europea, rubricato “Rispetto della vita privata e della vita familiare” e, segnatamente con riferimento alle comunicazioni a mezzo mail, messaggistica istantanea, messaggi mediante social e altro, compresi i servizi OTT (Over the Top). Questa esigenza viene sentita anche negli Stati Uniti, infatti, nel 2023 entrerà in vigore il nuovo California Privacy Rights Act.
La privacy sandbox di Google
Nel 2019 Google ha presentato la sua Privacy Sandbox. Il termine utilizzato è sibillino perchè ha una accezione di sicurezza e protezione delle informazioni, in quanto la sandbox rappresenta uno spazio sicuro per fare test su programmi che potrebbero contenere virus e dunque infettare dispositivi. All’interno del progetto Sandbox di Google, sono previste delle API (Application Programming Interface) in grado di bloccare le estensioni di autorizzazione.
In realtà, questa Sandbox ha una funzione differente e Google sta creando una nuova suite di tecnologie per indirizzare gli annunci sul Web. FLoC (Federated Learning of Cohorts) è un algoritmo mediante il quale si può fare profilazione, eseguendo il targeting comportamentale senza cookie di terze parti. FLoC esamina le abitudini di navigazione degli utenti e li assegna ad un gruppo determinato e gli utenti che hanno le medesime abitudini vengono inseriti negli stessi gruppi, sollevando non poche perplessità. Il browser di ogni utente condivide un ID, specifico e indentificativo del gruppo cui appartiene e ciò mediante l’utilizzo di un altro algoritmo, simhash, che legge i domini dei siti visitati da ciascun utente. Laddove un gruppo sia troppo piccolo, esso verrà collegato ad un altro gruppo simile. Molto probabilmente, questi clustering avvengono mediante gli URL o per contenuto delle pagine.
Molto interessante segnalare che le “coorti” FLoC vengono aggiornate su base settimanale, così che a lungo termine non siano uno strumento troppo performante, ma comunque in grado di osservare come l’utente si comporta nel tempo. Le API permetterebbero l’accesso ad informazioni sulla cronologia di navigazione dell’utente ed, inoltre, potrebbero registrare a quali siti il soggetto ha fornito la propria mail.
A tutto questo si aggiunge che tra le informazioni che si possono ottenere, oltre alla cronologia delle ricerche e delle visite dei siti, si annoverano anche dati di geolocalizzazione o interessi personali. E’ prevedibile che coloro che fanno parte di un gruppo o coorte siano accomunati dalla età, dal sesso, dall’etnia, ma favorendo inevitabilmente, oltre alla profilazione, la divisione in blocchi e, inevitabilmente l’emarginazione derivante da bias errati, perfettamente in contrasto con la logica sottesa ad Internet stesso.
L’algoritmo di FloC
Come sottolineato dalla Electronic Frontier Fondation, il funzionamento dell’algortimo di FloC può permettere la violazione di dati di natura sensibile e creare una profonda disuguaglianza e discriminazione sociale. FLoC è un algoritmo non supervisionato, ossia apprende da dati senza l’intervento umano, pertanto può raccogliere anche informazioni strettamente personali, come ad esempio se una persona soffre di disagi psicologici, dipendenze o problemi di salute e, non a caso, Google ha già specificato che valuterà ex-post se una coorte possa assumere carattere di particolare intrusività e in caso di esito positivo verrà bloccata.
A questo quadro sommariamente descritto, va aggiunto che nulla si sa circa le modalità con cui Google possa mutare gli algoritmi di clustering, in modo peraltro sempre unilaterale e a quali condizioni. Queste ultime dovrebbero essere normate e sarebbe necessario l’intervento del Garante Privacy Europeo al fine di meglio regolare il funzionamento della sandbox, anche per garantire a tutti i cittadini una maggiore trasparenza sul suo funzionamento e altresì sottoporre Google (e non solo) ad un controllo specifico ed eventualmente ad una responsabilità innanzi agli Stati stessi.
