I cookie sono veramente scomparsi? Come il marketing è influenzato dal consenso all’utilizzo dei cookie

Al giorno d’oggi navigare su Internet è come cercare di attraversare delle sabbie mobili. Quasi tutte le applicazioni web richiedono agli utenti come prima cosa il consenso relativo a una quantità ingestibile di scenari di utilizzo.

La ragione di fondo è incentrata sulla giusta intenzione della politica globale (e dell’Unione Europea in particolare) di restituire la sovranità dei dati agli utenti dopo decenni di raccolta inosservata ad opera di innumerevoli provider di servizi.

Nel 2018 l’Unione Europea ha promulgato una nuova legge con l’obiettivo di tutelare i dati personali dei propri cittadini e che riguarda potenzialmente qualsiasi marchio a livello mondiale: il Regolamento Generale sulla Protezione dei Dati (GDPR). Diversamente dalla legge precedente, la Direttiva 95/46/CE, che doveva essere tramutata in legge nazionale dagli stati membri dell’UE, il RGPD ha trovato diretta applicazione in tutti gli stati membri dal 25 maggio 2018.

Perché il GDPR comporta politiche sui cookie?

Il GDPR è stato scritto per sancire l’Articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, che mira a regolamentare i dati personali conservati o utilizzati da un’azienda. Il GDPR trova applicazione in tutte le questioni riguardanti i dati personali e non si limita solo a Internet e alle comunicazioni elettroniche.

Sebbene i cookie siano menzionati solo una volta nel GDPR, il consenso a questi rappresenta una pietra miliare per la compliance dei siti web con gli utenti dell’UE, in quanto rientra tra le metodologie più comuni per raccogliere e condividere dati online.

I cookie sono file di testo contenenti quantità ridotte di informazioni. Vengono scaricati sul dispositivo dell’utente mentre questi visita un sito web o usa un’app e vengono poi restituiti al terminale dati del sito web/app originale o a un altro sito web che è in grado di riconoscere questo cookie a ogni visita successiva.

Sono utili poiché permettono al sito web o all’app di riconoscere facilmente il dispositivo dell’utente e svolgono svariati compiti: permettono agli utenti di navigare in maniera efficiente, ne registrando le preferenze e migliorano in linea generale l’esperienza degli utenti. Contribuiscono inoltre a personalizzare gli annunci pubblicitari.

Breve storia del consenso ai cookie

L’approccio volto alla tutela della privacy online mediante l’educazione dei consumatori alla raccolta dei dati e alla disponibilità di un’opzione di esclusione non rappresenta una novità. Ha avuto inizio come direttiva UE nel 2002, adottata poi da tutti gli stati dell’UE nel 2011. Con uno scenario digitale in evoluzione e il crescente affermarsi di tecnologie data-driven, la Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva 2002/58/CE) aveva necessità impellente di un aggiornamento.

La prima bozza del nuovo Regolamento ePrivacy è stata presentata a gennaio 2017 dalla Commissione Europea con l’aspettativa che sarebbe entrata in vigore rapidamente come legislazione diretta dal 25 maggio 2018, congiuntamente al GDPR. Tuttavia, più di tre anni dopo la pubblicazione della prima proposta, gli stati membri dell’UE non sono ancora stati in grado di approvare il Regolamento ePrivacy.

Nonostante il Regolamento ePrivacy risulti ancora incompleto, abbiamo assistito a una sentenza della Corte di Giustizia dell’Unione Europea nel caso Planet49 in data 1 ottobre 2019, seguita dalle Linee guida del Comitato europeo per la protezione dei dati (EDPB) nel maggio 2020. Nel frattempo, un numero sempre crescente di paesi ha adeguato la propria legislazione in materia di tutela dei dati personali al Regolamento ePrivacy.

Tutte le aziende che utilizzano siti web e applicazioni sono ora tenute a implementare funzionalità di consenso ai cookie sui propri siti web/app. Una violazione del regolamento comporta severe ammende e sanzioni da parte delle autorità per la protezione dei dati!

Ad oggi, altri stati hanno iniziato a legiferare in materia. Lo stato della California ha promulgato il California Consumer Privacy Act (CCPA), che riguarda tutte le società titolari del trattamento dei dati personali dei consumatori californiani. Questo approccio è analogo a quello delle linee guida stabilite dal Comitato europeo per la protezione dei dati (EDPB).

Politica sui cookies conforme al GDPR

Di cosa hai bisogno per un consenso valido ai cookies:

• Le Linee guida dell’EDPB stabiliscono che il banner dei cookie del sito web/app non deve includere caselle già spuntate e che il fatto di continuare a navigare non può essere considerato un consenso valido al trattamento dei dati.
• Anche i cosiddetti “cookie wall” (consenso forzato) sono da considerarsi non conformi! Non è consentito cancellare servizi qualora gli utenti non prestino il proprio consenso a servizi di marketing privi di correlazione. Alcuni editori hanno tentato di ottenere il consenso degli utenti per i propri servizi di marketing prima che ciò fosse espressamente vietato.
• È necessario un consenso chiaro e sicuro sia per i siti web sia per le app al fine di abilitare i cookie e trattare i dati personali.
• È necessario descrivere l’ambito di applicazione e la finalità del trattamento dei dati in un linguaggio facilmente comprensibile al visitatore, prima di poter raccogliere qualsiasi dato personale.
• Gli utenti devono poter essere in grado di individuare le tipologie di dati raccolte nel sito web in qualsiasi momento. Inoltre l’individuazione, la rettifica o la revoca del consenso precedentemente espresso devono essere analogamente di semplice attuazione nel centro preferenze.
• Il consenso deve essere rinnovato annualmente. Tuttavia, alcune politiche nazionali sulla privacy consigliano un rinnovo con una scadenza più ravvicinata. È necessario verificare la conformità con le politiche locali sulla privacy.
• I cookie strettamente necessari per il funzionamento del sito web o dell’app sono esentati dal consenso.
• I moduli di consenso devono essere conservati in sicurezza come documenti di natura legale.

La definizione di dati personali

Il GDPR definisce i dati personali “qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘soggetto dei dati’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”

• A meno che non siano resi anonimi, ora rientrano in questa categoria anche gli identificatori online come ad esempio gli indirizzi IP.
• Anche i dati personali pseudonimizzati sono soggetti al GDPR qualora vi sia possibilità di decifrarli, ad esempio con la tecnica del reverse engineering.

Che cosa evitare

Dover chiedere il consenso alla politica sui cookie prima di poter valutare le interazioni dei visitatori in modo chiaro influenza certamente il modo di agire di un’azienda. Tentare di osservare rigorosamente le disposizioni legali relative al consenso ai cookie in conformità al GDPR senza averne prima compreso il fondamento giuridico rappresenta un problema comune.

Impatto negativo sul traffico SEO?

I posizionamenti nelle SERP (Search Engine Result Page) dipendono indirettamente da fattori che vengono influenzati dal consenso ai cookie. Tra questi:

• Il tasso di abbandono del sito web, che indica la percentuale di visitatori che chiude una pagina senza averla effettivamente utilizzata (o che sembra non averlo fatto).
• La durata di utilizzo e le pagine visualizzate a ogni visita.
• La mancanza di tracciamento ad opera dei motori di ricerca se i cookie correlati non vengono accettati.

Ne risulta una relazione matematica abbastanza evidente: posizionamenti più scarsi = meno traffico = numero inferiore di nuovi clienti = meno guadagni. Qui si può osservare chiaramente come le norme giuridiche e le sentenze vadano a influenzare direttamente la conversione.

Più privacy – meno traffico?

Un posizionamento inferiore nei motori di ricerca comporterà un calo dei visitatori. Ma questa non è l’unica causa. I banner dei cookie, infatti, aumentano il tasso di abbandono. Questo vale anche per i visitatori che accedono alle applicazioni tramite i social network, i siti dei partner o accessi diretti.

Molte aziende vanno quindi a inserire un numero sensibilmente più alto di annunci per compensare le perdite. Sta diventando sempre più evidente come le piccole imprese debbano spendere di più per la privacy rispetto alle aziende di grandi dimensioni. Questo è il rovescio della medaglia causato da un miglioramento dei diritti dei consumatori.

Il marketing online in una battaglia alla cieca!

Studi hanno dimostrato che in alcuni casi solo una ridotta percentuale degli utenti acconsente a tutti i cookies laddove il banner di interesse sia stato implementato rispettando al 100% le norme sul consenso.

I team di marketing hanno sempre meno informazioni riguardo a:

• Da dove arriva il traffico in entrata (Google, Facebook, Twitter o altri siti web, accessi diretti, ecc.).
• Quali parti dell’applicazione web vengono utilizzate e in che modo
• Le modalità di navigazione degli utenti nelle offerte, quando tornano per una nuova visita o se chiudono determinate pagine
• Chi si trasforma in cliente, in che modo, perché e quando, ecc.

Grazie a un’implementazione intelligente nella gestione legale del consenso, è possibile evitare gli scenari peggiori!