Il Reuters Institute e l’università di Oxford hanno pubblicato recentemente uno studio che ha analizzato la presenza di cookie di terze parti prima (aprile) e dopo (luglio) l’entrata in vigore del GDPR (25 maggio 2018).
I ricercatori Timothy Libert, Lucas Graves e Rasmus Kleis Nielsen hanno posto sotto la lente d’ingrandimento del software webXray oltre 200 home page di siti d’informazione e passato in rassegna circa 2.7 milioni di cookie. I portali visionati sono tutti “europei”, nelle infografiche del report figurano infatti Regno Unito, Polonia, Italia, Francia, Finlandia, Spagna e Germania.
Prima di passare in rassegna le parti più significative del lavoro, è opportuno definire cosa sia un cookie di terze parti. Come si legge nella parte iniziale del paper:
I siti moderni sono raramente isolati ed includono […] un mix di contenuti propri [first-party] e di terze parti. I contenuti first-party sono definiti come il materiale scaricato dall’indirizzo che l’utente vede nella finestra del browser, che è solitamente [ciò che intende consultare].
Ad esempio, un sito con indirizzo ‘http://example.com’ potrebbe contenere un’immagine first-party scaricata da ‘http://example.com/newsimage. jpeg’. I contenuti di terze parti [sono invece scaricati] da indirizzi differenti, ed in molti casi di differenti compagnie, da quelli del sito che l’utente sta visitando.
Se ‘http:// example.com’ include un video hostato presso l’indirizzo ‘http://video-hosting.com/newsvideo.mp4’, ciò significa che ‘video-hosting.com’ è un host di contenuti third-party e ‘newsvideo.mp4’ [rientra in quest’ultima categoria].
Quando un contenuto di terze parti è presente in un sito, i dati circa le abitudini dell’utente [pagine visitate etc.] possono essere trasferiti a soggetti di terze parti, andando potenzialmente ad impattare sulla privacy [dell’utente].
Il numero medio di cookie third-party è calato del 22%
Nel primo trimestre del 2018, si legge nel report, il 99% dei siti di notizie disponeva di almeno un contenuto ed un cookie di terze parti. Sebbene il GDPR non abbia influito più di tanto sul trend generale, ad uno sguardo più attento si notano alcune novità:
Da aprile a luglio i contenuti di terze parti sono calati del 2%, rivelandosi quindi irrinunciabili per i siti. Il calo dei cookie è invece molto più marcato e pari al 22%. Come specificato più volte dagli stessi ricercatori, i cookie in questione sono quelli che si attivano automaticamente senza che sia stato dato il consenso tramite classico popup o finestra di notifica. Osserviamo ora le variazioni nei Paesi esaminati dal team:
Regno Unito, Francia e Spagna raggiungono le percentuali più alte di “taglio” dei cookie. Trascurabile la variazione dei siti italiani mentre il +29% della Polonia, unico valore in crescita, viene spiegato con l’ampliamento di 4 dei 29 siti esaminati avvenuto nel periodo di studio: tralasciando i 4 portali appena menzionati, i valori della Polonia rientrano nella media degli altri Paesi.
Effetto GDPR e pulizia dei siti
Si può parlare quindi di un effetto GDPR sui siti? Lo studio preferisce soffermarsi su alcuni aspetti interessanti piuttosto che correre a conclusioni affrettate, visto anche il recente ingresso del GDPR e la mutevole situazione di quest’ultimo. Il primo punto sembra avvalorare la tesi dell’effetto GDPR:
[…] considerata la richiesta del consenso [prevista dal GDPR], le organizzazioni di news potrebbero aver semplicemente [posticipato] l’installazione dei cookie fino al momento in cui l’utente clicca per accettare le condizioni del sito [da popup o finestra di dialogo]. Ciò potrebbe inoltre significare che, in base alle preferenze date dall’utente, il numero di cookie potrebbe essere simile [al passato] ma basato sull’accettazione [consapevole dell’utente], come richiesto dal GDPR per varie forme di raccolta e processamento dei dati.
Il secondo punto afferma che il GDPR ha incentivato le compagnie e snellire “lo scheletro” dei siti valutando l’utilità di varie funzionalità e linee di codice accumulate nel tempo (alcune delle quali sicuramente obsolete):
[Il GDPR] potrebbe aver dato alle [compagnie] la possibilità di valutare l’utilità di varie funzionalità, inclusi servizi di terze parti, e rimuovere codice non più necessario e/o [in grado di] compromettere la privacy dell’utente.
Ancora una volta, come nella tabella uno, l’impiego di determinati elementi resta quasi invariato, ad eccezione dei componenti relativi ai social media (-8%) ed ai messaggi mirati (-6%).
L’utilizzo dei cookie attivati “senza consenso” subisce invece un generale calo:
Monopolio a tre e conclusioni
Nelle ultime pagine del paper troviamo anche alcune infografiche dedicate ai servizi Google più utilizzati ed alle compagnie più presenti nei siti di informazione (sempre per numero di contenuti third-party) ad aprile e luglio 2018. Per quanto riguarda Mountain View non si registrano cali considerevoli ad eccezione di AdSense:
Il monopolio dei contenuti di terze parti è detenuto prevedibilmente da tre compagnie, in ordine di importanza: Google, Facebook, Amazon.
La top3 non subisce variazioni importanti ad eccezione di Facebook che arretra del 5%. Le posizioni successive offrono invece una casistica più varia con alcune new entry (Criteo, The Trade Desk) e contrazioni più marcate (AdForm e Rubicon Project).
In conclusione, osserva il report,
i cali più considerevoli [vi sono stati per i cookie advertising e marketing cosi come social media, ciò significa che i siti di informazione] potrebbero aver riconosciuto [tali contenuti] come potenziali minacce alla conformità [al GDPR ed optato per la loro rimozione o attivazione successiva all’assenso dell’utente]. […] Abbiamo riscontrato che l’introduzione del GDPR è stata seguita da una significativa riduzione, nei siti di informazione, dei volumi di cookie third-party attivati senza il consenso [degli utenti].
Fonte: 1