Autori: Lapo Curini Galletti, Anna Maria Lorito e Giulia Sala -DGRS Studio Legale-
Dal Report del 2017 sulla diffusione degli ad-blocker (pubblicato da Pagefair e Adobe) risulta che l’uso di questi piccoli software, solitamente gratuiti e progettati per evitare che le pubblicità vengano mostrate sul browser dell’utente, sia sempre più in crescita, addirittura sul mobile, e abbia ormai abbia raggiunto più di 600 milioni di device in tutto il mondo.
Editori ed advertisers, entrambi danneggiati da tale ampia penetrazione del mercato, hanno proposto nel tempo varie soluzioni: adozione di standard definiti “sostenibili”, blacklisting dell’advertising di bassa qualità (considerato fra le principali cause che spingono ad utilizzare l’ad-blocking) e soluzioni “tecniche”, quali il ricorso ai cosiddetti ad-blocker wall, ossia codici che rilevano se l’utente stia utilizzando un plug-in che blocca le pubblicità. Rilevata la presenza dell’ad-blocker, il codice solitamente blocca i contenuti del sito, permettendone la visione solo alla disabilitazione del blocco, oppure inviando un messaggio all’utente, informandolo degli effetti negativi dell’ad-blocking sul sito che sta consultando gratuitamente.
Nonostante tali strumenti appaiano del tutto legittimi da un punto di vista business, per quanto riguarda la loro legittimità da un punto di vista privacy varie obiezioni sono state sollevate, in special modo con riferimento alla direttiva cd. e-privacy. In particolare, per gli attivisti privacy più “rigorosi”, il funzionamento degli ad-blocker wall sarebbe paragonabile a quello dei cookies, rendendo necessario il consenso dell’utente nel momento in cui tali codici indagano sulla presenza di blocchi alla pubblicità installati nei device dell’utente stesso.
Tale visione, condivisa anche dalla Commissione Europea, ha tuttavia suscitato forti dubbi sia da un punto di vista normativo che pratico. Innanzitutto la normativa utilizza termini talmente generici da rendere difficile inquadrare specificamente tutte le tecnologie che potrebbero rientrare nel suo ambito di applicazione; in secondo luogo molti tecnici del settore non sono convinti che il funzionamento degli ad-blocker wall -che si basa sul linguaggio di programmazione javascript- possa essere effettivamente considerato parte di una attività di archiviazione e accesso alle informazioni simile a quella dei cookies.
Inoltre, applicando agli ad-blocker wall la regola del consenso si andrebbe ad inficiarne il funzionamento stesso: sarebbe come chiedere a qualcuno il permesso per sottoporlo ad una sanzione, risulta difficile pensare che qualcuno acconsentirebbe ad una simile richiesta.
Nel permanere di tale incertezza normativa e con l’intento di agevolare gli operatori, IAB Europe ha cercato di fornire alcune linee guida ( http://www.iab.com/wp-content/uploads/2016/06/20160516-IABEU_Guidance_AdBlockerDetection.pdf ), suggerendo ai più “virtuosi” l’integrazione dell’Informativa accompagnata dal ricorso al banner (o ad una pagina dedicata) per informare gli utenti e ottenerne il consenso e ai “meno virtuosi” di fare riferimento alla disciplina dei cosiddetti “Cookies Tecnici”, ossia i cookies che rendono possibile la navigazione su un sito e l’utilizzazione delle funzionalità dello stesso.
Decisamente più pratica, questa seconda soluzione parte dal presupposto per cui dal momento che gli ad-blocker wall adattano i contenuti del sito ai software di cui l’utente che vi accede fa uso (oscurandone o mostrandone, a seconda dei casi, i contenuti) la loro funzione non è poi tanto differente da quella dei cookies tecnici, per i quali la normativa attuale non ritiene necessario mostrare il banner di informativa breve.
L’apice del dibattito su questo tema ha avuto luogo in un momento di cambiamenti per la privacy online: la bozza finale di un nuovo Regolamento in materia di e-privacy è stata definitivamente approvata ed entrerà in vigore nel 2018, insieme con il nuovo Regolamento Generale sulla Protezione dei Dati Personali.
Facendo ricorso ad una terminologia meno generica rispetto a quella dell’attuale direttiva, la proposta di Regolamento e-privacy prevede, per i casi di accesso alle informazioni conservate nei device degli utenti, eccezioni all’obbligo di ottenerne il consenso nelle situazioni che comportano un’intrusione nella vita privata “scarsa o nulla” e che “la semplice registrazione del fatto che il dispositivo dell’utente finale non sia abilitato a ricevere il contenuto richiesto dall’utente finale non dovrebb[e] configurare un accesso a detto dispositivo o un uso delle capacità di elaborazione del dispositivo”.
Per di più le FAQ che accompagnano la bozza, alla domanda relativa agli ad-blocker specificano che “…la proposta consente agli editori di verificare se il dispositivo dell’utente finale è in grado di ricevere i loro contenuti, tra cui pubblicità, senza ottenere il consenso del l’utente finale. Se l’editore rileva che non tutti i contenuti possono essere ricevuti dall’utente, [deve] rispondere in modo appropriato, per esempio chiedendo agli utenti finali se usano un ad-blocker e se siano disposti a disattivarlo per il proprio sito”.
Tuttavia dobbiamo ricordare che si tratta ancora di una bozza, la quale anche in caso di approvazione non entrerebbe in vigore prima di un anno, periodo durante il quale le Autorità Garanti degli Stati Membri più severe potrebbero ancora sanzionare l’uso degli ad-blocker wall da parte degli editori. Fino ad allora sarà dunque suggeribile per gli operatori attenersi alle linee guida dello IAB Europe: richiesta del consenso o ricorso alla “difesa” basata sull’equiparazione degli ad-blocker wall ai cookies tecnici.
