La fine dei cookie di terze parti: i browser prendono il controllo della pubblicità online

Ecco cosa significa per la privacy degli utenti e per la tua azienda.

I cookie di terze parti vengono gradualmente eliminati dai browser e ad essi vengono posti sempre più limiti.

La maggior parte degli strumenti di analisi, pubblicità e attribuzione online si stanno arrampicando per trovare alternative per la raccolta dei dati. Questo taglio ha un impatto anche sui nostri rapporti.

Ma capire perché i browser stanno limitando i cookie e quali sono i quadri legali a livello statale e nazionale è essenziale prima di cercare alternative.

Allora cominciamo da lì...

Perché i browser limitano i cookie?

La presentazione di Simo Ahava al Superweek 2020 di seguito mostra una sequenza temporale delle modifiche al browser implementate nel tempo.

I prodotti tecnologici stanno ora adottando misure più brevi per apportare modifiche. Anche il tasso di applicazione delle funzionalità di miglioramento della privacy sta aumentando.

Abbiamo visto più miglioramenti della privacy nei browser nel 2019 rispetto ai 5 anni precedenti.

Nel mio articolo, "I browser stanno spingendo per un futuro senza cookie con Safari ITP, Firefox ETP e Chrome Privacy Sandbox? ”, parlo a lungo delle ragioni che stanno dietro a questi cambiamenti:

Browser come Safari e Firefox (e, in misura minore, Chrome) vogliono anche proteggere i propri utenti da questi tipi di cookie, che vengono utilizzati per creare profili e interessi di acquisto degli utenti. Queste informazioni verranno quindi vendute e utilizzate per indirizzare gli utenti su altri siti. Il venditore di annunci realizzerà un profitto maggiore su un posizionamento dell'annuncio con intento verificato rispetto a una semplice impressione dell'annuncio. I leader del settore pubblicitario capiscono che la via da seguire è un minor monitoraggio e più posizionamenti di annunci che corrispondono alle intenzioni dell'utente sulla pagina (utilizzando la corrispondenza degli annunci di contenuto).

Questa idea viene da John Wilander che ha pubblicato questo post sul blog per Webkit. Secondo Wilander, "Intelligent Tracking Prevention è stato progettato per proteggere la privacy degli utenti impedendo il tracciamento tra i siti".

Si tratta di concentrarsi sui siti Web che creano una relazione più stretta con i PROPRI utenti (nel contesto di un singolo sito per ITP e nel contesto di un'organizzazione per Chrome) e impedire a terze parti di fornirlo.

Webkit, l'organizzazione dietro ITP in Safari e uno dei progetti di John Wilander, lo spiega ulteriormente nella loro Politica di prevenzione del monitoraggio:

Il monitoraggio di WebKit impedirà tutto il tracciamento nascosto e tutto il tracciamento tra i siti (anche quando non è nascosto). Questi obiettivi si applicano a tutti i tipi di tracciamento sopra elencati, nonché alle tecniche di tracciamento a noi attualmente sconosciute. Se una particolare tecnica di tracciamento non può essere completamente prevenuta senza danni indebiti per l'utente, WebKit limiterà la capacità di utilizzare la tecnica. Ad esempio, limitare la finestra di tempo per il monitoraggio o ridurre i bit di entropia disponibili, punti dati univoci che possono essere utilizzati per identificare un utente o il comportamento di un utente.

Webkit sa che c'è un effetto collaterale non intenzionale del loro progetto ITP. L'analisi e la misurazione dell'audience nel contesto di un singolo sito non sono qualcosa che vogliono bloccare. Gli strumenti di analisi e test A/B che lavorano per migliorare l'esperienza dell'utente non vengono combattuti.

La questione è simile a quella che affrontano le nuove linee guida della Direttiva Europea ePrivacy (aggiornate a luglio 2019) e la Normativa ePrivacy non ancora implementata. Le nuove regole e tecnologie creano un divario giuridico o tecnologico che non possiamo ancora coprire.

Quando si tratta di browser, speriamo di ottenere nuove funzionalità come isLoggedIn, Private Click Measurement e Chrome SameSite OrganizationID (First Party Sets).

Ma dal momento che non abbiamo ancora queste alternative, cosa ci resta? Dovremmo ignorarli come fa la maggior parte delle aziende, a seguito degli aggiornamenti della Direttiva ePrivacy da parte di ICO e CNIL?

Il GDPR europeo sta aprendo la strada alle limitazioni legali

La legge sulla privacy più severa al mondo è il GDPR europeo.

Le linee guida recentemente aggiornate dell'ICO (Autorità per la privacy del Regno Unito) e della CNIL (Autorità per la privacy in Francia) condannano anche l'inserimento della maggior parte dei cookie sui dispositivi degli utenti prima del consenso attivo (e l'uso di trucchi come i pulsanti "Accetta tutto", caselle di controllo preselezionate o radio pulsanti). Le linee guida, aggiornate a luglio 2019, non entreranno in vigore fino a luglio 2020. Allo stesso tempo, il Regolamento ePrivacy (ancora in bozza) ha previsto alcune esclusioni per i cookie. Tutti questi affermano che sono consentiti test A/B, analisi e misurazione dell'efficacia degli annunci (anche test degli annunci).

L'8 novembre 2019 il governo finlandese ha emesso una proposta rivista per il regolamento ePrivacy con alcune modifiche. In questa proposta alcuni cookie possono essere inseriti senza consenso, come recita l'ultima bozza del Regolamento ePrivacy (da novembre 2019) agli articoli 8, 17a bis e 21 bis di seguito :

Articolo 8: "Protezione delle informazioni dell'apparecchiatura terminale degli utenti finali, 1(d) è necessario per la misurazione dell'audience web , a condizione che tale misurazione sia effettuata dal fornitore del servizio della società dell'informazione richiesto dall'utente finale o da un terzi per conto di uno o più fornitori del servizio della società dell'informazione, a condizione che siano soddisfatte le condizioni di cui all'articolo 28 o, ove applicabile, all'articolo 26 del regolamento (UE) 2016/679. 2(c) è necessario ai fini di un conteggio statistico limitato nel tempo e nello spazio nella misura necessaria a tale scopo e i dati sono resi anonimi o cancellati non appena non sono più necessari a tale scopo.

Articolo 17 bis bis: “ Poiché gli utenti finali attribuiscono grande valore alla riservatezza delle loro comunicazioni, compresi i loro movimenti fisici, tali dati non possono essere utilizzati per determinare la natura o le caratteristiche di un utente finale o per costruire un profilo di un utente finale, al fine, ad esempio, di evitare che i dati siano utilizzati a fini di segmentazione, per monitorare il comportamento di un determinato utente finale o per trarre conclusioni sulla vita privata di un utente finale. Per lo stesso motivo, all'utente finale devono essere fornite informazioni su tali attività di trattamento in corso e deve avere il diritto di opporsi a tale trattamento.

Articolo 21 bis: "I cookie possono anche essere uno strumento legittimo e utile, ad esempio, per valutare l' efficacia di un servizio fornito della società dell'informazione, ad esempio per la progettazione e la pubblicità di siti Web o aiutando a misurare il numero di utenti finali che visitano un sito Web , determinate pagine di un sito Web o il numero di utenti finali di un'applicazione. Non è il caso, invece, dei cookie e identificatori simili utilizzati per determinare la natura di chi sta utilizzando il sito, che richiede sempre il consenso dell'utente finale.

In parole povere, la misurazione dell'audience Web utilizzando un'analisi o uno strumento di terze parti non richiede il consenso dei cookie. Puoi ottenere statistiche da questi dati, ma non puoi segmentarli per "trarre conclusioni sulla vita privata di un utente finale": i dati devono essere anonimi.

Il GDPR sta aprendo lo spazio per i test A/B e la personalizzazione (con l'opzione hold-back per misurare l'efficacia di un'esperienza) di contenuti, pubblicità o design. Questo mi fa sperare che siamo sulla strada giusta per mantenere le potenti soluzioni di test A/B che abbiamo ora, ma concentrarci sull'efficacia del messaggio e sul fornire migliori esperienze web. Dovremmo condannare pratiche come l'individuazione di piccoli gruppi o individui e la segmentazione basata su tratti facilmente identificabili come sesso, razza, età o qualsiasi dato personale (come definito dal GDPR).

Sia i browser che le leggi sulla privacy cercano la stessa cosa. Entrambi guidano questo movimento, il che significa che sono addirittura avanti a nuove soluzioni alternative. Il loro obiettivo principale non è impedirti di analizzare gli utenti (sul tuo sito) o eseguire test A/B per migliorare e ottimizzare l'esperienza utente. Sono qui per impedire che le identità vengano costruite su posizioni di terze parti al di fuori del contesto del singolo sito, senza il consenso attivo dell'utente. Maggiori informazioni su questo in questo articolo che ho scritto.

Il futuro dei browser

I tre browser più utilizzati in questo momento sono Chrome, Safari e Firefox, ma le alternative più attente alla privacy come Brave stanno crescendo rapidamente. Chrome è il più utilizzato (64% dei dispositivi nel mondo), seguito da Safari con il 18% (e tablet fino al 60%) e Firefox con circa il 4% (meno dell'1% sui dispositivi mobili), secondo questo riepilogo. Ciò che questo power block fa con le loro tecnologie, guidando il 76% - 85% del traffico mondiale, è fondamentale per capire cosa dovresti usare per il tuo marketing online.

Mozilla Firefox

Mozilla detiene circa il 4% della quota di mercato complessiva, con un range stimato tra l'8% e il 12% su desktop e <1% su mobile (fonti Statcounter, NetmarketShare e WikiMedia). Offre protezione della privacy contro impronte digitali e cookie di terze parti utilizzando Enhanced Tracking Protection (ETP).

ETP blocca tutti i cookie di terze parti se sono in questo elenco da Disconnect. I cookie proprietari non vengono bloccati e l'elenco Disconnetti sembra essere classificato utilizzando un passaggio intermedio e forse sostituito del tutto con un elenco curato da Mozilla, in base alle conversazioni della comunità. Mantenere questo elenco è un processo piuttosto laborioso, ma un solido passo avanti verso la privacy. Una volta che una fonte è nell'elenco, non è possibile impostare cookie di terze parti da quella. Non esiste una tabella di marcia chiara su dove si stia dirigendo Mozilla Firefox ETP, ma la priorità sembra essere il perfezionamento, la categorizzazione e l'espansione dell'elenco dei cookie e del fingerprinting.

Safari di mele

Il browser iOS predefinito ha una quota di mercato compresa tra il 20% e il 60% su dispositivi mobili e tablet, secondo Wikipedia (novembre 2019). La quota di mercato complessiva è del 18%. Safari è il browser più rumoroso sulla privacy. Nel 2019 è uscito con ITP 2.1, ITP 2.2 e ITP 2.3. Questo è anche il team di Webkit dietro ITP, che spinge su soluzioni alternative per i problemi introdotti da ITP.

Ora diamo un'occhiata più da vicino all'API LoggedIn, Private Click Measurement e Storage Access e vediamo come possono risolvere alcuni dei problemi introdotti nel 2019.

isLoggedIn

John Wilander di Apple Webkit ha proposto un miglioramento del W3C (a settembre 2019) su uno standard che può aiutare con la base giuridica di un contratto del GDPR. In Europa, tale base giuridica offre la libertà di utilizzare i cookie sugli utenti e molto altro, ma solo con il consenso dell'utente. Wilander propone di utilizzare qualcosa di simile a livello di browser. Questo è qualcosa che penso che i browser accetteranno come base legale in futuro.

isLoggedIn è una funzionalità del browser che potrebbe negare lo stato lato client (ad es. cookie non di sessione, localStorage) a meno che l'utente non abbia effettuato l'accesso a un provider affidabile. Si teme che l'ossessione di ottenere i dati degli utenti possa portare a accessi inutili solo per raggiungere lo stato isLoggedIn e il "contratto" della base giuridica GDPR per fare cose come il retargeting degli annunci. L'ho sperimentato in prima persona. Nell'esempio seguente, il sito immobiliare spagnolo Habitaclia sta cercando di farmi accedere, mentre le informazioni sono disponibili chiudendo il pop-up. Il valore dell'accesso per me come utente è nullo, quindi questa pratica è apparentemente inutile (attenzione, questo proviene dalla Spagna, dove viene applicato il GDPR).

Ma come ITP, isLoggedIn sarà provato e migliorato e spero che venga adattato. Ci sono stati molti avanti e indietro nel 2019 nel canale W3C, ma da allora non sono state fatte ulteriori azioni. In teoria, questo potrebbe creare una soluzione tecnica per la persistenza della base giuridica che ora solo i cookie e il consenso possono fornire. In Europa, questo offrirebbe a tutti gli strumenti un modo semplice per sapere se un utente ha effettuato l'accesso a un sito e se esiste una base giuridica per raccogliere dati personali.

Misurazione del clic privato

La misurazione dei clic privati ​​(precedentemente chiamata Attribuzione dei clic sugli annunci per la tutela della privacy), del team Webkit, è una proposta del W3C che consentirebbe un'attribuzione semplice ma efficace delle conversioni. È una proposta più formale per il miglioramento di isLoggedIn ma non è ancora considerata uno standard W3C. Per i test A/B, questo può tornare utile quando si esegue la conversione in un ambiente di carrello acquisti fuori sede. È qualcosa che prenderemo in considerazione di implementare quando sarà disponibile pubblicamente. Puoi leggere il suggerimento di implementazione in questo articolo. A metà gennaio Apple Safari e Mozilla Firefox hanno sostenuto questa iniziativa per portarla a uno standard formale. Il suo limite è di 64 campagne e un trigger di conversione casuale con un ritardo di 24-48 ore (rendendo più difficile individuare la conversione, aumentando così la privacy), ma con il supporto di Firefox e Safari sembra avere successo.

Gli llimits sono anche qualcosa che il team di Chrome (Chromium) trova troppo restrittivi ed è il motivo per cui hanno proposto la nuova API di misurazione delle conversioni.

Google Chrome

Chrome detiene oltre il 64% della quota di mercato mondiale (con il 67% solo sui desktop). Chrome è una potenza nel mondo dei browser e un attore controverso in cui le entrate principali provengono dai prodotti pubblicitari di Google. Con una quota dal 25% al ​​65% per dispositivi mobili e 67% per desktop, è il browser più dominante al mondo. Ma le cose cambiano, e l'abbiamo già visto... i browser possono cadere in disgrazia. Tutte le preinstallazioni di Android potrebbero non salvare Google Chrome se non spostano l'attenzione sulla privacy.

Digiday lo riassume bene:

Le recenti modifiche per limitare il tracciamento di terze parti nei browser Safari di Apple e Firefox di Mozilla si sono rivelate dirompenti per editori, fornitori di tecnologia pubblicitaria e agenzie. Tuttavia, con la privacy del web che sta diventando sempre più una preoccupazione per i consumatori mainstream, Google è sotto una certa pressione competitiva per seguire direzionalmente l'esempio.

Ian Lowe, VP marketing presso la piattaforma di gestione del consenso Crownpeak, afferma:

Con l'aumentare della pressione, Google sta cercando di mostrare sempre più modi per muoversi positivamente nella direzione della privacy pur mantenendo il modello di entrate.

Stesso sito

L'aggiornamento SameSite di febbraio 2020 relativo a Chrome 80 richiederà ai proprietari di siti Web di etichettare esplicitamente i cookie di terze parti che possono essere utilizzati su altri siti. Digiday spiega molto bene il cambiamento:

Google ha annunciato per la prima volta a maggio dello scorso anno che i cookie che non includono le etichette "SameSite=None" e "Secure" non saranno accessibili da terze parti, come le società di tecnologia pubblicitaria, in Chrome versione 80 e successive. L'etichetta Secure indica che i cookie devono essere impostati e letti tramite connessioni HTTPS.

Al momento, il cookie predefinito di Chrome SameSite è: "Nessuno", che consente ai cookie di terze parti di tracciare gli utenti su tutti i siti. Ma da febbraio, i cookie verranno impostati automaticamente su "SameSite=Lax", il che significa che i cookie vengono impostati solo quando il dominio nell'URL del browser corrisponde al dominio del cookie, un cookie di prima parte.

Qualsiasi cookie con l'etichetta "SameSite=None" deve avere anche un flag di sicurezza, il che significa che verrà creato e inviato solo tramite richieste effettuate tramite HTTP. Nel frattempo, la designazione "SameSite=Strict" limita del tutto la condivisione tra siti, anche tra domini diversi di proprietà dello stesso editore".

Firefox di Mozilla e Edge di Microsoft hanno annunciato che adotteranno anche l'impostazione predefinita SameSite=Lax. Senza questa etichetta, inizieremo a vedere sempre più avvisi nel pop-up della console di Chrome come quello qui sotto.

Secondo Digiday:

L'aggiornamento di Google SameSite e Google Ads di febbraio impedirà alle società di tecnologia pubblicitaria che non hanno una relazione primaria con un consumatore di "ascoltare" le aste degli annunci per creare profili utente utilizzando le categorie di contenuti. Con il sistema attuale, se un utente visita un sito come ESPN.com, lo scambio di Google restituisce informazioni nel flusso di offerte che includono l'argomento contestuale "sport" ai potenziali offerenti. Una piattaforma lato domanda e altre società di tecnologia pubblicitaria come le piattaforme di gestione dei dati sono in grado di vedere tali informazioni e potrebbero, in teoria, utilizzarle per creare profili utente comportamentali all'insaputa dell'utente. Non è chiaro se ciò avvenga regolarmente nella pratica, ma la possibilità presenta un rischio GDPR. Anche la creazione di profili di utenti basati sui dati delle offerte è vietata dalle norme sugli annunci di Google.

Le modifiche a SameSite sembrano rientrare in un progetto più generale su cui Google Chrome sta lavorando chiamato Privacy Sandbox.

Sandbox per la privacy

La missione di Privacy Sandbox è "creare un ecosistema web fiorente che sia rispettoso degli utenti e privato per impostazione predefinita", secondo questa pagina di Chromium. L'approccio generale di Chrome, proprio come quello di Webkit, consiste nel riattivare il monitoraggio tra siti ma senza implicazioni sulla privacy per gli utenti. Ciò significa che non vogliono perdere le capacità pubblicitarie, ma possono anche vedere che la privacy diventa un problema che non possono più ignorare.

Ecco una dichiarazione significativa del team:

Riteniamo che parte della magia del web sia che i creatori di contenuti possano pubblicare senza alcun gatekeeper e che gli utenti del web possano accedere a tali informazioni liberamente perché i creatori di contenuti possono finanziarsi attraverso la pubblicità online. Tale pubblicità è di gran lunga più preziosa per editori e inserzionisti e più coinvolgente e meno fastidiosa per gli utenti quando è rilevante per l'utente. Abbiamo in programma di introdurre nuove funzionalità per soddisfare i casi d'uso che fanno parte di un Web sano attualmente realizzato tramite il monitoraggio tra siti (o metodi che sono indistinguibili dal tracciamento tra siti). Non appena questa funzionalità sarà disponibile, porremo sempre più restrizioni all'uso dei cookie di terze parti, che sono il meccanismo più comune per il tracciamento tra siti oggi e alla fine li deprecheremo completamente. Parallelamente a ciò, combatteremo in modo aggressivo le attuali tecniche per il tracciamento cross-site non basato su cookie, come il fingerprinting, l'ispezione della cache, la decorazione dei collegamenti, il tracciamento della rete e l'unione di informazioni di identificazione personale (PII) .

Michael Kleber, un ingegnere software di Google che si occupa di privacy e prevenzione del tracciamento in Chrome, delinea il piano dell'azienda per passare a un Web senza tracciamento. Suggerisce di passare dai cookie a "API di dimensioni più adeguate" che non consentono il monitoraggio illimitato delle persone sul Web e discute di come Chrome stia esplorando l'uso di Federated Learning of Cohorts (FLoC) (parte del progetto Privacy Sandbox) per continuare a consentire gli annunci basati sugli interessi sul Web. Incoraggia gli sviluppatori ad "aiutarci a immaginare un mondo senza cookie di terze parti o altri vettori di tracciamento".

Dichiarazione di cookie proprietari appartenenti alla stessa organizzazione

Un altro progetto a cui Chrome sta lavorando nell'ambito dell'iniziativa Privacy Sandbox è First Party Sets (Justin Schuh, Direttore di Chrome Engineering ha iniziato a parlarne nell'agosto 2019).

Questo progetto propone un nuovo meccanismo di piattaforma web per dichiarare una raccolta di domini correlati come set di prima parte. È un'iterazione di "Single Trust and Same-Origin Policy v2" di Wilander e "domini affiliati".

Qui, il browser considererà i domini come membri di un set se i domini acconsentono e il set soddisfa la politica UA, per incorporare le esigenze sia dell'utente che del sito. I domini acconsentono ospitando un manifest JSON all'indirizzo https://<domain>/.well-known/first-party-set. I domini secondari puntano al dominio proprietario mentre il dominio proprietario elenca i membri del set, un numero di versione per attivare gli aggiornamenti e un set di asserzioni firmate per informare la politica UA. Ecco un esempio di questo:

 https://a.example/.well-known/first-party-set { "owner": "a.example", "version": 1, "members": ["b.example", "c.example"], "assertions": { "chrome-fps-v1" : "<base64 contents...>", "firefox-fps-v1" : "<base64 contents...>", "safari-fps-v1": "<base64 contents...>" }, } https://b.example/.well-known/first-party-set { "owner": "a.example" } https://c.example/.well-known/first-party-set { "owner": "a.example" }

Dichiarare i tuoi domini proprietari ai browser ti consente di includere tutti i domini della tua organizzazione. In questo modo è più facile per i browser bloccare gli strumenti di terze parti che sollevano cookie e script proprietari. Se disponi di personalizzazione, test A/B, analisi, sistemi di attribuzione o strumenti di riferimento, portali nei domini della tua organizzazione, come i cookie lato server e CNAME. Assicurati di controllare quali soggetti porti sotto i tuoi domini poiché diventano di tua responsabilità (a breve dovrai dichiararli alla "dogana" del browser prima di entrare nel dispositivo del visitatore).

API per la misurazione delle conversioni

Riferendosi alle specifiche dell'API Conversion Measurement, Steven Englehardt di Mozilla ha affermato:

Vorrei esprimere le preoccupazioni di Mozilla in merito all'introduzione di un identificatore di siti incrociati ad alta entropia, che ho anche espresso alla summenzionata riunione del TPAC. L'identificatore di "dati impressioni" ad alta entropia offre al sito dell'editore la possibilità di apprendere informazioni sull'attività di un singolo utente su un sito diverso dal proprio. Si tratta di una violazione esplicita della politica anti-tracciamento di Firefox e non implementeremo un'API che faciliti tale violazione perché abilita il tracciamento tra siti. Il sito dell'editore può acquisire informazioni sulle persone associando il valore dei "dati delle impressioni" a un identificatore utente al momento della registrazione della conversione (ovvero, quando l'utente fa clic su un annuncio sul sito dell'editore). Quindi, le informazioni rivelate dal valore "conversion-metadata" possono essere associate all'account di quell'utente tramite il collegamento creato dal valore "impression data". In pratica, si tratta di informazioni riservate, ad esempio se l'utente ha effettuato un acquisto sul sito di destinazione o se si è registrato per un account. Per comprendere la gravità del rischio associato al consentire all'editore di raccogliere dati sull'attività associata a un individuo tramite questa API, considera che l'editore potrebbe essere un motore di ricerca o un social network che funge da punto di accesso principale dell'utente al resto del Web . È probabile che gli editori in questa posizione vengano a conoscenza dell'attività di un singolo utente su un gran numero di siti di destinazione e quindi costruiscano un quadro abbastanza completo dell'attività di acquisto fuori sede di quell'utente, dell'attività di registrazione fuori sede e così via.

Inoltre, Safari (Webkit) esprime scetticismo pubblico, in particolare per quanto riguarda i metadati delle impressioni a 64 bit.

In un modo o nell'altro, tutti gli altri browser stanno cercando di risolvere il problema di attribuzione per gli inserzionisti utilizzando l'API di misurazione delle conversioni proposta da Chrome o l'API di misurazione dei clic privati ​​proposta da Safari. Una volta che questo sarà a posto, tutti i browser offriranno agli inserzionisti incentivi sufficienti per lavorare con loro proteggendo la privacy web.

Tortora o apprendimento federato di coorti (FLoC)

Michael Kleber ha sviluppato una nuova proposta chiamata Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLE-DOV) o TURTLEDOVE (versione aggiornata di PIGIN).

Sebbene non sia ancora chiaro come andranno a finire Turtledove o il Federated Learning of Cohorts (FLoC), il team di Chrome sta mettendo in discussione tutte queste soluzioni e vedrà quale trae vantaggio dai team per la privacy di Safari, Firefox e Brave. La proposta FLoC offre un approccio diverso al targeting degli annunci, concentrandosi sugli interessi generali delle persone piuttosto che su azioni specifiche.

Nel modello FLoC, gli inserzionisti e le reti pubblicitarie non hanno alcun controllo sui gruppi in cui si trovano le persone. Invece, il browser stesso è responsabile in qualche modo di raggruppare insieme stormi di "persone simili", con ampia libertà nel modo in cui viene fuori la sua nozione di somiglianza . Il browser può quindi adottare misure per impedire che il suo raggruppamento consenta il tracciamento o la rivelazione di caratteristiche sensibili. PIGIN soddisfa questo caso d'uso e parte di quella spiegazione viene riutilizzata qui. In quella proposta, il browser controllava l'appartenenza al gruppo di interesse (come in questo), ma una piccola quantità di informazioni sul gruppo di interesse veniva inviata insieme alla normale richiesta di annuncio contestuale (e non c'era asta nel browser).

Il feedback del W3C Web-Advertising Business Group e del Privacy Interest Group e delle comunità di ricerca sui browser e sulla privacy ha evidenziato i punti deboli di questo progetto.

La possibilità di associare l'assegnazione di un gruppo di interesse di un inserzionista con l'identità proprietaria di una persona sul sito di un editore è considerata una perdita di privacy troppo elevata anche con le mitigazioni proposte da tale Explainer. L'analisi delle iscrizioni a elenchi di utenti nel mondo reale mostra che anche la proposta "piccola quantità di informazioni sui gruppi di interesse" consumerebbe troppo del budget per la privacy di una pagina. L'aggiunta di un'asta nel browser in TURTLEDOVE è un modo per affrontare entrambi i punti deboli della privacy. Le discussioni con i partecipanti all'ecosistema degli annunci hanno reso più plausibile l'adozione di un componente di asta nel browser.

Come funzionerebbe TURTLEDOVE? La proposta è una nuova API per affrontare questo caso d'uso offrendo al contempo alcuni importanti progressi in materia di privacy:

• Il browser, non l'inserzionista, contiene le informazioni su ciò che l'inserzionista ritiene interessi una persona.
• Gli inserzionisti possono pubblicare annunci basati sugli interessi, ma non possono combinare tale interesse con altre informazioni sulla persona, in particolare chi è o quali pagine stanno visitando.
• I siti Web visitati dalla persona e le reti pubblicitarie utilizzate da tali siti non possono conoscere gli interessi pubblicitari dei propri visitatori.

Questa sembra una buona soluzione per la privacy e rende il browser un potente attore nel mondo della pubblicità. In questo modo, vedo aziende come Apple (Safari Webkit), Firefox e Brave che stanno dietro a questo come nuovi modelli di entrate, pur rispettando la privacy. Tuttavia, ciò richiederebbe un massiccio passaggio di potere dalle reti pubblicitarie ai browser.

Il lato server ci salverà tutti

Alcuni fornitori pretendono che il metodo lato server risolva tutti i problemi e che consenta la personalizzazione o il test A/B. Ma il metodo lato server non ti consentirà di fare molto senza comprendere lo stato del client (utente in un browser). Per questo, hai ancora bisogno di cookie proprietari. Come si impostano questi cookie proprietari? È necessario presentare le stesse variazioni per i test A/B e la personalizzazione in modo che si attacchino a tutte le sessioni affinché funzioni. L'impronta digitale non è legale e i browser stanno tracciando e disabilitando questi metodi. Non è affatto trasparente. Puoi utilizzare solo i cookie proprietari impostati in un sottodominio del sito principale e utilizzare i set proprietari per dichiarare di essere il proprietario di questo sottodominio.

Il lato client vs lato server non è un dibattito che abbia senso in questa discussione.

Puoi chiamare la personalizzazione del sito client e gli strumenti di test A/B ibridi, poiché spostano la responsabilità dell'impostazione dei cookie su un dominio attendibile (insiemi di prima parte) all'interno dell'organizzazione. Tuttavia, in tal caso, tutti gli strumenti del sito client sarebbero ibridi, poiché questo sarà l'unico modo per farlo in futuro.

Rimozione dei cookie di terze parti. Qual è il prossimo?

I segni sono chiari, i biscotti sono morti... beh, non proprio. La maggior parte degli articoli online parla della morte dei cookie. Sebbene abbiamo visto molte API che possono assumere parte del lavoro dei cookie, non vi è alcun segno che i cookie vadano ancora da nessuna parte.

I cookie di terze parti scompariranno completamente e questa è una buona cosa per la privacy.

Justin Schuh, Direttore di Chrome Engineering ha recentemente dichiarato: "Prevediamo di eliminare gradualmente il supporto per i cookie di terze parti in Chrome (e) la nostra intenzione è di farlo entro due anni". Chrome inizierà con i marketer delle conversioni poiché prevedono di iniziare le prove della prima origine entro la fine del 2020, iniziando con la misurazione delle conversioni e in seguito con la personalizzazione.

Webkit (Apple Safari) e Chrome (Google) aiuteranno ad aprire la strada per la privacy del browser, Apple spingendo Google a cercare una maggiore privacy senza affrontare molti dei problemi di privacy dei produttori di denaro iOS.

Prevedo che sempre più aziende europee si concentreranno sul tentativo di convincere gli utenti ad accedere e registrarsi (si spera che non utilizzino i servizi Google o Apple) e ad applicare la base giuridica al contratto.

L'interesse nell'ottimizzare il consenso o nel presentare qualche vantaggio nella fase di accesso (come l'un clic di Amazon) chiarisce che la battaglia in Europa sarà tutta incentrata sugli accessi.

In qualità di ottimizzatori, dovremo assicurarci che a livello organizzativo disponiamo di tutti i domini (proprietari) pronti per essere condivisi con i browser. Un passo in questa direzione può essere la creazione di un inventario degli script e dei provider rispettosi della privacy. Quindi, fornendo a quel cookie proprietario l'accesso tramite la tua soluzione CNAME centrale mantenendo tutti gli strumenti sensibili alla privacy (costruendo profili tra siti).

Saremo legalmente tenuti a chiedere il consenso nel Regno Unito (secondo l'ICO), ma prevedo che le linee guida della CNIL per le eccezioni sui test A/B e sull'analisi limitata apriranno la strada a un'eccezione europea per quelli poiché corrisponderebbe al nuovo Regolamento ePrivacy. Senza di essa, avremo solo analisi basate sulla sessione e non saremo in grado di connetterci ai singoli utenti. Il test A/B che utilizza il monitoraggio a livello di utente standard e il ciclo di conversione non si applica in questo caso e dovremo ricorrere al miglioramento continuo, monitorando questi miglioramenti della conversione e correlandoli.

I non europei possono essere testati sull'utilizzo di cookie proprietari (quelli forniti da Convert Experiences) e dovrebbero iniziare con un inventario di tutti gli script e i fornitori che l'organizzazione si fida per portarli nei sottodomini utilizzando i CNAME. Le conversioni possono essere monitorate utilizzando le diverse API di attribuzione dei clic o delle conversioni in fase di sviluppo. Forse i test A/B possono migliorare questi dati per le diverse variazioni e mantenere la coerenza se i browser non seguono il pensiero della CNIL nell'escluderli dai blocchi dei cookie, sebbene nei formati attuali ciò sembri improbabile. La coerenza deriva dai cookie affidabili di prima parte.

L'analisi basata sull'utente che utilizza tecniche come isLoggedIn sarà probabilmente estesa e unificata su tutti i browser, consentendo alle leggi sulla privacy di trasferire la responsabilità della definizione del contratto sui meccanismi del browser. Questo dà ai browser un nuovo potere. In combinazione con le nuove API per la misurazione delle intenzioni, le categorie di annunci e il monitoraggio delle conversioni, la battaglia è aperta per chi possiede la più grande quota di mercato dei browser e offre le reti pubblicitarie più grandi del mondo.

Tempi interessanti a venire... Spero davvero che questo articolo ti aiuti a fare chiarezza su dove è probabile che le leggi sulla privacy e i browser vadano a finire. Una cosa è certa. Prepara il tuo team di ottimizzazione e analisi per pianificare le modifiche quando arriverà il momento (sarà prima di quanto pensi).

Hai domande? Continuiamo la conversazione su LinkedIn.