Si dà il caso che fin dai primi anni duemila l’uso dei cookie per applicazioni di un certo tipo era, ed è, limitate dalla capacità di memorizzazione dei cookie medesimi. Se un sito volesse memorizzare molte informazioni il cookie si rivelerebbe incapace di operare questa funzione in modo semplice.
Allo scopo di uscire da questa limitazione, nacquero le c.d. “Local Storage”, le quali altro non sono che un normale sistema di salvataggio di “file” da parte del browser in uso.
Questo permise di uscire dal limite di dimensione massima dei cookie, e di avere a disposizione uno spazio molto più ampio, che permette di memorizzare in modo permanente molte informazioni.
Questa premessa, sulla possibilità di memorizzazione locale oltre i cookie, è importante per capire alcune cose in merito al rispetto della normativa sul tracciamento degli utenti in rete, non esaurendosi con il cookie la possibilità di mantenere un identificativo univoco collegato al dispositivo dell’utente.
Si corre il rischio, da un lato, di inserire sull’informativa dei cookie un eccesso di informazioni non rispondenti al vero, e dall’altro di mancare di segnalare all’utente una certa situazione frutto dei sistemi tecnologici in uso, probabilmente per pura non conoscenza.
Per semplificare queste informazioni, possiamo fare un esempio pratico, sicuramente anche molto vicino alla nostra quotidianità: YouTube.
Il portale video YouTube mette a disposizione dei proprietari di siti web la possibilità di incorporare sul proprio sito un video utilizzando il dominio Internet Youtube-nocookie.com, che nel nome già ricorda il teorico scopo della sua esistenza: non rilasciare cookie sul dispositivo dell’utente, tutelando così la sua privacy. Dalle analisi effettuate in effetti i cookie che il dominio Youtube-nocookie.com rilascia sono limitati ad uno solo, il quale appare non fornire un identificativo preciso, seppur contenente un numero di tre cifre che cambia su ogni dispositivo che già basterebbe ad accendere un campanello di allarme.
All’interno della “Local Storage” del nostro browser troveremo tuttavia fino a sette “file” creati da questo sedicente dominio cookie-free, e tra questi ne spicca uno in modo specifico chiamato “yt-remote-device-id”, il quale contiene un valore che cambia per ogni dispositivo, con tanto di data di scadenza. Oltretutto, il nome non sembra lasciare adito ad interpretazioni. Seppur non si trova nell’area de cookie, ha proprio l’aria di un identificativo di altro tipo.
Non sappiamo ovviamente se questo permetterà il nostro tracciamento, la nostra identificazione. Possiamo solo affermare che si tratta ad ogni modo di un valore identificativo, inviabile direttamente al server di YouTube.
Per gli utenti europei sappiamo che sono stati approntati quei famosi proxy che permettono di filtrare tutto il traffico dei cookie e dei potenziali fingerprinting verso i fornitori di servizi d’oltre oceano, ma non c’è oggi garanzia che riescano ad azzerare tutti quei tentativi di “passare dati personali”. Oltretutto l’utilizzo di questi proxy non è noto alla massa di proprietari di siti web.
Il proprietario di un sito web dovrebbe ridurre al minimo l’utilizzo di elementi terzi, fuori dal proprio controllo, utilizzando il più possibile strumenti che permettano di rimanere “in home” sotto la propria diretta sorveglianza, oppure affidandosi a soluzioni completamente made in UE.
(G.S)