Un nuovo rapporto indipendente riaccende il dibattito sulla reale efficacia delle impostazioni di privacy online e mette sotto esame alcuni dei principali colossi del digitale. Secondo un’analisi condotta dalla piattaforma webXray su oltre 7.000 siti web popolari in California, Google, Microsoft e Meta continuerebbero a raccogliere dati di navigazione anche quando gli utenti esprimono chiaramente la volontà di non essere tracciati.
Lo studio si concentra sul funzionamento del sistema Global Privacy Control, uno standard introdotto per consentire agli utenti di comunicare in modo automatico il proprio rifiuto al tracciamento pubblicitario. In teoria, quando un browser invia questo segnale, i siti dovrebbero adeguarsi evitando l’installazione di cookie pubblicitari. Tuttavia, l’audit evidenzia un quadro molto diverso nella pratica, con una percentuale significativa di siti che non rispetterebbero queste indicazioni.
Secondo i dati raccolti, circa il 55% dei siti analizzati avrebbe comunque attivato cookie pubblicitari nonostante la richiesta di esclusione dal tracciamento. Nel dettaglio, Google avrebbe mostrato un mancato rispetto del segnale nel 87% dei casi osservati, Microsoft nel 50% e Meta nel 69%. Numeri che, se confermati su larga scala, solleverebbero interrogativi importanti sull’efficacia degli strumenti di tutela previsti dalle normative sulla privacy, in particolare il California Consumer Privacy Act.
Il cuore della questione riguarda il comportamento dei sistemi pubblicitari quando ricevono il segnale “sec-gpc: 1”, che indica la volontà dell’utente di non essere profilato. L’analisi sostiene che, in diversi casi, i server pubblicitari continuerebbero comunque a impostare cookie di tracciamento, rendendo di fatto inefficace la preferenza espressa dall’utente. Un elemento che, secondo gli autori dello studio, sarebbe osservabile direttamente nel traffico di rete.
Particolarmente delicato anche il ruolo dei cosiddetti consent management platform, i sistemi che gestiscono i banner di consenso sui siti web. L’audit sottolinea come alcune soluzioni certificate da programmi legati agli stessi attori del settore pubblicitario non garantirebbero un’applicazione uniforme delle preferenze di opt-out, lasciando margini di attivazione dei cookie anche in presenza di segnali contrari.
Non si è fatta attendere la risposta delle aziende coinvolte. Google ha definito le conclusioni dello studio come basate su una comprensione non corretta del funzionamento dei propri sistemi, ribadendo il rispetto delle normative e delle preferenze espresse da utenti e publisher. Meta ha invece evidenziato come il Global Privacy Control riguardi solo specifici utilizzi dei dati e non rappresenti un blocco assoluto del trattamento, sottolineando la presenza di strumenti dedicati alla gestione della condivisione delle informazioni. Microsoft, dal canto suo, ha ribadito l’impegno sul fronte della trasparenza, precisando che alcuni cookie restano necessari per il funzionamento dei servizi anche in presenza di segnali di opt-out.
Oltre ai numeri, lo studio introduce una riflessione più ampia sul modello economico della pubblicità digitale. Secondo il fondatore di webXray, il sistema attuale basato su sanzioni economiche non sarebbe sufficiente a modificare in profondità le pratiche del settore, perché le multe verrebbero assorbite come un costo operativo. L’analisi propone invece un approccio tecnico più rigido, in cui il rifiuto dell’utente venga applicato in modo automatico e non interpretabile, ad esempio bloccando direttamente l’erogazione dei contenuti pubblicitari. Il tema tocca uno dei punti più sensibili dell’economia digitale contemporanea: il rapporto tra esperienza utente, pubblicità e controllo dei dati personali. Da un lato, le aziende sostengono di operare nel rispetto delle normative vigenti e di offrire strumenti avanzati di gestione della privacy. Dall’altro, audit indipendenti come questo evidenziano possibili discrepanze tra le regole dichiarate e il comportamento effettivo dei sistemi in tempo reale. La questione resta aperta e destinata a influenzare il dibattito regolatorio nei prossimi mesi, soprattutto in un contesto in cui la protezione dei dati personali sta diventando sempre più centrale nelle politiche digitali internazionali.