Negli ultimi anni, la programmatic advertising ha acquisito un importantissimo ruolo in tema di strategie di marketing online, sollevando altresì una serie di problematiche legali relative al tema del dei dati personali. È dunque importante sottolineare che per far sì che la programmatic advertising possa effettivamente apportare notevoli benefici in termini di performance del business, è essenziale che la raccolta dei dati personali a scopo di profilazione venga compiuta adeguatamente, evitando così ricadute dal punto di vista della privacy che possano portare il Garante privacy ad irrogare delle sanzioni.
Programmatic advertising, cos’è e come funziona
La programmatic advertising è uno strumento che consente la compravendita di spazi pubblicitari online attraverso delle piattaforme tecnologiche automatizzate. Nello specifico, il proprietario di un sito web, Publisher o Editore, inserisce all’interno della sua pagina degli spazi pubblicitari che verranno acquistati da un altro soggetto, Advertiser o Investitore, e saranno da quest’ultimo utilizzati per la promozione di campagne pubblicitarie.
La particolarità dello strumento risiede nel fatto che quando un utente accede alla pagina web del Publisher, vengono raccolti e analizzati i suoi dati personali, quali ad esempio il sesso, l’età, la geolocalizzazione, gli interessi, e così via. Tali dati, in base ad una serie di parametri, consentono al sistema di assegnare lo spazio pubblicitario ad Advertisers che pubblicizzano prodotti per un’audience in cui rientra il soggetto utente, permettendo quindi la promozione di una “pubblicità personalizzata” e dunque più efficace.
Programmatic advertising, gli aspetti privacy
Alla base del sistema vi è un’attività di profilazione con cui è possibile acquisire ed elaborare dati personali (big data). Affinché tali dati siano intercettati e raccolti, è necessario istallare i c.d. cookie di terze parti e i c.d. cookies di profilazione, utilizzati appunto per tracciare la navigazione dell’utente al fine di acquisire informazioni circa le abitudini, gli interessi e bisogni, potendo così promuovere una pubblicità mirata nei suoi confronti.
Ai sensi all’art. 4 del GDPR, la profilazione è “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Cookie e programmatic advertising
Per utilizzare cookie di profilazione e di terze parti senza incorrere in sanzioni, il Garante Privacy, con il provvedimento n. 229 dell’8 maggio 2014, ha specificato che debba necessariamente essere prestato il consenso da parte dell’utente. Inoltre, con un provvedimento generale approvato il 10 giugno 2021 ed entrato in vigore lo scorso 10 gennaio 2022, il Garante Privacy ha provveduto ad aggiornare le precedenti linee guida al fine di implementare ulteriormente la tutela relativa al consenso e rendere più stringenti le disposizioni in materia di cookie.
Ad oggi, infatti, i Publisher devono dotare le loro pagine web di un banner contente il link alla privacy policy e l’utente deve poter dare o revocare il consenso, il quale deve essere specifico, libero ed espresso in maniera inequivocabile. Si deve altresì indicare, previo consenso dell’utente stesso, la presenza sul sito di cookies o di altri strumenti di tracciamento. Deve inoltre essere presente nel banner una X per la chiusura, che equivale al mantenimento delle importazioni predefinite (cioè solo cookie tecnici) e un link ad un’ulteriore area dedicata nella quale sia possibile selezionare soltanto i cookie e le funzionalità a cui si vuole acconsentire.
Il requisito della trasparenza
Infine, devono essere specificati i tempi di conservazione dei dati personali con un linguaggio semplice e accessibile. La mancanza di trasparenza è di fatto una delle principali preoccupazioni in questo settore, ma i rimedi per rendere l’adtech conforme al GDPR e all’ePrivacy sono in fase di sviluppo da parte dell’industria. Fino a quando non si troverà una soluzione più efficace, l’integrazione della privacy by design (fin dalla fase di progettazione) nelle tecnologie pubblicitarie può consentire modi più efficaci per ottenere il rispetto dei principi fondamentali di protezione dei dati, come stabilito dall’articolo 5 del GDPR. La privacy “by design” potrebbe, ad esempio, rivelarsi utile in particolare in relazione al consenso, nonché per quanto riguarda la minimizzazione e la conservazione dei dati – considerando, in particolare, che per quanto possibile, i dati sensibili non dovrebbero essere trattati ed i dati in generale non dovrebbero essere conservati più a lungo del necessario.
