Sempre più frequentemente giungono agli esperti legali richieste di assistenza per la predisposizione di accordi commerciali, l’analisi di nuovi progetti e la disamina delle implicazioni privacy relative allo sviluppo di nuove tecnologie dedicate al Retail Media. Se all’inizio della sua ascesa, il Retail Media era considerato un altro canale, ora è diventato un ecosistema più complesso ma – e questo è l’aspetto più importante anche da una prospettiva legale e di protezione dei dati – non è autonomo poiché si è evoluto intorno al concetto di collaborazione con canali pubblicitari più tradizionali.
La deprecation dei cookie e la sicurezza dei dati
Dobbiamo anche ricordare il periodo in cui stiamo operando. Attualmente stiamo affrontando l’avvento della deprecazione dei cookie di terze parti, le crescenti preoccupazioni per la conformità alla protezione dei dati e l’abbandono progressivo dei data broker: il retailer è, quindi, uno dei pochi operatori in possesso di spazi pubblicitari sicuri ed efficaci ma, ancora più importante, di dati personali di prima parte cd “qualificati”.
Spesso la sfida più difficile per il retailer è adattare le strutture di protezione dei dati che sono state già strutturate in passato e che probabilmente hanno avuto il loro ultimo grande aggiornamento nel 2018 (con l’arrivo del Regolamento (UE) 2016/679, cd. “GDPR“). Tuttavia, non è un compito impossibile.
L’importanza della Data Protection Impact Assessment (DPIA)
Ogni situazione è diversa ma, prima di avviare qualsiasi nuova attività di trattamento dei dati, è importante mapparla e studiarla per avere chiaramente visibili tutte le attività e le finalità, così da comprendere se tale trattamento richiede l’effettuazione di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35 del GDPR (cd. “DPIA“).
Una DPIA è una procedura che mira a descrivere un’attività di trattamento dei dati per valutarne la necessità, la proporzionalità e i rischi associati, con l’obiettivo di implementare misure idonee ad affrontare tali rischi; può coprire un’unica attività di trattamento o più attività similari in termini di natura, ambito, contesto, scopo e rischi. Quest’ultimo punto è molto rilevante in termini di accountability ma anche per facilitare ed efficientare i processi aziendali interni. In alcuni casi, avere una DPIA unica per più attività di marketing che convergono in un unico flusso non è solo legalmente più corretto ma rappresenta anche un vantaggio significativo in termini di risparmio di tempo e risorse aziendali, guadagnando così in efficienza.
Come anticipato, bisogna innanzitutto domandarsi quando è obbligatorio svolgere una DPIA. Una DPIA è obbligatoria ogni volta che un’attività di trattamento dei dati può presentare un alto rischio per i diritti e le libertà degli individui. Nel contesto del Retail Media, questo potrebbe includere situazioni che coinvolgono processi valutativi o di scoring, inclusa la profilazione; il trattamento su larga scala di dati personali; la combinazione o il confronto di dataset provenienti da più fonti per scopi diversi e/o da diversi titolari del trattamento senza consenso iniziale (ad esempio, con Big Data); in caso di usi innovativi oppure in caso di applicazione di nuove soluzioni tecnologiche o organizzative (ad esempio, tecnologie che rilevano la posizione del dispositivo, dispositivi IoT, ecc.).
Ad ogni modo, per progetti altamente complessi come quelli implementati nel Retail Media. la DPIA è uno strumento prezioso, da usare quale “mappatura” (utile anche per l’aggiornamento dei registri delle attività di trattamento) e per condurre un esame approfondito del trattamento.
Identificare la base giuridica del trattamento dei dati nel Retail Media
Occorre poi identificare la corretta base giuridica per il trattamento dei dati, ai sensi dell’articolo 6 del GDPR: si tratta del fondamento di qualsiasi attività di trattamento, ma è spesso la parte più complessa e difficile del processo di conformità.
Nel contesto del Retail Media ci sono molteplici fonti di dati personali da considerare, come i dati del CRM raccolti sia online che nei negozi fisici, i dati raccolti dalla navigazione sulle properties digitali o i dati raccolti nel contesto di iniziative di marketing (come concorsi a premi o attività di lead generation). In breve, le fonti possono essere molteplici!
Per gestire quest’aspetto in modo efficiente, è essenziale mappare tutte le attività di trattamento dei dati prestando particolare attenzione allo scopo iniziale e alla base giuridica per la raccolta dei dati. Se il retailer intende attivare i dati per un’altra finalità, deve valutare se è necessaria una diversa base giuridica per l’ulteriore trattamento. Ad esempio, se il retailer volesse confrontare i dati dei suoi clienti raccolti durante un acquisto e da loro forniti per l’esecuzione del contratto (articolo 6, paragrafo 1, lett. b) del GDPR) all’interno di una Data Clean Room, sorgerebbe la questione se la base giuridica precedentemente identificata sia sufficiente per questa attività aggiuntiva.
L’eccezione del soft spam nelle strategie di Retail Media
Altro aspetto, spesso trascurato dagli operatori, è l’analisi relativa al possibile utilizzo dell’eccezione del cd. soft spam. È ben noto che non è possibile inviare comunicazioni promozionali senza consenso, anche quando i dati personali sono ottenuti da registri pubblici, siti web ecc. A riguardo, è importante ricordare che i retailer italiani hanno la possibilità di utilizzare l’eccezione alla regola del previo ottenimento del consenso, nota come soft spam, che è regolata dal Decreto Legislativo italiano 196/2003 (“Codice della Privacy“) e che, anche alla luce dei provvedimenti dell’Autorità di controllo (il “Garante”), è ammessa ad alcune condizioni: i) può essere oggetto di trattamento il solo indirizzo e-mail, che è stato fornito al titolare dall’utente nel contesto della vendita di un prodotto o servizio; ii) la pubblicità deve riguarda la vendita diretta di prodotti e/o servizi forniti dal titolare del trattamento e deve riguardare prodotti analoghi ai prodotti e/o servizi oggetto della vendita; e, infine, iii) l’utente, adeguatamente informato, non dev’essersi opposto a questo trattamento inizialmente o in occasione di comunicazioni promozionali successive.
Il soft spam è un’eccezione datata del Codice della Privacy, analizzata per la prima volta dal Garante nelle “Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013”, ma è ancora oggi utilizzabile (anche dopo la piena efficacia del GDPR), sebbene spesso sia dimenticata e non completamente sfruttata dai titolari del trattamento: un altro aspetto importante da ricordare quando si pianificano le strategie di Retail Media.
Direttiva ePrivacy e Transparency & Consent Framework: l’impatto sul retail media
Al contrario, per ogni attività di tracciamento digitale che utilizza cookie e/o altri strumenti di tracciamento, il retailer, i suoi partner media e gli altri operatori che intendono collaborare con quest’ultimi devono sempre ricordare che tali strumenti di tracciamento sono ancora soggetti alle regole delineate nell’articolo 5, paragrafo 3della Direttiva 2002/58/CE, e s.m.i. (“Direttiva ePrivacy“): archiviare e/o accedere alle informazioni su un dispositivo è consentito solo con il consenso. La Direttiva ePrivacy, che è una “lex specialis” rispetto al GDPR, regola infatti l’uso dei servizi di comunicazione elettronica, incluso l’uso dei i cookie e degli altri strumenti di tracciamento.
Questo aspetto è cruciale anche per misurare e verificare le attività di erogazione delle campagne pubblicitarie: quando un inserzionista eroga annunci nell’ambiente digitale di un altro soggetto e, allo stesso tempo, utilizza strumenti di tracciamento e raccoglie informazioni, è essenziale assicurarsi che l’editore che ospita gli annunci in questione stia raccogliendo il consenso e, ancora meglio, se è in grado di raccogliere evidenza dei consensi raccolti. Attualmente, l’unico strumento che consente facilmente ciò è il Transparency & Consent Framework (“TCF“) sviluppato da IAB Europe, ed utilizzato da vari stakeholder del settore adtech, come editori online, vendor e inserzionisti, per garantire la conformità dei trattamenti alle normative applicabili in materia, fornendo trasparenza e possibilità di scelta agli utenti riguardo all’uso dei loro dati. Proprio per rispettare l’obbligo dell’articolo 5, paragrafo 3, della Direttiva ePrivacy, le “IAB Europe Transparency & Consent Framework Policies” chiariscono che il Purpose 1 “Archiviare informazioni su dispositivo e/o accedervi” può essere utilizzato dai vendor partecipanti al TCF solo con il consenso.
L’utilizzo dell’interesse legittimo come base giuridica
Quanto all’uso, per le attività di erogazione e misurazione pubblicitaria, di una differente base giuridica (vale a dire l’interesse legittimo), è fondamentale ricordare quanto affermato nel “Report of the work undertaken by the Cookie Banner Taskforce” dell’European Data Protection Board (“EDPB“), del 18 gennaio 2023, laddove l’EDPB chiarisce la nozione di “trattamento successivo”, vale a dire il trattamento che avviene successivamente alla memorizzazione o all’accesso alle informazioni già memorizzate nel terminale dell’utente, in conformità a quanto previsto dall’art. 5, paragrafo 3, della Direttiva ePrivacy (ad esempio, il rilascio o la lettura dei cookie). Il rapporto della Cookie Banner Taskforce dell’EDPB, infatti, ha confermato che il quadro applicabile a tali trattamenti successivi è il GDPR, che comprende anche l’interesse legittimo (purché l’iniziale memorizzazione o accesso ad informazioni già archiviate siano compiute sulla base del consenso richiesto dalla Direttiva e-Privacy).
Occorre comunque ricordare che l’interesse legittimo è una base giuridica residuale – ovvero, si deve sempre verificare prima che le altre basi giuridiche non possano essere utilizzate – e che in ogni caso è raramente ben visto dalle Autorità di controllo quanto è applicata per l’effettuazione di trattamenti di marketing (in particolare dal Garante). In altre parole, sarebbe meglio riflettere su tale uso ove si parlasse di semplice analisi dei dati all’interno di Data Clean Room per scopi statistici, ma non anche, ad esempio, per attività di arricchimento o attivazione dei dati.
Redazione dell’informativa sulla privacy nel contesto del Retail Media
Ancora, altro tema fondamentale è la redazione dell’informativa privacy, che si colloca tra i documenti fondamentali per la conformità di un trattamento alla normativa applicabile in materia di protezione dei dati, fungendo da obbligo primario e che dev’essere facilmente accessibile sia per gli interessati dal trattamento che per le Autorità di controllo: essenzialmente un “biglietto da visita” – utilizzata come introduzione al mondo.
Rispetto agli obblighi delineati negli articoli 13 e 14 del GDPR, non ci sono particolarità da evidenziare per le attività di Retail Media, tranne per la necessità di garantire che ogni attività di trattamento (insieme alla sua finalità) sia resa nota nell’informativa privacy presentata al soggetto interessato al momento della raccolta dei dati. Ad esempio, se un retailer introduce un’attività di confronto dei dati attraverso la Data Clean Room, deve garantire che tale trattamento sia delineato nell’informativa privacy già fornita ai suoi clienti. Anche le attività più innovative – come quelle di tracciamento DOOH o il tracciamento in negozio tramite Beacon o sensori Wi-Fi – devono essere divulgate ai clienti tramite un approccio multilivello, ad esempio attraverso segnaletica o cartelloni che indirizzano gli interessati ad informative privacy estese più complete (come comunemente praticato nella videosorveglianza).
