La questione della commercializzazione dei dati personali per fini di marketing sta attirando in maniera crescente l’attenzione dell’opinione pubblica: ogni giorno i media riferiscono di un utilizzo indisciplinato dei dati personali degli utenti da parte del web.
Per ricostruire i ruoli degli attori coinvolti nelle campagne di marketing e i flussi di dati che si svolgono dietro le quinte, l’EDPB ha pubblicato le Guidelines 8/2020 on the targeting of social media users (“Linee guida”), in consultazione pubblica fino allo scorso 19 ottobre 2020.
Abbiamo deciso di riprendere alcuni punti chiave delle Linee guida, ragionando sulle implicazioni della pubblicità online per quanto riguarda la protezione dei dati degli utenti.
I motivi che hanno spinto l’EDPB a intervenire su trattamento dati e pubblicità
L’uso sempre più diffuso delle tecnologie dell’informazione e dei social media permette oramai di incamerare una enorme quantità di dati, da utilizzare per scopi diversi. In passato i dati raccolti erano solo quale effetto collaterale dell’utilizzo dei servizi online da parte degli utenti; oramai, invece, essi sono il prodotto. Si potrebbe riassumere, come già evidenziato in innumerevoli contesti, che i servizi online vengono offerti gratuitamente a condizione che le aziende tecnologiche possano trarre profitto dall’utilizzo dei dati raccolti. Peraltro, ci si è resi conto che l’utilizzo più frequente per monetizzare i dati personali è quello di utilizzarli per costruire profili accurati degli utenti, cui rivolgere campagne pubblicitarie. L’efficacia della pubblicità online deriva dalla capacità di conoscere il consumatore, le sue preferenze, i suoi orientamenti e, talvolta, anche caratteristiche di cui lo stesso non è a conoscenza o che non ha rivelato direttamente (inferred data). Selezionando i potenziali clienti tra quelli che hanno mostrato maggiore interesse per la tipologia del prodotto in offerta, viene aumentata in modo esponenziale la probabilità che il prodotto venga venduto (e si risparmiano tempo e denaro per campagne inefficaci).
Il trattamento dei dati connesso alla pubblicità online implica che vengano in rilievo una serie di complesse questioni legali. Non è certo una novità il fatto che tali pratiche necessitino di un uso massiccio di dati personali; tuttavia, il quadro giuridico in materia non è adeguatamente aggiornato.
Il GDPR è una normativa recente, che deve essere letta in combinato disposto con la Direttiva ePrivacy, che regola l’uso dei cookie e delle tecnologie similari (tuttora gli strumenti più comuni per condurre/orientare campagne pubblicitarie online). La Direttiva ePrivacy è però risalente al 2002: le tecnologie per mezzo delle quali vengono targettizzati gli utenti si sono evolute e si evolvono con rapidità. Luca Brighenti ci ricorda che “i dati sono diventati parte integrante della società man mano che siamo diventati sempre più ‘connessi’ e il tracciamento dell’attività online/offline del consumatore acquista sempre più importanza. Gli editori e gli inserzionisti utilizzano i dati degli utenti raccolti tramite le applicazioni mobili, i cookie dei siti web e i fornitori terze parti al fine di identificare e raggiungere i clienti attuali e potenziali ovunque. Dopo anni di attività senza controllo nè preoccupazione per la privacy degli utenti, in cui i marketer hanno investito miliardi di euro in piattaforme che utilizzano dati di terze part discutibili, cookie e pratiche di privacy sconsiderate, oggi l’industria pubblicitaria sta finalmente iniziando ad adottare un approccio più attento alla privacy (ad esempio, applicando le norme sulla privacy, il blocco dei cookie di terze parti e il passaggio di Apple all’opt-in per l’accesso agli IDFA) sperando così di riconquistare la fiducia dei consumatori frustrati. Sicuramente le norme sulla privacy e gli aggiornamenti del settore hanno avuto un impatto sul modo in cui i marchi raccolgono e utilizzano i dati dei clienti, ma ora l’industria pubblicitaria deve fare un passo indietro e riorientare l’attenzione sul consumatore finale e sull’uso appropriato dei dati personali da parte dei marketer nello sviluppare e impostare /proporre la pubblicità”.
Le aziende sono quindi chiamate a garantire il rispetto della normativa privacy ed e-Privacy, sebbene non vi siano indicazioni chiare da parte delle Autorità competenti.
Le sentenze della Corte di Giustizia dell’UE
La Corte di Giustizia dell’UE si è recentemente dedicata al tema con alcune sentenze di grande impatto, al fine di chiarire i rapporti tra gli operatori online che tornano utili anche per quanto riguarda l’online adv (tra queste, le note sentenze Wirtschaftsakademie e Fashion ID). Con queste sentenze pare evidente l’intento della Corte di Giustizia di ampliare il concetto di contitolarità (che viene nella prassi scarsamente applicato da parte degli operatori), al fine di ritenere le aziende co-responsabili del trattamento dei dati degli utenti. Sembra che l’EDPB, con le Linee guida, ampli ulteriormente tale interpretazione, essenzialmente riconoscendo il regime della contitolarità in buona parte delle pratiche di online adv. Che l’obiettivo sia, probabilmente, quello di costringere gli operatori a fare pressioni sui big player in modo da correggere la diseducazione digitale cui sono abituati, è piuttosto evidente. Preoccupa però come potranno reagire in concreto gli operatori, a cui viene riconosciuta una compartecipazione nella determinazione dei trattamenti, in assenza però di una vera capacità di influire sulle decisioni dei giganti del tech.
Chi sono gli operatori coinvolti nel targeting degli utenti
Certamente, l’online adv gira intorno ai social media (cioè quegli operatori che consentono lo sviluppo di reti e comunità di utenti); i contesti digitali che hanno creato sono realtà parallele a quella analogica. I dati da loro raccolti, generati dagli utenti, offrono alle aziende l’opportunità di conoscere i propri consumatori (e potenziali tali) con un livello di approfondimento mai avuto prima. Sapere cosa desiderano i consumatori prima ancora che lo sappiano loro stessi.
I targeter, invece, sono le persone fisiche o giuridiche che si avvalgono dei servizi dei social media per indirizzare messaggi specifici sulla base di appositi criteri. Grazie all’enorme quantità di informazioni sugli utenti e la disponibilità di dati aggiornati, le piattaforme dei social media sono una fonte attraente da cui attingere, sia per scopi legittimi (migliorare la qualità dei servizi personalizzati, ecc.) sia per obiettivi spregevoli.
Nelle Linee guida, i social media e i targeter sono in buona sostanza considerati come contitolari nel trattamento dei dati degli utenti (sebbene per alcune porzioni di tale trattamento).
I targeter e i social media si scambiano dati in molti modi; per rivolgersi agli utenti, possono utilizzare banner, feed, cronologie, “storie”. Le pagine e le applicazioni dei targeter solitamente integrano le API o gli SDK dei social media. Le API, peraltro, sono un canale particolarmente esposto agli attacchi cibernetici incentrati sull’intercettazione dei dati, quindi è fondamentale che tutte le organizzazioni prestino particolare attenzione.
L’impossibilità di accedere ai dati personali non implica che non vi sia trattamento, da cui la applicazione della normativa privacy. Questo è il principale punto di approdo della sentenza Wirtschaftsakademie. Le Linee guida riaffermano questo principio sottolineando che “indeed, joint responsibility of several actors for the same processing does not require each of them to have access to the personal data concerned. The EDPB recalls that actual access to personal data is not a prerequisite for joint responsibility“.
L’individuazione della base giuridica applicabile
Alcuni trattamenti possono essere chiaramente ricondotti alla fornitura del servizio, mentre ci sono altre finalità che restano in un’area grigia. In questi casi, i titolari del trattamento sono tenuti ad effettuare un balancing test (test di compatibilità, anche detto legitimate interest assessment), quando desiderano fare affidamento sul proprio legittimo interesse per trattare i dati degli utenti. Per eseguire il test, il titolare del trattamento deve avere una piena comprensione di come si svolge il trattamento e deve tenere conto di molteplici fattori (l’EDPB fornisce un’utile indicazione nelle Linee guida alla nota 54, elencando gli aspetti chiave da prendere in considerazione nel caso di targeting: tra questi, lo scopo, il livello di dettaglio dei criteri, la combinazione dei criteri).
Le novità sul fronte soft spam
Le Linee guida introducono un interessante punto di attenzione sul tema, alla nota 59. L’EDPB, infatti, sembra aprire alla possibilità di avvalersi della eccezione del soft spam anche laddove non venga utilizzato il mezzo della posta elettronica (richiesto in forza dell’attuale normativa e-Privacy). Il riferimento non è immediato, tuttavia nel riferire che “in the situation where the advertisement […] would be directly sent via a push notification or a direct message to the data subject, Article 13 of the ePrivacy Directive would be applicable. However, in this specific example, consent would not be required, insofar as Article 13(2) states that the electronic contact details of an existing customer may be used by an entity for “direct marketing of its own similar products or services provided that customers clearly and distinctly are given the opportunity to object, free of charge and in an easy manner”, tale sembra la conclusione che se ne può trarre. Peraltro, pare opportuno ricordare che le recenti versioni della bozza di Regolamento ePrivacy, ancora in corso di validazione, sembrano proprio suggerire un’apertura verso altri mezzi (si fa riferimento a “contact details for electronic message”), tra cui spiccherebbe la notifica push.
L’importanza della comprensione del flusso dei dati nelle campagne pubblicitarie
Brighenti ci ricorda sul tema che “le sofisticate piattaforme di marketing e pubblicità ci hanno dato (ai marketer) il potere di raccogliere dati precisi sui clienti che eliminano ogni margine di errore per la pubblicità digitale. Oggi viviamo in un mondo pubblicitario guidato dai dati, dove tutto è misurabile e tracciabile e dove le aziende dispongono letteralmente di decine di modi per utilizzare i dati ai fini di online adv. I marchi di tutto il mondo sfruttano la ricerca di dati, studiano il comportamento di navigazione e di acquisto, lo storico come gli acquisti effettuati in passato, gli engagement trends, i dati sulla posizione, i dati dei social media e altro ancora per personalizzare la pubblicità online. Inoltre, i dati dell’utente raccolti in rete aiutano i marketer a prevedere i modelli futuri, il che, a sua volta, si traduce in strategie di marketing più efficaci. Anche se la pubblicità ha comprensibilmente bisogno di un sufficiente livello di informazioni sui consumatori per essere efficace, gli utenti di Internet hanno mostrato preoccupazione per le tattiche utilizzate dalle società di marketing che forniscono ads personalizzati. Nonostante i recenti progressi nella normativa e nella pratica sulla privacy dei dati, la privacy dei consumatori viene regolarmente violata o compromessa dalle aziende e dai governi”.
L’EDPB esprime, invece, le sue preoccupazioni all’inizio delle Linee guida. I social media possono utilizzare i dati personali degli utenti in misura maggiore di quanto questi si aspettano, senza fornire informazioni sufficienti, talvolta contribuendo addirittura a situazioni di discriminazione ed esclusione. È della massima importanza garantire la trasparenza e offrire agli utenti la possibilità di decidere consapevolmente come possano essere utilizzati i loro dati. In caso contrario, gli utenti possono essere manipolati, e non solo per scopi commerciali.
“La conoscenza è potere”, dicono.
