Il sistema chiamato “Real Time Bidding” utilizzato dalla pubblicità “comportamentale” (ormai uno standard nell’industria dei media e della pubblicità online) non prevede alcuna tutela dei dati personali, anche sensibili. In barba a tutte le norme pensate per proteggerli, Gdpr in primis.
La campagna #StopSpyingOnUs
Se ne discute poco – per niente, in Italia – ma il problema comincia a emergere. E’ da poco partita la campagna #StopSpyingOnUs, lanciata in nove paesi dell’Ue da parte di quattordici organizzazioni per i diritti umani e i diritti digitali, coordinate da Liberties (per l’Italia è stata seguita pro-bono dai legali di CILD Coalizione Italiana Libertà e Diritti civili), che hanno contemporaneamente presentato reclami alle Autorità riguardanti le tecniche illegali utilizzate dall’industria della pubblicità comportamentale.
Tra i paesi che aderiscono alla campagna ci sono la Germania, il Belgio, la Francia, l’Italia, l’Estonia, la Bulgaria, l’Ungheria, la Slovenia e la Repubblica Ceca. Si tratta della prosecuzione di una campagna iniziata nel 2018, i cui primi reclami sono stati presentati presso le competenti Autorità per la protezione dei dati del Regno Unito e dell’Irlanda.
La campagna si propone di ottenere dalle autorità di protezione dei dati, a livello sia europeo sia nazionale, l’avvio di indagini sulla violazione massiccia e continuativa dei dati, che si verifica centinaia di miliardi di volte al giorno e che può colpire tutti quelli che visitano un sito web che offre pubblicità “comportamentale”.
Behavioural Advertising: come funziona
La pubblicità “comportamentale” è ormai uno standard nell’industria dei media e della pubblicità online ed utilizza il sistema chiamato “Real Time Bidding” avvalendosi di una o entrambe le due versioni attualmente esistenti di tali piattaforme di incrocio tra “domanda” e offerta pubblicitaria. Questo metodo di pubblicità online è utilizzato da diversi operatori principali nella sfera digitale, come Google, e porta un elevato numero di persone all’esposizione della condivisione dei dati. Ad esempio, il DoubleClick di Google (recentemente rinominato “Authorized Buyers”) è attivo su 8,4 milioni di siti web e trasmette i dati personali dei visitatori di questi siti a oltre 2.000 aziende.
Le due piattaforme attualmente esistenti sono:
- “OpenRTB” – Utilizzata da quasi tutte le società importanti nell’industria dei media e della pubblicità online e adottato come standard di mercato da Interactive Advertising Bureau & Tech Lab;
- “Authorized Buyers” – il sistema RTB di proprietà di Google. È stato di recente rinominato da “DoubleClick Ad Exchange” (noto come “AdX”) a “Authorized Buyers”.
Google utilizza sia l’OpenRTB che il sistema “Authorized Buyers” di sua proprietà.
Ogni volta che una pubblicità “comportamentale” mirata viene mostrata ad una persona che visita un sito web, il sistema, che seleziona quale annuncio mostrare a quella persona, trasmette i dati personali del visitatore a centinaia di aziende terze e sconosciute. Questo sistema è noto come “Real-time bidding” (asta in tempo reale) o talvolta definito come pubblicità “programmatica”. Quando un utente visita un sito web, una grande mole di dati viene raccolta dal sito e trasmessa a terze parti con le quali il visitatore non ha alcun rapporto diretto. Tali dati comprendono:
- Cronologia di navigazione dell’utente (cosa sta leggendo o guardando);
- La posizione geografica;
- Descrizione tecnica del dispositivo utilizzato;
- ID di tracciamento univoci o “cookie match” per consentire alle società di tecnologia pubblicitaria di identificare l’utente con maggior precisione ad ogni visita sui siti web, in modo che possa essere costruito o consolidato un profilo di lungo termine anche con dati acquisiti in modalità non online;
- L’indirizzo IP completo;
- Il segmento ID del data broker, ove disponibile. Questi ID servono a profilare l’utente per segmenti che includono la fascia di reddito, età e sesso, abitudini, influenza sui social media, etnia, orientamento sessuale, religione, inclinazione politica, ecc.
Quando un utente visita un sito web, scatta in automatico la trasmissione di dati personali (“richiesta di offerta RTB”) col fine di sollecitare offerte di acquisto di uno spazio pubblicitario disponibile sul sito, da parte di aziende che potrebbero voler mostrare un annuncio alla persona che ha appena caricato la pagina web. Tale pubblicità vuole essere il più possibile aderente ai gusti del singolo utente-visitatore in modo da accattivarlo meglio con una offerta che possa trovare interesse.
Così gli utenti perdono il controllo dei loro dati
Per funzionare, il sistema comporta una “richiesta” di offerta in tempo reale che viene trasmessa per conto di siti web da società note come “piattaforme lato offerta” (supply side platform SSP) e da “scambi di annunci” a più “partner lato domanda” (demand side platform DSP), che decidono quindi se effettuare offerte per mostrare un annuncio alla persona in questione.
Il DSP agisce per conto di un inserzionista e decide quando fare offerte in base al profilo della persona che l’inserzionista ha indicato come target. Le piattaforme di gestione dei dati (data management platform DMP) possono, quindi, eseguire una “sincronizzazione” che utilizza i dati per contribuire allo sviluppo di profili già esistenti dell’utente.
Il tutto avviene in un ridottissimo momento temporale (circa 200 millisecondi) a partire dal momento del caricamento della pagina sul browser. Il meccanismo tecnico di funzionamento del “Real Time Bidding” presuppone l’individuazione dei gusti dell’utente mediante una cattura dati anticipata e non stabilisce alcuna forma di controllo su ciò che accade ai dati personali una volta che un SSP o uno scambio pubblicitario trasmettono una “richiesta di offerta”. Anche se il traffico delle richieste di offerta è sicuro, non esistono misure che impediscono al destinatario di una richiesta di offerta di combinarle, ad esempio, con altri dati per creare un profilo o rivendere a sua volta i dati. Una volta che i DSP ricevono i dati personali, possono liberamente trattarli per vari scopi ovvero scambiarli i partner commerciali, senza che l’utente ne sia al corrente o vi abbia acconsentito.
Il risultato finale è che, contrariamente agli obiettivi prefissati dal legislatore, l’utente / interessato finisce col perdere materialmente qualsiasi forma e possibilità di controllo sui propri dati, non potendo esercitare i diritti garantiti dalla normativa contro destinatari ignoti dei dati dei quali non ha alcuna contezza.
Tale situazione è particolarmente aggravata dalla circostanza per cui può accadere che i dati trasmessi durante l’offerta RTB possano rientrare nelle “categorie speciali” di dati personali di cui all’art. 9 GDPR. I dati personali in questione rivelano il comportamento online delle persone e spesso ne rivelano la posizione geografica specifica. Tali dati sono in grado, ad esempio, di rivelare l’orientamento sessuale, il credo religioso, l’appartenenza politica o etnica di un individuo. Per la raccolta e trattamento di tali dati, il sistema RTB non prevede l’assunzione di uno specifico consenso da parte dell’Interessato.
In sintesi, all’interno di questo meccanismo di pubblicità non esiste alcuna tutela dei dati personali.
Sulla base delle evidenze tecniche descritte sopra, sono state individuate tutte le violazioni specifiche del Regolamento Europeo sulla Protezione dei Dati e sono stati, quindi, introdotti dei dettagliati reclami diretti alle Autorità.
Le normative violate dal sistema RTB
In particolare, tra le altre numerose violazioni, sono state segnalate alle Autorità le violazioni dei principi di Integrità e Riservatezza dei Dati in quanto i fornitori di servizi di RTB non forniscono protezioni e salvaguardie adeguate contro la divulgazione ed il trattamento dei dati personali non autorizzato, e potenzialmente illimitato dei dati degli utenti. Inoltre, gli utenti / Interessati non vengano informati in merito alla diffusione dei loro dati ovvero in relazione alla possibilità che vengano trasmessi a ciascun destinatario [artt. 13 a 14 GDPR] né tanto meno esiste la possibilità di poter esercitare alcun tipo di diritto previsto dal GDPR nei confronti dei venditori/destinatari dei dati relativamente alle modalità di utilizzo dei loro dati personali [artt. 15-22 GDPR].
Inoltre, sono state rilevate le violazioni dei principi di liceità, correttezza e trasparenza, in particolar modo con riguardo alla mancata assunzione del necessario consenso degli interessati per il trattamento delle “categorie speciali” di dati personali. Al contrario, i sistemi di RTB permettono l’elaborazione di dati ex-“sensibili” senza consenso, compresi dati reali ovvero inferiti e dedotti e riferiti alla origine razziale/etnica, opinioni politiche, credi religiosi/filosofici, appartenenza sindacale, salute, vita o orientamento sessuale, dati genetici degli Interessati.
Infine, si è sollevata l’attenzione delle Autorità anche in merito alla violazione dei principi di adeguatezza, pertinenza e limitazione del trattamento. Si dubita, infatti, che il trattamento dei dati che avviene durante il meccanismo di RTB sia compatibile con l’Art. 5, paragrafo 1, lettera c) GDPR, dove si richiede che i dati personali siano adeguati, pertinenti e non eccessivi rispetto all’obiettivo o agli obiettivi per i quali sono elaborati.
Oltre ai reclami ufficiali presentati dalle organizzazioni per i diritti umani e i diritti digitali, Liberties e i suoi partner hanno predisposto reclami in più lingue, per gli individui / interessati che desiderano aderire alla campagna #StopSpyingOnUs.
In alcuni paesi, è possibile sostenere tale impegno inviando un reclamo personale alle Autorità nazionali per la protezione dei dati utilizzando il modello scaricabile e liberamente disponibile sul sito Liberties.eu.
