Le linee guida dell’EDPB appena uscite in consultazione in tema di targeting nei social media attraverso una serie di “scenari” consentono di chiarire ruoli e responsabilità dei soggetti coinvolti nell’attività di targeting. Questi sono l’utente, il gestore del social media e il cosiddetto “targeter”, ovvero il soggetto interessato a far arrivare un messaggio “targettizzato” sull’utente (quindi un messaggio promozionale, ma anche politico o di diverso tipo).
La consultazione pubblica si concluderà il prossimo 19 ottobre e durante la quale chiunque potrà sottoporre i propri commenti e osservazioni tramite il form sul sito del Comitato prima della definitiva approvazione.
Cos’è il targeting
La diffusione dei social network ha portato con sé possibilità di targeting degli utenti senza precedenti. La creazione di “account” o “profili” porta con sé numerose informazioni sulle nostre abitudini, preferenze e desideri, che volontariamente “consegniamo” ai gestori dei social network e che questi possono usare per ritagliare la comunicazione che ci viene rivolta. Questa evoluzione ha numerose sfaccettature, che vanno dalla efficiente personalizzazione degli annunci pubblicitari alla polarizzazione delle nostre fonti di informazione a seconda dei nostri gusti, impedendoci così di vedere il quadro generale se scegliamo di informarci sui social. La nostra consapevolezza di questi meccanismi, che diventano sempre più sofisticati con il passare del tempo, è spesso inferiore al dovuto, complice la scarsa trasparenza dei gestori di social network sulle potenzialità dei loro algoritmi di targeting. E sono proprio questi meccanismi che costituiscono il fulcro dell’attività di targeting, che consiste nel fornire servizi che “consentono a persone fisiche o giuridiche (detti “targeters”) di comunicare messaggi specifici agli utenti dei social media al fine di promuovere interessi commerciali, politici o di altro tipo.”
I dati che rendono possibile questa comunicazione personalizzata sono di tre tipi:
- dati forniti dall’utente,
- dati “osservati”, ovvero quelli che il social network acquisisce (il comportamento dell’utente sul social o al di fuori, acquisito ad esempio su altri siti web tramite social plugin),
- dati derivati, ovvero quei dati creati dal social network (ovvero da un terzo che si occupi ad esempio di data brokering) con i dati forniti ed osservati.
Per rendersi conto di quanto sa di noi un social network si può provare ad andare su Facebook da PC, cliccare sul triangolo in alto a destra, quindi su “Impostazioni e privacy”, su “Impostazioni” e “Inserzioni”. A questo punto si apre una pagina che contiene le informazioni a cui hanno accesso gli inserzionisti e che gli consentono di scegliere se includerci o meno nella loro comunicazione. Ad esempio un inserzionista può scegliere di far vedere i propri annunci solo ai soggetti i cui amici compiono gli anni a breve e Facebook consente anche questo, condividendo con gli inserzionisti l’informazione se fra i nostri contatti ci sono persone che compiono gli anni fra 0-7 giorni o fra 8-30 giorni (precisando poi se gli amici che stanno per compiere gli anni sono uomini o donne) e consentendo così di promuovere un’idea regalo solo alle persone che verosimilmente si troveranno a doverci pensare a breve (e che si trovano in una determinata zona, fascia di età, con un determinato tipo di interessi e con un determinato potere di acquisto).
Facebook poi raccoglie una grande mole di nostri “interessi” suddivisi per settore, sulla base della nostra attività sui social e quindi ad esempio un “like”, ma non solo, anche non meglio precisate “attività correlate” possono spingere il social ad arricchire il nostro profilo con un nuovo interesse. Facile rendersi conto di quanto possa risultare invasiva questa attività di targeting, arrivando a coprire “interessi” che disvelano l’intimità di molti utenti e i loro dati più sensibili.
Per inciso, i singoli “interessi” archiviati da Facebook si possono rimuovere con un clic da questa pagina, se per caso qualcuno avesse l’intenzione di raffinare manualmente la propria attività di targeting da parte del social di Menlo Park. Gli altri social funzionano in modo analogo, negli effetti, in quanto affinché un social network possa sopportare i propri costi di gestione è necessario che monetizzi i dati che ottiene dai propri utenti, fornendo agli inserzionisti un profilo il più possibile completo degli stessi per spingerlo ad investire in annunci.
I rischi privacy del targeting nei social media
Le linee guida dell’EDPB evidenziano che uno dei principali rischi connessi con le attività di targeting è connesso con il fatto che le stesse solitamente eccedono le ragionevoli aspettative dell’utente dei social. Questo è problematico specie quando, all’insaputa dell’utente, il social network estende la propria attività di targeting andando ad includere dati di altre fonti al fine di creare un quadro il più possibile completo dell’utente. Un secondo grave problema è quello connesso con il fatto che un’attività di targeting così avanzata possa rivelarsi discriminatoria, andando ad escludere da determinati messaggi o opportunità determinate categorie di soggetti, accomunate da interessi che riflettono un credo religioso o l’appartenenza ad una etnia.
C’è anche il rischio che queste tecniche di targeting siano utilizzate per manipolare le persone, in quanto lo scopo di queste inserzioni personalizzate è senz’altro quello di influenzare i nostri comportamenti, che siano le nostre preferenze di acquisto, le nostre scelte politiche o altro. Questo processo, specie se inconsapevole, può comportare gravi conseguenze, arrivando a comprimere, di fatto, la nostra libertà di scelta. Tutti i problemi appena esposti aumentano di intensità quando il destinatario del messaggio personalizzato è un soggetto vulnerabile (come un bambino o un ragazzo).
Le tipologie di dati e il ruolo dei soggetti coinvolti
Dal punto di vista della normativa in tema di protezione dei dati è importante definire i ruoli che ricoprono il gestore del social network e l’inserzionista (targeter). Il documento dell’EDPB valuta i rischi e le caratteristiche del trattamento a seconda della tipologia di dati di cui si tratta. In particolare potrebbe trattarsi di dati forniti dall’utente al social network e poi “venduti” all’inserzionista ovvero di dati forniti dall’utente direttamente all’inserzionista e poi utilizzati nella campagna di targeting. In entrambi i casi il gestore del social network e l’inserzionista sono contitolari del trattamento.
Nel caso in cui però sia l’utente a “contattare” l’inserzionista prima della campagna, costruendo parte della base di dati che verrà utilizzata per la successiva attività di targeting, il ruolo del social network inizia solamente con la campagna e non riguarda le attività precedenti compiute in autonomia dall’inserzionista. Nel caso invece di dati “osservati”, ovvero quelli che il social network acquisisce (il comportamento dell’utente sul social o al di fuori, acquisito ad esempio su altri siti web tramite social plugin), di nuovo il social network e il targeter, ovvero il semplice gestore del sito esterno. Particolarmente importante, nel caso, è la Direttiva ePrivacy per quanto riguarda i cookie che dovranno essere forniti sul sito del social network per l’attività di “osservazione” nonché in eventuali siti terzi che contengano plugin che rimandano al social network.
Nel caso, infine, di dati derivati, stiamo parlando di un’effettiva attività di profilazione, di cui deve essere data compiuta informativa agli interessati e che vede nuovamente coinvolti in qualità di contitolari sia il gestore del social network che l’inserzionista. Le linee guida precisano quindi che nella stragrande maggioranza dei casi, nelle attività di targeting sui social media il gestore del social network e l’inserzionista sono contitolari del trattamento effettuato nell’attività di targeting sui social media.
Tuttavia, questa responsabilità solidale non significa che entrambi i soggetti abbiano pari responsabilità nel trattamento, in quanto questa andrà commisurata all’effettivo ruolo avuto nel trattamento dei dati (verosimilmente il trattamento, in questi casi, farà capo in misura preponderante sul gestore del social network, tranne rari casi di accentuata sofisticazione del dato in via autonoma da parte dell’inserzionista). Quanto alla base del trattamento, la stessa può essere ricondotta al consenso dell’interessato ovvero (nei limitati casi in cui ciò è concesso) al legittimo interesse dei titolari o di terzi a cui i dati andranno comunicati.
Nel caso del consenso, questo deve essere libero e genuino, oltre che specifico, informato e non ambiguo. Nel caso di un consenso “obbligato” perché connesso inscindibilmente alla fornitura del servizio e non negoziabile, questo si presume non libero e quindi non è una valida base per il trattamento. La normativa europea in tema di dati personali (art. 5 GDPR) prescrive che i dati siano trattati in maniera trasparente. In questo contesto l’EDPB avverte, nelle proprie linee guida, che non è corretto parlare di semplici “inserzioni” per questa attività di sofisticato targeting, e che è necessario far comprendere all’utente che quelli che vede non sono semplici annunci pubblicitari bensì il frutto di una complessa attività di scrutinio delle sue preferenze.
Sarà poi necessario fornire all’utente tutte le informazioni necessarie a comprendere il trattamento da parte dei contitolari, quindi sia del gestore del social network che del targeter, anche se nei loro rapporti interni i contitolari potranno affidare ad uno solo dei due la sottoposizione dell’informativa all’interessato (ovviamente si tratterà del gestore del social network, ovvero l’unico che ha un contatto diretto con l’interessato al momento dell’inizio del trattamento). Andrà infine consentito un accesso completo ai dati nel rispetto della normativa GDPR, in proposito, le linee guida incoraggiano i contitolari ad individuare un unico punto di contatto per l’interessato, che sia in grado di fornire allo stesso accesso ai dati di entrambi i contitolari.
Dati appartenenti a categorie particolari
Il Comitato nelle proprie linee guida affronta anche lo spinoso problema dei dati appartenenti a categorie particolari. I social network possono infatti venire a conoscenza, direttamente o indirettamente, di una serie di dati che appartengono alla categoria dei dati particolari, ovvero quei dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale di una persona, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Questi dati possono essere trattati solamente in limitate ipotesi. Di fatto, nel caso del trattamento dati effettuato all’interno dei social network, è difficile immaginare che tale tipologia di dati possa essere trattata se non con il consenso dell’interessato.
Sebbene infatti la normativa GDPR preveda la possibilità di trattare dati appartenenti a categorie particolari senza consenso ove questi siano resi “manifestamente pubblici”, le linee guida precisano che la semplice pubblicazione su un social network di un simile dato non vuol dire necessariamente che il dato sia stato reso “manifestamente pubblico” e che al più sarà possibile effettuare una valutazione caso per caso (a seconda dell’attività di condivisione e della tipologia di social network interessato) per verificare se il dato possa considerarsi “manifestamente pubblico” o meno. Le linee guida distinguono fra i dati “esplicitamente” appartenenti a categorie particolari e quelli che potrebbero rivelare dati appartenenti a categorie particolari se combinati o attraverso un processo inferenziale.
Mentre per i dati “esplicitamente” appartenenti a categorie particolari è necessario, secondo le linee guida, ottenere il consenso dell’interessato per poter effettuare il trattamento (nelle Linee Guida viene fatto l’esempio di una persona che palesa la sua militanza in un partito nel proprio account, e di un inserzionista intenzionato a proporre un messaggio promozionale ai militanti di tale partito, in tal caso stiamo parlando di un trattamento di dati appartenenti a categorie particolari e non potrà avvenire senza il consenso dell’interessato), per i dati non esplicitamente appartenenti a categorie particolari ma da cui si potrebbero ricavare dati appartenenti a categorie particolari ciò non è sempre vero.
Le linee guida precisano infatti che questa operazione di inferenza deve essere intenzionale, mentre ove questa attività di inferenza non rientri tra gli obiettivi dell’inserzionista, interessato solo alla serie di dati non appartenenti a categorie particolari (serie di dati in cui, solo incidentalmente, potrebbero “nascondersi” dati appartenenti a categorie particolari) il trattamento può essere svolto anche senza rispettare i rigidi requisiti previsti dall’art. 9 GDPR per i dati appartenenti a categorie particolari. In ogni caso, però, il social network deve adottare tutte le misure di tutela tese a garantire la sicurezza dei dati, tenendo presente le possibili inferenze che potrebbero derivare dalla lettura combinata degli stessi.
Le linee guida quindi, pur avendo mantenuto un atteggiamento rigido per quanto riguarda il trattamento dei dati appartenenti a categorie particolari, hanno inserito uno “spiraglio” per consentire agli inserzionisti ed ai social network di effettuare trattamenti di dati molto estesi e apparentemente innocui senza doversi troppo preoccupare di quali tipologie di dati potrebbero essere ricavate dagli stessi. Lo spiraglio è certo limitato nelle intenzioni ma c’è da augurarsi che non venga esteso nella prassi.
