Il Wall Street Journal torna con un’inchiesta sui data broker.
Dopo il caso di Mobilewalla, scoperta a vendere dati alle agenzie di sorveglianza federali, è la volta di Near Intelligence che, secondo quanto riportato dal WSJ, avrebbe raccolto i dati personali che vengono utilizzati per le aste online di inserzioni pubblicitarie nelle app e li avrebbe venduti alle agenzie federali.
I dati personali coinvolti in questo mercato non sarebbero solo di interessati statunitensi, ma anche di europei e in violazione delle norme che regolano le cessioni di dati personali a terzi per finalità proprie. I giornalisti riferiscono di essere in possesso di dichiarazioni provenienti dalla società nelle quali si ammetterebbe la consapevolezza della vendita dei dati anche in assenza di consenso e nonostante il parere contrario dei consulenti privacy della società.
Uno scenario che richiama le rivelazioni di Edward Snowden sui programmi di sorveglianza statunitensi e che rischia di minare la fiducia degli individui negli operatori del mercato digitale.
Il mercato dell’advertisement
Il mercato dell’advertising sul web funziona attraverso un sistema di aste in tempo reale (c.d. real-time-bidding) in cui ogni inserzionista compete contro tutti gli altri per potersi aggiudicare quello spazio messo a disposizione dal sito web o dall’applicazione. Naturalmente, le inserzioni per le quali vi è la maggiormente e che hanno un prezzo più elevato e sono quelle targettizzate che portano con sé molti più dati rispetto alle inserzioni generalizzate.
Solitamente, ogni utente ha un corrispettivo ID pubblicitario che reca con sé dati come il tipo di dispositivo utilizzato, il sistema operativo, il gestore della rete telefonica, l’area geografica di appartenenza, la lingua del dispositivo e, laddove sia attivata la profilazione, anche informazioni su preferenze, interessi e attività svolte all’interno dell’applicazione.
Queste informazioni sono fisiologicamente necessarie agli inserzionisti affinché la giusta inserzione arrivi al giusto utente. Un uso distorto di queste informazioni per fini estranei alle finalità di marketing, come può essere la sorveglianza da parte delle autorità di intelligence, rischia di trasformare le app, anche le più innocue, in uno strumento di monitoraggio degli interessati e di minare la fiducia delle persone in relazione al mercato dell’advertisement digitale che tuttora soffre di un problema di trasparenza nei confronti degli utenti.
Cosa prevede la normativa
Il digital advertisement rientra in una disciplina speciale rispetto al GDPR, essendo tuttora regolato dalla direttiva e-Privacy (direttiva 2002/58/CE nella sua versione consolidata del 2009) proprio in considerazione del necessario utilizzo di cookie e strumenti di tracciamento.
In particolare, l’art. 5 della direttiva e-Privacy prevede che l’accesso ai dati archiviati nel dispositivo dell’utente (ad esempio alla localizzazione, alla rubrica di contatti o alla galleria fotografica) o l’archiviazione di dati al suo interno (come l’installazione di un cookie o un tracciatore), possa essere fatta solo con il consenso dell’utente. Tale disposizione è stata recepita nel nostro ordinamento dall’art. 122 del Codice Privacy.
L’European Data Protection Board (EDPB), con il suo parere 5/2019 sul rapporto tra il GDPR e la direttiva ePrivacy, ha confermato che la direttiva, come recepita dagli stati membri, costituisce una legge speciale che prevale sul GDPR che, tuttavia, continua ad applicarsi per tutti gli altri profili non espressamente regolati dalla direttiva.
Di conseguenza, il trattamento dovrà rispettare i principi del trattamento indicati dall’articolo 5 GDPR e il consenso dovrà rispettare tutti i requisiti previsti dall’art. 7 GDPR ed essere informato, libero, specifico, comprovabile e revocabile.
Sulle modalità di raccolta del consenso nel 2020 l’EDPB ha emanato le linee guida 5/2020 che spiegano ai titolari del trattamento le modalità più corrette per raccogliere un valido consenso anche nell’ambiente digitale e che hanno costituito lo spunto per l’aggiornamento delle linee guida in materia di cookie e altri tracciatori da parte dell’Autorità Garante nel 2021.
La centralità del consenso è stata ribadita da ultimo dalla Corte di Giustizia il 4 luglio 2023 nella pronuncia che ha chiuso il contenzioso tra l’Autorità tedesca antitrust e Meta Platforms evidenziando la richiesta del consenso quale base giuridica del trattamento per la pubblicità personalizzata e, al tempo stesso, la richiesta di un consenso specifico per l’arricchimento dei dati degli utenti con i dati raccolti off-Platform attraverso i Pixel installati sui siti web.
I tentativi percorsi medio tempore per invocare altre basi giuridiche per il trattamento dei dati personali per finalità di pubblicità targettizzata (il contratto o il legittimo interesse) sono stati stigmatizzati dalle Autorità di controllo, da ultimo dalla Corte di Giustizia nei confronti di Meta Platforms con la sentenza del 4 luglio 2023.
Non solo, il consenso e l’informazione all’utente è al centro anche delle azioni di enforcement della Federal Trade Commission nei confronti di molti player come Meta che, il 3 maggio 2023, ha ricevuto un ordine contenente un divieto generale di monetizzazione dei dati minori per violazione del Regolamento COPPA (Children’s Online Privacy Protection Rule) e una serie di richieste stringenti di adempimenti come:
- La sospensione del lancio di nuovi prodotti in assenza di una previa verifica che accerti la compliance con l’ordine della FTC;
- L’estensione dell’adeguamento alle società che acquista o con cui si fonde;
- La previsione del consenso espresso dell’utente per ogni utilizzo del riconoscimento facciale;
Inoltre, sono stati rafforzati una serie di requisiti che erano contenuti nell’ordine che la stessa Federal Trade Commission aveva emanato nel 2020 per violazioni in ambito data protection che, nel contesto federale, sono viste come pratiche scorrette nei confronti dei consumatori.
La trasparenza è, a tutti gli effetti, un elemento centrale per la creazione di un clima di fiducia verso il digitale e la creazione di un mercato competitivo e sicuro in quanto abbatte le asimmetrie informative e rende le scelte degli utenti e dei consumatori consapevoli valorizzandone l’aspetto negoziale. Inoltre, la trasparenza permette di assicurare il controllo dell’individuo sui propri dati personali.
In Europa troviamo citato tale principio anche nel preambolo della direttiva e-Privacy come premessa per costruire un clima di fiducia verso i dispositivi tecnologici ed è uno degli architravi che sorreggono la costruzione del Digital Single Market, oltre ad essere, insieme alla liceità e alla correttezza del trattamento, indicato al primo punto dell’art. 5 GDPR sui principi che regolano il trattamento dei dati personali.
È evidente che le notizie che giungono da oltreoceano, pertanto, oltre ad aprire scenari inquietanti di sorveglianza di massa, finiscono per minare questa fiducia in un digitale che sia eticamente rispettoso dei diritti fondamentali.
Le prospettive future
In relazione alla vicenda, laddove confermata, giungeranno inevitabilmente le reazioni dalle autorità di enforcement europee e statunitensi verso una pratica di raccolta e trasferimenti di dati personali in assenza dei requisiti di conformità.
Al tempo stesso, è sempre più evidente come i tempi siano maturi per la messa a terra dei progetti esistenti su un digital advertisement che riesca a bilanciare le esigenze degli inserzionisti e quelle di riservatezza degli utenti. Un esempio è rappresentato dalle privacy sandbox di Google che potrebbero determinare la dismissione dei cookie di terze parti da parte di Chrome nel terzo trimestre del 2024, salvo rinvii in continuità con gli anni passati.
Già implementati, invece, sono i progetti di Apple che, da tempo, sta lavorando sul tema della trasparenza dell’utente in relazione alla resa dell’informativa dell’applicazione, con le Privacy labels che rappresentano come primo livello di informazione, modo grafico e sintetico i dati personali e i trattamenti dell’applicazione, oltre che alla trasparenza degli strumenti di tracciamento e la minimizzazione dei dati collegati all’ID pubblicitario dell’utente.
Questi progetti, infatti, dovrebbero essere in grado di garantire by design che i dati raccolti per l’advertisement (aggregati e generalizzati) non consentano utilizzi per finalità difformi, quale è la sorveglianza di massa. Ciò è essenziale per mantenere un web che aperto, libero e accessibile nonostante le tensioni geopolitiche che, oggi più che mai, attraversano il pianeta.
