Il Regolamento e-Privacy tarda ad arrivare e il GDPR ha bisogno di supporto per combattere i pericoli del targeted advertising; allo stesso tempo il progresso tecnologico avanza più spedito che mai e gli strumenti di tracciamento a disposizione diventano sempre più potenti.
L’Ue ha deciso di affrontare questo tema facendo ciò che le riesce meglio, legiferando. L’Unione sta, quindi, procedendo verso l’adozione di nuove norme, che impatteranno con decisione sul business del target advertising, dominato dai giganti del web ma utilizzato anche dalle PMI.
Un altro marketing (post-cookies) è possibile: strategie e contenuti per gli eCommerce
Cosa prevede il Digital Services Act
È stato approvato dal Parlamento Europeo il testo del Digital Services Act (“DSA”), che mira a tutelare gli utenti dei servizi digitali definendo chiare regole sulle responsabilità e l’accountability dei fornitori di servizi internet e, in particolare, delle piattaforme online quali i social media e i siti di vendita online. Le piattaforme particolarmente grandi avranno obblighi specifici in considerazione dei maggiori rischi per la disseminazione di contenuti illegali e nocivi che le contraddistinguono.
Malgrado la presenza di voci, anche autorevoli, che invocano una totale messa al bando delle tecnologie di tracciamento a fini pubblicitari (ad esempio, i Garanti per la Privacy sia belga che olandese si sono recentemente pronunciati nel senso che queste sono incompatibili con il GDPR), l’approccio del DSA è di imporre ai relativi fornitori una maggiore trasparenza, con particolare riferimento agli aspetti che riguardano i principali parametri utilizzati per determinare gli utenti quali destinatari di una determinata pubblicità. Questo aspetto è senz’altro fondamentale, ma la norma non pone obblighi precisi in tal senso, ricalcando il “risk based-approach” tipico del GDPR; vedremo se sarà sufficiente per far sì che all’utente siano fornite informazioni più chiare ed esaustive rispetto a quelle di cui oggi può beneficiare. In base al DSA, il fornitore del servizio deve ottenere il consenso dell’utente prima di tracciarlo al fine di proporre pubblicità mirata, facendo sì che per l’utente rifiutare il consenso non sia più complicato o dispendioso in termini di tempo rispetto a fornirlo. Se il consenso viene rifiutato o revocato, l’utente deve avere altre opzioni eque e ragionevoli per accedere alla piattaforma online, comprese opzioni che prevedano l’utilizzo esclusivo di pubblicità non mirata. Il DSA, inoltre, vieta la profilazione dei minori, nonché quella che coinvolga i dati cosiddetti sensibili, cioè quelli di cui all’art. 9 del GDPR. Attraverso tale atto l’Unione Europea mira anche a sviluppare l’adozione di codici di condotta per la pubblicità online tra le piattaforme online e i vari prestatori di servizi coinvolti.
Il Digital Markets Act
Anche il Digital Markets Act (“DMA”) mira, tra altro, a tutelare l’utente nell’ambito della pubblicità online attraverso la regolamentazione delle attività delle cosiddette “gatekeepers” (le grandi piattaforme di accesso ai servizi online) le quali dovranno astenersi dall’imporre condizioni inique agli utenti. Di particolare interesse è l’art. 5 del DMA, il quale proibisce espressamente l’utilizzo di dati personali estratti da uno dei servizi prestati da una big tech a beneficio di un servizio separato offerto dalla medesima; ad esempio, Meta non potrebbe utilizzare i dati raccolti su Facebook al fine di mostrare annunci promozionali personalizzati su Instagram e viceversa. Il DMA, inoltre, si propone di potenziare l’obbligo di fornire informazioni all’interessato in merito a come vengono utilizzati i suoi dati personali, specificando come l’utente debba essere destinatario di informazioni chiare e significative su chi ha sponsorizzato l’annuncio, al come ed al perché egli sia stato profilato, nonché ai motivi per cui gli vengano raccomandati determinati contenuti.
Un unico filo conduttore: trasparenza e consenso
È ormai chiaro che l’intento sia quello di spingere le big tech a compiere passi da gigante sotto il profilo della trasparenza. Le informazioni fornite all’utente dovranno essere chiare ed esaustive in merito alla profilazione operata. Egli dovrà essere messo nelle condizioni di poter apprendere, con precisione, quali sono i dati oggetto della profilazione, quali saranno le finalità e le logiche che guideranno il loro utilizzo, quando e in quale luogo digitale egli potrà essere oggetto di profilazione.
La maggiore trasparenza dovrà essere affiancata da un efficace meccanismo legato all’ottenimento e revoca del consenso. L’utente dovrà poter facilmente scegliere se accettare o sottrarsi alla profilazione in qualsiasi momento, con la facilità e l’immediatezza tipiche del mondo digitale. Tale decisione dovrà inoltre essere libera e, pertanto, slegata dalla possibilità di usufruire del servizio.
Dovranno essere evitati, in quanto saranno espressamente resi illegali, i cosiddetti “dark patterns”, cioè quei sotterfugi di natura grafica che inducono l’utente a cliccare sul riquadro atto alla prestazione del consenso piuttosto che su quello che permette di poter usufruire del servizio senza essere oggetto di profilazione.
Ad oggi molte realtà effettuano attività di profilazione senza richiedere alcun consenso, sostenendo una fantomatica necessità delle predette attività al fine di usufruire di un determinato servizio oppure in virtù di un preteso legittimo interesse della società che beneficia della profilazione, tuttavia, è chiaro come l’Unione Europea, anche attraverso le nuove leggi sopra descritte, stia cercando di rendere non equivoco come il consenso debba essere considerato come l’unica condizione di liceità della profilazione effettuata per finalità di marketing.
Google Sandbox: il futuro del targeted advertising?
Mentre l’Unione Europea lavora per creare un sistema di leggi per la protezione dell’utente, Google sta sviluppando un insieme di nuove tecnologie con il medesimo obbiettivo. Stiamo parlando di Google Sandbox, un agglomerato di soluzioni innovative che mirano a riformare totalmente il target advertising, sia su Chrome che Android; Google sostiene che il Sandbox migliorerà significativamente la privacy degli utenti (non verranno più utilizzati i cookies di terze parti in quanto le informazioni vengono raccolte aggregate dai browser), ma senza sacrificare l’enorme business che pone le sue basi proprio nel target advertising.
Lo scorso 16 febbraio Google ha annunciato che nell’ambito di Google Sandbox introdurrà nuove soluzioni che limiteranno l’accessibilità dei dati degli utenti ad opera di terze parti, anche grazie all’abbandono di identificatori cross-app, tra cui il più noto advertising ID (un ID univoco, fornito da Google Play Services), che l’utente potrà rimuovere tramite le impostazioni di Android; in ottica GDPR sarebbe senz’altro auspicabile un’inversione di tale meccanismo, impostando i vari identificatori online come inattivi di default e permettendo agli utenti che lo desiderino di attivarli tramite modifica delle impostazioni di Android.
Google sta, inoltre, collaborando con le autorità inglesi, la Competition and Markets Authority e l’Information Commissioner’s Office (“ICO”), per sviluppare e migliorare il progetto; basandoci sul “Data protection and privacy expectations for online advertising proposals” pubblicato dall’ICO il 25 novembre scorso possiamo sostenere che l’ICO stia supervisionando il progetto in modo approfondito.
Conclusioni
In ogni caso, una delle direttive che Google sta seguendo per lo sviluppo del progetto risiede proprio nel fornire agli utenti una trasparenza sostanziale e significativa, nonché il controllo dei loro dati raccolti durante la navigazione sul web; da questo punto di vista gli obbiettivi di Google sono allineati con quelli dell’Unione Europea. Sarà Google Sandbox la soluzione che permetterà in concreto di conseguire questi obbiettivi? Alcuni esperti ritengono che anche le tecnologie Sandbox (ed in particolare quella FLoC – Federated Learning of Cohorts) consentiranno comunque prassi, come il “browser fingerprinting” (in cui tante piccole informazioni concorrono a creare un identifier unica per quel browser e pertanto distinguerlo da altri), che rappresentano un importante rischio per la privacy degli utenti. In ogni caso, è presto per trarre conclusioni, al momento possiamo solo seguire lo sviluppo di questo progetto innovativo ed interessante.
