Le inserzioni pubblicitarie sui social sono tipicamente utilizzate per generare traffico verso un sito, dare rilevanza a un post, indurre gli utenti a compiere una specifica azione come iscriversi a un servizio, acquistare un prodotto, partecipare a un evento, installare un’app, ecc. Per chi si occupa di retargeting e social media marketing, insomma, un elemento centrale di una campagna di comunicazione è spesso l’obiettivo strategico dell’inserzione. Per chi si occupa di compliance e GDPR, la visione è ovviamente diversa, e questo livello di dettaglio è relativamente marginale. Un elemento di attenzione condiviso da ufficio privacy e reparto marketing, invece, riguarda i destinatari delle inserzioni, e le modalità o meccanismi utilizzati per definire questo target.
Distinguere le attività in base a questo criterio non serve solo a orientare e rendere più efficace una campagna, ma risulta sostanzialmente necessario affinché si possa adempiere ai principi del GDPR e svolgere un completo monitoraggio delle attività di trattamento svolte.
Trascurare un’analisi di questo tipo può infatti comportare il rischio di riunire sotto lo stesso cappello attività formalmente diverse. Può significare affidarsi unicamente ai meccanismi di consenso definiti dalla piattaforma social. Può determinare errore nel tracciamento delle attività nel Registro dei trattamenti. Ad esempio, risulta essenziale comprendere che, a seconda delle modalità di definizione del target, possono variare il ruolo della propria azienda e quello del gestore della piattaforma social (es. Meta). A cascata, si rischia di compilare in maniera solo parziale o perfino errata l’informativa privacy, violando il principio di trasparenza e i corrispettivi diritti degli interessati, andando così a configurare un profilo di illecito sanzionabile.
Indice
Retargeting, Prospecting e Custom Audience secondo il GDPR
Con il caso Rinascente di giugno 2023 è stato reso pubblico un caso di accesso da parte di una commessa a una scheda cliente, per re-intestarne la fidelity card sotto il nome di “Donzella Svampita”. L’aneddoto “tragicomico” ha avuto una certa risonanza, ma rappresenta solo l’evento che ha scatenato i controlli dell’Autorità Garante al noto brand di moda. Il provvedimento, nei suoi vari passaggi ed esito delle indagini, presenta invece altri contenuti particolarmente interessanti. Concentriamoci quindi sulle campagne pubblicitarie in Facebook, esaminate dall’Autorità nel dettaglio. Una utile categorizzazione evidenzia alcune differenze sotto il profilo del trattamento di dati, tra:
- Campagne standard (retargeting)
- Campagne standard (prospecting)
- Campagne Custom Audience
Campagne standard (retargeting) | Campagne standard (prospecting) | Campagne Custom Audience | |
Finalità | Ricontattare su Facebook gli utenti che hanno già visitato il sito aziendale | Cercare nuovi clienti su Facebook | Raggiungere su Facebook un target specifico di utenti |
Target delle inserzioni | Utenti Facebook che hanno già avuto interazioni con i canali web dell’azienda | Utenti Facebook (sconosciuti all’azienda) potenzialmente interessati ai prodotti o servizi | Utenti Facebook con caratteristiche simili a quelle dei clienti dell’azienda |
Dati utilizzati | La raccolta dei dati rilevanti avviene attraverso strumenti di tracciamento web come il pixel di Meta | Base dati raccolta direttamente da Facebook, la quale individua il target in base a criteri descrittivi definiti in fase di configurazione della campagna di comunicazione | Contatti dei clienti raccolti dall’azienda (es. Fidelity card, CRM) e messi in condivisione con Meta tramite caricamento su Business Manager. Queste informazioni sono elaborate da Meta per definire il pubblico a cui indirizzare le inserzioni pubblicitarie |
Base giuridica | Consenso dell’interessato, rilasciato tramite i meccanismi di gestione dei cookie | Definita da Meta (consenso gestito tramite le impostazioni privacy gestite direttamente dall’utente tramite il proprio account sul social network) | Analisi dati dei clienti dell’azienda: Consenso dell’interessato, acquisito in fase di raccolta dei suoi dati, per svolgere attività di profilazione;
Marketing/invio inserzioni: Definita da Meta (consenso gestito tramite le impostazioni privacy sul social network) |
Ruolo di Meta | Contitolare del trattamento | Titolare autonomo del trattamento | Responsabile del trattamento (per il trattamento dei contatti dei clienti, in formato hash, caricati dall’azienda su Business Manager ed elaborati da Meta per la successiva creazione del target).
N.B. è proibito a Meta qualunque uso delle liste e-mail per finalità ulteriori. Meta si impegna a cancellare i dati al termine del processo di definizione del pubblico delle inserzioni |
Ovviamente, con la consapevolezza che il mondo del digital marketing è in continua evoluzione. Lo schema si ispira alla sentenza de La Rinascente, riferita al sistema di gestione delle inserzioni utilizzato dalla società milanese nel 2021, Facebook Business Manager. I concetti, comunque, restano essenzialmente validi anche per altre piattaforme Meta, es. l’odierna gestione di inserzioni Instagram. E la logica di fondo può essere di spunto anche per il controllo di attività di altri fornitori, es. la pubblicazione di inserzioni in TikTok.
Trasparenza nelle attività di social media marketing
Come per ogni trattamento di dati personali, l’interessato deve avere accesso a tutti gli elementi utili a comprendere le operazioni svolte con i suoi dati. Alla luce delle attività sopra descritte, pertanto, come soddisfare l’obbligo di trasparenza previsto dall’art. 13 GDPR, quali indicazioni fornire agli utenti o destinatari delle inserzioni, e in quali circostanze?
Partiamo dal retargeting: un aspetto da tenere a mente è che l’attività di comunicazione e i relativi canali social utilizzati per le proprie campagne andrebbero citati nella privacy policy e cookie policy del sito aziendale (in cui sono tracciati i dati di navigazione tramite i cookie di profilazione). Gli utenti potranno così comprendere che, a seconda delle impostazioni e preferenze definite sul loro profilo social, potrebbero essere destinatari di pubblicità da parte dell’azienda.
Per chi intendesse utilizzare i dati dei propri clienti/consumatori (Custom Audience), è bene che in fase di registrazione a una piattaforma, o nell’attivazione di una fidelity card, il cliente venga informato della possibilità di analizzare i suoi dati per personalizzare le campagne pubblicitarie. Fondamentale indicare che tra i destinatari dei dati sulle abitudini di consumo risulteranno anche i gestori delle piattaforme utilizzate. Ricordando dell’eventualmente relativo trasferimento extra UE (pur se con idonee misure di pseudonimizzazione quale l’hashing del dato).
Per la propria azienda, l’obbligo di fornire informazioni non si applica, invece, alle campagne di comunicazione social a scopo di prospecting, rispetto alle quali la gestione dei dati degli utenti (target) resta unicamente in capo al gestore del social network. Meta è infatti il Titolare del trattamento che si occupa autonomamente di informare i propri utenti sull’attività relativa alle inserzioni.
Termini di servizio e informativa privacy: servono due flag separati?
Concludiamo con un dubbio frequente, sempre in tema di trasparenza e liceità, che riguarda ancora una volta il web e in particolare i servizi e-commerce. In termini operativi, il dilemma tipico si realizza in fase di creazione di un form di registrazione o di un flusso di acquisto online. È possibile inserire in un unico flag per la presa visione delle condizioni di servizio e della privacy policy? O, al contrario, è necessario mantenere due flag separati?
La risposta più corretta è che bisogna fare in modo di non generare vizi di consapevolezza sui contenuti dei documenti. Le informazioni sul trattamento dei dati non vanno quindi “nascoste” in altra documentazione contrattuale. E l’accessibilità dev’essere reale (es. con link diretti ed espliciti alle informazioni cercate dall’utente).
Ciò premesso, il singolo flag per la presa visione è una soluzione corretta e percorribile. L’idea di fondo è che la dichiarazione di presa visione di un’informativa non va confusa con la manifestazione di un consenso al trattamento di dati. L’errore reale sarebbe riunire in un singolo consenso la presa visione dell’informativa con il consenso al trattamento dei dati. Oppure, raccogliere in un solo flag più consensi destinati a trattamenti diversi (es. profilazione + marketing). Il consenso non è mai riferito a un documento nel suo complesso, ma a un’attività/finalità di trattamento dati specifica.