Instagram, facebook, linkedin, twitter: non basta più la newsletter, che spesso si perde tra le numerose comunicazioni ricevute, molto meglio sfruttare la rete e i social per mandare comunicazioni per “colpire” target specifici di clientela.
Ma per farlo servono informazioni e servono sempre più complete e aggiornate. Una volta, infatti, i dati raccolti erano un effetto collaterale all’utilizzo dei servizi online da parte degli utenti, ora invece i dati sono il prodotto dei servizi on line stessi. Dalle informazioni che l’utente lascia si costruiscono profili accurati degli utenti, perfetti per identificare i potenziali acquirenti dei prodotti. L’efficacia della pubblicità online deriva dalla capacità di conoscere il consumatore, le sue preferenze, i suoi orientamenti e, talvolta, anche caratteristiche di cui lo stesso non è a conoscenza o che non ha rivelato direttamente (inferred data). Naturalmente in questo contesto l’individuazione del “consumatore perfetto” avviene attraverso algoritmi sempre più precisi e attraverso la combinazione di sempre maggiori data base e di cui non sempre gli utenti si rendono conto.
Le esigenze del marketing e delle aziende, quindi, dovevano essere coordinate con la normativa: il Regolamento Generale sulla Protezione dei dati (GDPR).
L’ European Data Protection Board (EDPB) ha approvato recentemente le Linee guida dell’EDPB n.8/2020 rispondendo alla necessità di disciplinare il targeting degli utenti sui social media oramai divenuto uno dei principali strumenti di business per le aziende.
Come noto, le Linee Guida partono da un importante punto di partenza che è rappresentato dal richiamo a tre importanti pronunce della Corte di Giustizia dell’Unione Europea (“CGUE”), cioè le sentenze Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) e Fashion ID (C-40/17), riguardanti la corretta individuazione dei ruoli e delle responsabilità in ambito privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti.
Rispetto ai contenuti di queste pronunce le Linee si pongono in linea di continuità, richiamando l’individuazione di un possibile rapporto di contitolarità ex Art. 26 GDPR tra i social media providers e targeters.
Ma procediamo con ordine e individuiamo innanzitutto i protagonisti dei processi di targeting.
Innanzitutto i fornitori di social media (“social media providers”) che sono quegli operatori che offrono un servizio online che permette lo sviluppo di reti e comunità di utenti, tra i quali si condividono informazioni e contenuti, determinandone le funzionalità del servizio.
Tale attività implica, a sua volta, la scelta – da parte dei providers- dei dati trattati e la determinazione dello scopo, delle condizioni, così come delle modalità di trattamento dei dati personali. Tutto ciò permette la fornitura del servizio di social media, ma anche la fornitura di servizi come il targeting di cui possono beneficiare i partner commerciali che operano sulla piattaforma di social media o in collaborazione con essa.
Poi , ovviamente, gli utenti, che sono coloro che fanno uso dei social media a diverso titolo e per diversi scopi. Va notato che il termine “utente” è tipicamente usato per riferirsi a molteplici situazioni, ma indipendentemente dal ruolo specifico (sia che siano registrati o se siano meri spettatori) , gli individui oggetto delle attività di targeting dovranno essere comunque considerati “interessati” ai sensi dell’articolo 4(1) GDPR poiché essi sono direttamente o indirettamente identificati o identificabili.
Infine, i “targeter” ovvero le persone fisiche o giuridiche che utilizzano i servizi dei social media al fine di indirizzare messaggi specifici ad un insieme di utenti dei social media sulla base di parametri o criteri specifici. La linea di discrimine tra i targeters e gli altri utenti dei social media è che i primi selezionano i loro messaggi e/o il loro pubblico di riferimento in base alle caratteristiche, agli interessi o alle preferenze percepite degli interessati, una pratica che a volte viene anche definita come “micro-targeting”.
Le Linee Guida analizzano poi i principali meccanismi di targeting sulla base della distinzione delle fonti da cui vengono acquisiti i dati personali degli utenti, distinguendo le seguenti casistiche.
PROVIDED DATA
In tale caso il targeting viene effettuato sulla base di dati personali forniti direttamente dall’utente al social media provider e/o al targeter.
OBSERVED DATA
Sono quei dati forniti dall’interessato in virtù dell’utilizzo di un servizio o di un dispositivo (ad esempio i “mi piace” ). Tali dati possono essere acquisiti attraverso il servizio di social media stesso o anche attraverso la raccolta di dati su siti esterni in virtù dell’installazione di social plug-in o di pixel (e.g. pixel-based targeting, geoblocking etc.).
INFERRED DATA” O “DERIVED DATA
Sono quei dati che derivano dall’osservazione del comportamento dell’utente sui social o sul web (ad esempio tutti quei dati relativi al comportamento di navigazione web e/o alle connessioni di rete dell’utente).
L’EDPB fornendo degli esempi concreti relativi all’utilizzo delle categorie di dati personali per finalità di targeting, individua per ogni singolo caso proposto le basi giuridiche da utilizzare.
In generale, le basi giuridiche necessarie per autorizzare il trattamento di dati vadano individuate, caso per caso, nel consenso dell’interessato ex Art. 6(a) GDPR oppure, al ricorrere di determinate condizioni nell’interesse legittimo del titolare ex art. 6(f) GDPR che dovrà essere raccolto con estremo rispetto dei diritti dell’interessato e solo in casi eccezionali.
Per quanto riguarda le ipotesi di profilazione dell’utente tramite monitoraggio, processo decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato.
In ogni caso, viene chiarito dalle Linee Guida i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi. Pertanto, il semplice uso della parola “advertising” nell’informativa non potrà essere ritenuto sufficiente per giustificare attività di targeting. Su tale aspetto l’EDPB sottolinea la necessità del principio di trasparenza da realizzarsi a seconda delle varie tipologie di attività di trattamento attraverso un linguaggio il più possibile semplice e chiaro ed in modo conciso, ma soprattutto ed in una forma comprensibile e facilmente accessibile.
Come già anticipato, su tale punto, L’EDPB è in linea di continuità con le sentenze della CGUE in materia di contitolarità tra fornitori dei social media ed altri soggetti coinvolti. Pertanto, nelle Linee Guida viene previsto che l’accordo ex Art. 26 GDPR tra social media providers e targeters debba prevedere tutte le operazioni di trattamento per le quali essi sono congiuntamente responsabili e, altresì, contemplare informazioni sufficientemente dettagliate riguardo alle specifiche operazioni di trattamento dei dati che hanno luogo, comprese quelle di cui agli Artt.5(1) e 5(2) GDPR.
Molte le critiche e i dubbi che hanno investito le linee guida n.8/2020 anche nel corso della consultazione pubblica.
Tra queste, l’esclusione della base giuridica dell’Art. 6(1)(b) GDPR ossia quella data dall’esecuzione di un contratto che forse entro certi limiti e con le dovute cautele poteva essere utilizzata per farvi rientrare alcuni trattamenti dati legati al targeting.
Ma l’elemento più controverso riguarda l’utilizzo della contitolarità.
L’aver assimilato la posizione di providers e targeters, attribuendo una responsabilità congiunta anche nei casi in cui questi ultimi abbiano aderito ad accordi ex Art. 26 predefiniti dai providers senza alcuna possibilità di negoziare o apportare modifiche, è stata, infatti, da più parti ritenuta come una eccessiva semplificazione delle posizioni dei due contitolari oltre che una palese forzatura interpretativa. La contitolarità resta un istituto di non facile realizzazione e definizione a maggior ragione se tra soggetti che possono essere in posizione di così elevata disparità.