L’utilizzo di questi servizi è in crescente diffusione, ma non senza qualche incertezza sulla corretta applicazione della normativa sul trattamento dati a questi servizi. L’incertezza deriva da molti fattori: la molteplicità dei soggetti coinvolti, la veloce introduzione di strumenti e applicazione, l’esponenziale incremento di dati trattati, ma soprattutto l’impossibilità per le Aziende di poterne fare a meno per lo sviluppo dell’immagine del brand e delle vendite e molti altri ancora.
L’entrata in vigore del Regolamento Generale sulla Protezione dei dati e le recenti pronunce della Corte di Giustizia hanno introdotto nuovi elementi di dubbio.
Per tale ragione, l’European Data Protection Board (EDPB) ha deciso di emanare delle Linee Guida sul tema per fare luce sul tema. Le Linee guida sono in fase di consultazione sino al 19 ottobre p.v. e dovranno poi essere approvate, ma contengono già molti elementi utili per orientare le Aziende nella materia.
Le linee guida mirano, infatti, a fornire una guida pratica alle parti interessate e contengono vari esempi di situazioni diverse in modo che le parti interessate possano identificare rapidamente lo “scenario” più vicino alla pratica di targeting che intendono implementare. L’obiettivo principale delle linee guida è chiarire i ruoli e le responsabilità del fornitore di social media e dell’individuo target. A tal fine, le Linee Guida identificano i potenziali rischi per le libertà dell’individuo, i principali attori e i loro ruoli, l’applicazione dei requisiti chiave in materia di protezione dei dati, come la base giuridica, la trasparenza e la DPIA, nonché gli elementi chiave delle disposizioni tra i fornitori di social media e le persone target. Inoltre, le Linee guida si concentrano sui diversi meccanismi di targeting, il trattamento di categorie particolari di dati e l’obbligo per i contitolari del trattamento di porre in essere un adeguato accordo ai sensi dell’articolo 26 GDPR.
Alcuni degli elementi interessanti è l’individuazione dei soggetti coinvolti.
Per prima cosa gli Utenti che sono gli individui fanno uso dei social media in diverse capacità e per diversi scopi (ad esempio per rimanere in contatto con gli amici, per scambiare informazioni su interessi condivisi o per cercare opportunità di lavoro). Il termine “utente” è tipicamente usato per indicare gli individui che sono registrati al servizio, cioè coloro che hanno un “account” o un “profilo”. Molti servizi dei social media, tuttavia, sono accessibili anche alle persone che non si sono registrate (cioè non hanno creato un account o un profilo). Tali persone non sono in genere in grado di utilizzare tutte le stesse caratteristiche o servizi offerti alle persone che si sono registrate presso il fornitore di servizi di social media. Sia gli utenti che le persone fisiche non registrate possono essere considerate “Interessati” ai sensi dell’articolo 4, paragrafo 1, del GDPR, nella misura in cui la persona è direttamente o indirettamente identificata o identificabile.
Ci sono poi i Fornitori di social media che sono quelli che offrono un servizio online che consente lo sviluppo di reti e comunità di utenti, tra cui vengono condivise informazioni e contenuti. I servizi di social media sono tipicamente offerti attraverso browser web o app dedicate, spesso dopo aver richiesto all’utente di fornire un insieme di dati personali per costituire l'”account” o il “profilo” dell’utente. Spesso, inoltre, offrono agli utenti associati all’account “controlli”, per consentire loro di accedere e controllare i dati personali trattati nell’ambito dell’utilizzo del loro account.
Infine, i Destinatari/ “targeter” che sono le persone fisiche o giuridiche (professionisti e aziende per esempio) che utilizzano i servizi dei social media al fine di indirizzare messaggi specifici a un insieme di utenti dei social media sulla base di parametri o criteri specifici. Esempi tipici sono i marchi che utilizzano i social media per pubblicizzare i loro prodotti, anche per aumentare la consapevolezza del marchio. Anche i partiti politici fanno sempre più spesso uso dei social media come parte della loro strategia di campagna, così come le associazioni di beneficenza e altre organizzazioni no profit utilizzano i social media per indirizzare i messaggi ai potenziali contributori o per sviluppare le comunità.
Il ruolo di Destinatari e fornitori di social nel trattamento dati varia a seconda dei servizi di targeting utilizzati. A tal proposito L’EDPB individua le seguenti diverse modalità di targeting a seconda dei dati utilizzati e della loro combinazione.
a. Targeting sulla base dei dati forniti, ovvero le informazioni che l’interessato fornisce attivamente al fornitore di social media e/o al destinatario.
b. Targeting sulla base dei dati osservati, ovvero dati forniti dalla persona interessata in virtù dell’utilizzo di un servizio o di un apparecchio (es. i “mi piace”).
c. Targeting sulla base dei dati desunti o dati “derivati”, sono creati dal titolare del trattamento sulla base dei dati forniti dall’interessato o osservati dal titolare del trattamento (es. un provider di social media o un destinatario può dedurre che un individuo possa essere interessato a una determinata attività o prodotto in base al suo comportamento di navigazione in rete e alle sue connessioni di rete).
All’interno di queste tipologie di targeting, l’EDPB analizza molti esempi di operazioni di targeting individuando le responsabilità e i rispettivi ruoli degli attori coinvolti, ma anche le possibili basi giuridiche da utilizzare per il trattamento del dato. Tra i casi esaminati il targeting basato sui pixel e il geo-targeting, molto utilizzato da Aziende di ogni settore.
Pur non essendo ancora approvato in via definitiva si consiglia la lettura del documento che consente già di capire se gli adempimenti del trattamento dati dei propri sistemi di targeting è compliance o meno con la normativa.
Fonte: Linee guida European Data Protection Board sul targeting degli utenti dei social media, adottate il 2 Settembre 2020
