Le linee guida dell’European Data Protection Board sul targeting

Recentemente l’EDPB ha pubblicato le linee guida sul targeting nei social media, si tratta di un importante documento che mira a dare delle linee guida all’interno di una tecnica diventata sempre più importante nel settore del digital marketing, ha rivoluzionando il modo di promuovere un servizio o un prodotto. Le linee guida offrono una panoramica dei rischi e dei diritti degli interessati. Questo argomento sarà oggetto del prossimo webinar dell’associazione Privacy Academy all’interno del ciclo di incontri “linee guida per il DPO”.

L’European Data Protection Board (EDPB), nella sua funzione di favorire l’applicazione omogenea all’interno dell’Unione Europea delle norme in materia di protezione dati, ha recentemente emanato le Guidelines 8/2020 on the targeting of social media users.[1] Si tratta di un documento che mira a fornire una panoramica e delle linee guida in merito al targeting degli utenti dei social media, in particolare per quanto riguarda le responsabilità dei destinatari e dei fornitori di social media.

Il targeting è l’attività di indirizzare qualcosa a un particolare gruppo di persone, come anche l’attività volta a tentare di attirare una persona o un gruppo di persone o di influenzarli in qualche modo. Con lo sviluppo dei social media questa attività ha avuto un importante evoluzione. L’ecosistema dei social media infatti consente di creare una strategia di targeting in grado di veicolare di messaggi specifici agli utenti dei social media al fine di promuovere interessi commerciali, politici o di altra natura. La veicolazione avviene individuando interessi, gusti e preferenze che possono attirare gli utenti iscritti ad un social media tramite il proprio account. Si tratta di un processo in cui sono stati sviluppati criteri sulla base di dati personali che gli utenti hanno attivamente fornito o condiviso, da parte del fornitore di social media o da terzi parti, e raccolti (aggregati) dalla piattaforma o da altri attori (es. data broker). L’ output di questo processo si traduce nella consegna di messaggi commerciali/politici o d’opinione nei confronti specifici utenti finali.

Le linee guida mirano a identificare correttamente: i ruoli e le responsabilità dei vari attori all’interno del processo di targeting. Un lavoro che tiene conto della giurisprudenza della CGUE[2], nonché delle disposizioni del GDPR. Secondo un modus operandi ormai consolidato, il lavoro dell’EDPB si basa su una rappresentazione generale e astratta per chiarire i ruoli e le responsabilità tra i social fornitore di media e targeter. Indentificando i potenziali rischi peri diritti e le libertà delle persone (sezione 3), i principali attori e i loro ruoli (sezione 4), e l’applicazione dei requisiti chiave in materia di protezione dei dati (quali legalità e trasparenza, DPIA, ecc.) Nonché elementi chiave degli accordi tra i fornitori di social media e i destinatari.

Per quanto riguarda i rischi, le linee guida riconoscono principalmente due grandi vettori. In primis l’attività di targeting si ricollega all’attività di profilazione pertanto si va ad influenzare le scelte dell’utente minando così la capacità dell’individuo di esercitare il controllo e l’esercizio sui propri dati personali. Una seconda tipologia di rischio si ricollega all’articolo 9 del General Data Protection Regulation (GDPR): l’attività di targeting infatti direttamente o indirettamente, ha effetti discriminatori in relazione all’origine razziale o etnica dell’individuo, lo stato di salute o l’orientamento sessuale o altre qualità protette della persona interessata. Tuttavia, l’evoluzione delle tecniche permette di costruire effetti discriminatori anche senza l’utilizzo di criteri diretti legati a categorie speciali di dati personali.

Un rischio che non si riflette solo nelle scelte commerciali dell’utente/consumatore ma che rischia di influenzare anche i processi elettorali democratici comportando disinformazione o messaggi che gli individui trovano particolarmente preoccupanti, polarizzando il dibattito e minando alla base i processi decisionali democratici.

Da una parte le bolle filtro (dette anche filter bubble) dove utenti con determinate preferenze e idee si incontrano creando un dibattito chiuso all’interno non influenzato da opinioni diverse; dall’altra parte i meccanismi di targeting potrebbero anche creare rischi di “sovraccarico di informazioni”, per cui gli individui non prenderebbero una decisione informata perché hanno a disposizione troppe informazioni e non sono in grado di stabilire se sono affidabili. Sono conseguenze che il processo di targeting all’interno dei social media rendono l’utente non solo monitorato ma anche influenzato nella propria sfera decisionale. Influenza che può essere più invasiva in soggetti particolari, ad esempio: andando a minare la formazione personale dei bambini nelle preferenze e negli interessi, influendo in ultima analisi sulla loro autonomia e sul loro diritto allo sviluppo. Va tuttavia ribadito che in questi casi interviene applicabilità dell’articolo 38 del GDPR con le specifiche protezioni per l’uso dei dati personali dei minori per finalità di marketing o creazione di personalità o profili utente e raccolta di dati personali dati relativi a minori durante l’utilizzo di servizi offerti direttamente a un minore.

Va rilevato come ben specificato all’interno delle linee guida che molti servizi di social media possono essere accessibili da persone senza essersi registrate (cioè senza creare un account o un profilo).[3] Pertanto si pone una riflessione sull’applicabilità delle normative in materia di protezione dati, fermo restando che gli individui non registrati comunque subiscono in qualche maniera il processo di targeting. Secondo l’EDPB “le persone possono essere considerate “interessati” ai sensi dell’articolo 4, paragrafo 1, del GDPR nella misura in cui l’individuo è direttamente o indirettamente identificato o identificabile.”[4]

All’interno di questo sistema abbiamo i fornitori di social network che offrono un servizio online che consente lo sviluppo di reti e comunità di utenti, tra le quali vengono condivise informazioni e contenuti e che determinano le funzionalità del servizio. In questa determinazione decidono quali dati vengono trattati, per quale finalità, in quali termini e come i dati personali devono essere trattati. Andando a creare una mole di dati il cui flusso si nutre anche di fonti esterni alla propria rete che provengono anche dal mondo fisico.

Le linee guida utilizzano il termine “targeter” per designare persone fisiche o giuridiche che utilizzano i social media al fine di indirizzare messaggi specifici a un insieme di utenti di social media sulla base di specifici parametri o criteri. Questo processo avviene mediante la visualizzazione di pubblicità personalizzata (ad esempio banner nei siti web o all’interno dei feed dei social media). Oppure mediante la creazione dedicata o altra presenza sui social media.

Altri attori rilevanti possono essere i fornitori di servizi di marketing, reti pubblicitarie, scambi di annunci, lato domanda: piattaforme lato fornitura, fornitori di gestione dei dati (DMP), società di analisi dei dati e i data broker.

All’interno del documento elaborato dall’EDPB vi è un’ampia panoramica dei meccanismi di targeting che vengono illustrati nella sezione 5.[5] A titolo esemplificativo:

  1. Targeting di persone sulla base dei dati forniti: che riguarda le informazioni fornite attivamente dall’interessato al fornitore di social media e / o al targeter;
  2. Targeting sulla base dei dati osservati: un utente di social media potrebbe essere scelto come target in base alla sua attività sulla stessa piattaforma di social media: l’utilizzo di dispositivi su cui viene eseguita l’applicazione del social media, dati ottenuti da uno sviluppatore di applicazioni di terze parti, dati raccolti tramite servizi offerti da società possedute o gestite dal fornitore social di contenuti multimediali.
  3. Targeting sulla base di dati dedotti: creati dal titolare del trattamento sulla base dei dati forniti dall’interessato o secondo quanto osservato dal responsabile del trattamento.

Questo processo viene temperato attraverso alcune basi giuridiche applicabili dal GDPR. Vale richiamare l’articolo 5 che richiama i principi con cui deve essere svolto il trattamento: lecito, equo e trasparente e che i dati devono essere raccolti per scopi determinati, espliciti e legittimi. Gli articoli 12,13 e 14 sugli obblighi di trasparenza da parte del titolare del trattamento.  Trasparenza che deve essere coniugata con informazioni rese in un linguaggio facilmente comprensibile.

Ovviamente, le linee guida richiamano il diritto d’accesso (art.15 GDPR) indicando che responsabili e titolari devono sviluppare l’implementazione di un meccanismo per consentire agli interessati di controllare il proprio profilo, inclusi dettagli delle informazioni e delle fonti utilizzate per svilupparle, concedendo facilmente all’ interessato l’accesso a distanza ai dati personali che lo riguardano. Al fine di consentire agli interessati di esercitare i propri diritti in modo efficace e facilmente accessibili, le linee guida suggeriscono un accordo tra il fornitore di social media e il targeter può designare un unico punto di contatto per gli interessati.

Questo tema verrà affrontato all’interno del prossimo webinar “Digital Marketing” del ciclo d’incontri “linee guida per il data protection officer” organizzato da Privacy Academy, giorno venerdì 23 ottobre, alle ore 17:00.

I relatori saranno:

  • Dottor Giuseppe Giuliano, Funzionario dell’Autorità per laProtezione dei Dati Personali, tratterà l’argomento dell’E-Marketing nel GDPR; 
  • Dottor Andrea Albanese, Social Media Manager e Digital Communication Advisor affronterà il Marketing on line, tra il retargeting e pixel;
  • Avvocato Monica Gobbato, Presidente di Privacy Academy argomenterà il Digital Marketing nei CODICI DI CONDOTTA;
  • Avvocato Massimiliano Nicotra, Vicepresidente di Privacy Academy, sarà il moderatore del workshop.

Sarà possibile partecipare all’evento mediante la piattaforma Eventbrite al seguente link: https://www.eventbrite.it/e/corso-dpo-lez-3-digital-marketing-privacy-academy-tickets-122690638001?aff=ebdssbeac&keep_tld=1

Gratuito per gli iscritti 2020 all’associazione, possibilità di iscriversi all’associazione (costo 30 euro) mediante il link dell’evento.

                                                                                                                                                          

   Dott. Benedetto Fucà


[1] Il documento è stato adottato il 2 Settembre 2020 e può essere consultato e scaricato al seguente link: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202008_onthetargetingofsocialmediausers_en.pdf

[2] Sul tema targeting vanno citati le sentenze: Wirtschaftsakademie e Fashion ID della Corte di giustizia dell’Unione europea. La prima qualificava il responsabile di una pagina pubblica sul noto social network Facebook come contitolare del trattamento insieme al provider.

Testo della sentenza consultabile al seguente link: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=IT

La seconda sentenza riconosce che anche i rivenditori online di rispettare le norme in materia di protezione dati nelle operazioni di raccolta e di comunicazione mediante trasmissione dei dati al provider del social in cui opera.

Testo della sentenza consultabile al seguente link:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=9804914

[3] EDPB;Guidelines 8/2020 on the targeting of social media users; pag 7 “Many social media services can, however, also be accessed by individuals without having registered (i.e. without creating an account or profile)”

[4] Idem; pag 8 “individuals may be considered “data subjects” within the meaning of Article 4(1) GDPR insofar as the individual is directly or indirectly identified or identifiable.”

[5] Idem, pag 12