Ruoli privacy nel social media targeting secondo le ultime Linee guida europee - Riskmanagement

Tecnologie

Ruoli privacy nel social media targeting secondo le ultime Linee guida europee

Una questione che riguarda gli utenti e i fornitori di social media e, fra loro, i targeter, cioè gli inserzionisti

05 Nov 2020

Andrea Michinelli

avvocato, CIPP/E, CIP/M, studio legale d’Ammassa & Partners

Gianmaria Le Metre

avvocato, studio legale d’Ammassa & Partners

Il fenomeno più significativo negli ultimi dieci anni del mondo online, probabilmente, è stata la crescita esponenziale dei social media. Il numero di persone che tutti i giorni utilizzano questi strumenti per rimanere in contatto con la famiglia, gli amici, costruire relazioni professionali o per condividere le proprie idee o i propri interessi è in continua crescita. Come parte del loro modello di business, molti social media offrono servizi di targeting, i quali consentono a soggetti di varia natura di comunicare messaggi specifici agli utenti dei social media al fine di promuovere beni e servizi, idee politiche e concetti di ogni genere. La personalizzazione è la chiave che permette di far arrivare pubblicità il più possibile mirate al soggetto più probabilmente interessato, in un dato momento, al tal prodotto/servizio. Per farlo, non bastano cumuli di dati grezzi (big data o meno che siano), bensì devono costruirsi modelli psicologici-comportamentali degli utenti sulla base della interrelazione dei dati, delle inferenze che è possibile ricavare da tale processo, dalla segmentazione, ecc. Occorre cioè analizzare quali siano i ruoli privacy nel social media targeting.

Il profilo risultante (utilizzato anche per studiare la buyer persona) permetterà di fare targeting: a chi sia meglio indirizzare il messaggio, di che tipo, dove, in quale momento, ecc., in una logica pure previsionale. Un’ottimizzazione che ha evidenti risvolti di invasività sui diritti e le libertà personali: in aprile il Parlamento Europeo ha emanato raccomandazioni per una disciplina delle attività online che, tra l’altro, limiti le possibilità di targeting degli utenti; in giugno lo stesso parlamento ha votato a maggioranza una mozione del deputato Paul Tang per vietare – tout court – la pubblicità personalizzata. Certamente quanto accaduto con lo scandalo di Cambridge Analytica e Facebook non è estraneo a questo giro di vite intrapreso dalle istituzioni europee.

Le linee guida dell’EDBP

Dal canto suo anche l’European Data Protection Board (EDPB) è intervenuta con le recenti Linee guida 8/2020 sul targeting degli utenti dei social media, del 7 settembre scorso e in pubblica consultazione fino al 19 ottobre affronta il tema della privacy nei social media sotto molteplici aspetti. L’obiettivo di questo articolo è fare luce sui ruoli privacy tra targeter e il fornitore del social media. In linea con le ulteriori Guidelines 7/2020 rilasciate contemporaneamente dall’EDPB sul concetto di titolari e di responsabili .

Preme osservare che l’importanza di identificare correttamente i ruoli e le responsabilità dei vari attori è stata recentemente evidenziata con le sentenze Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17) della Corte di giustizia dell’Unione europea (CGUE), entrambe riprese nelle linee guida. Nei suddetti provvedimenti viene evidenziato come l’interazione tra un targeter e il fornitore del social media può dare luogo a rapporti di contitolarità, secondo quanto previsto dal GDPR.

I diversi soggetti nel targeting dei social media

Prima di addentrarci sul tema è bene premettere che il targeting nei social è un’attività che in genere coinvolge quattro categorie di soggetti.

1) Da una parte abbiamo gli interessati, ossia gli utenti dei social media. Il termine “utente” è tipicamente usato per riferirsi a persone che sono registrate al servizio, cioè coloro che hanno un “account” o “profilo” social. Molti contenuti presenti nelle piattaforme, tuttavia, possono essere accessibili anche a soggetti non registrati nella piattaforma. Costoro, in genere, non sono in grado di utilizzare tutte le funzionalità e i servizi offerti utenti registrati. Tuttavia, nella misura in cui possono essere identificati o identificabili direttamente o indirettamente, tali soggetti possono pacificamente ritenersi quali interessati ai sensi dell’art. 4.1 GDPR.

2) Dalla parte opposta troviamo i fornitori di social media. Questi servizi sono generalmente offerti tramite browser web o app dedicate, generalmente dopo aver richiesto all’utente di fornire una serie di dati personali per costituire l’“account” o il “profilo dell’utente”. In questo modo, il fornitore di social media ha l’opportunità di raccogliere grandi quantità di dati personali, pure comportamentali, relativi alle interazioni degli utenti registrati e non. Pertanto, il fornitore ha la possibilità di ottenere informazioni considerevoli sulle caratteristiche socio-demografiche, sugli interessi e sulle preferenze di tutti coloro che interagiscono coi contenuti presenti nella piattaforma. L’EDPB sottolinea come i fornitori di social media raccolgano sempre più dati non solo dalle attività sulla piattaforma stessa ma anche dalle attività intraprese offline o tramite terzi, combinando e “arricchendo” i dati da più fonti, al fine di raffinare sempre più le informazioni disponibili su una determinata persona.

3) In mezzo a queste due categorie di soggetti operano i targeter (o inserzionisti). Con tale termine vengono designate quelle persone fisiche o giuridiche che utilizzano servizi di social media al fine di indirizzare messaggi specifici a un insieme di “utenti social”, sulla base di parametri o criteri specifici. Ciò che distingue i targeter dai comuni utenti dei social media è che i primi selezionano i loro messaggi e/o il pubblico a cui sono destinati tali messaggi in base alle caratteristiche, agli interessi o alle preferenze espresse dagli individui interessati (c.d. micro-targeting). È importante notare che gli utenti dei social media possono essere scelti come target in diversi modi. Potrebbe avvenire non solo attraverso la visualizzazione di annunci pubblicitari personalizzati ma chiaramente separati dal contesto (es. banner a schermo, pop-up, ecc.) bensì attraverso inserti nella “bacheca”, “sequenza temporale” o “storia” di un utente, in cui il contenuto pubblicitario viene visualizzato accanto a o insinuandosi nei predetti contenuti (cfr. il fenomeno del native advertising).

4) L’ultimo gruppo di soggetti è costituito dai fornitori di servizi di marketing, reti pubblicitarie, fornitori di gestione dei dati (DMP) e società di analisi dei dati. Questi player fanno parte del complesso ecosistema della pubblicità online (noto anche come adtech“) che raccoglie ed elabora i dati relativi alle persone (inclusi gli utenti dei social media), ad esempio, monitorando le loro attività su app e siti web.

In linea teorica, i ruoli data protection che si possono configurare in questo poker di soggetti sono i seguenti: titolare, (ex art. 4 n. 7 GDPR) che decide mezzi e finalità del trattamento; contitolare (sempre ex art. 4 n. 7 GDPR), che decide congiuntamente a uno o più differenti titolari i predetti mezzi e fini; responsabile (ex art. 4 n. 8 GDPR), che compie operazioni di trattamento per conto di uno o più titolari, limitandosi a rispettarne le istruzioni. Distinguerli non è sempre facile nel contesto dei social media e l’EDPB giunge a fornire un utile strumento di orientamento.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

social media targeting

Due sentenze comunitarie per scolpire i ruoli privacy

Le linee guidano sottolineano come sia importante tenere conto, oltre alle regole contenute nel GDPR, anche quanto emerge dalla giurisprudenza in materia. Le sentenze Wirtschaftsakademie (C-210/16), e Fashion ID (C-40/17) offrono spunti particolarmente interessanti sul tema, ripresi nelle Guidelines 8/2020.

Nella pronuncia Wirtschaftsakademie, la CGUE ha deciso che l’amministratore (cioè il targeter, nei ruoli sopra riportati) di una c.d. “fan page” su Facebook deve considerarsi partecipante alla determinazione delle finalità e dei mezzi del trattamento di dati personali. In una sola parola, è contitolare. Secondo le osservazioni presentate alla CGUE, la creazione di una fan page coinvolge la definizione dei parametri da parte dell’amministratore, tale da influire sul trattamento dei dati personali allo scopo di produrre statistiche basate sulle visite della pagina. Tramite i filtri messi a disposizione da Facebook, l’amministratore può definire i criteri in base ai quali devono essere redatte le statistiche, e anche designare le categorie di persone i cui dati personali devono essere utilizzati dalla piattaforma. L’EDPB in merito sottolinea che la titolarità (o contitolarità) si può configurare anche senza avere accesso ai dati personali (nel nostro esempio, il targeter riceve infatti solo le statistiche d’uso e non i dati dei singoli interessati che con il loro comportamento ne fanno parte). È sufficiente influenzarne il trattamento in una misura significativa. Certamente nel caso di specie Facebook ricopre un ruolo primario, sebbene non esclusivo.

Nella diversa sentenza Fashion ID la CGUE ha deciso che, per determinati trattamenti, il titolare di un sito web può essere considerato contitolare del trattamento con la piattaforma social quando ne incorpori un social plugin nel proprio sito web, facendo sì che il browser di un visitatore trasmetta i dati personali di questi al social media (nel caso di specie si tratta di Facebook, tramite il pulsante “Mi piace”). Il rapporto di contitolarità, tuttavia, è limitato all’operazione o all’insieme di operazioni rispetto alle quali entrambi i soggetti determinano congiuntamente le finalità e i mezzi. La CGUE ha ritenuto che i due soggetti siano in grado di determinare congiuntamente solo la finalità e i mezzi della raccolta ai fini della trasmissione dei dati personali dei visitatori del sito web al social network. Di conseguenza, si è sancito che il rapporto di contitolarità è limitato alla trasmissione dei dati dal sito web al social, non già alle operazioni successive o precedenti.

Oltre a ribadire quanto emerso nelle predette sentenze, l’EDPB effettua una distinzione di ruoli a seconda della fonte dei dati personali trattati e dei principi enucleati da tali pronunce. Possiamo distinguere:

  • dati forniti dall’utente al social media: il regime è di contitolarità, nei termini inquadrati dalla CGUE;
  • dati forniti dall’utente del social media al targeter: vi è titolarità autonoma del targeter al momento della raccolta dei dati, successivamente contitolarità (con il social media) dal momento della trasmissione dei dati fino alla comunicazione di annunci mirati;
  • dati derivanti dall’osservazione del comportamento dell’utente: anche qui si ribadisce la contitolarità ed più probabile ne derivi profilazione dell’utente;
  • inferenze basate sui dati forniti dall’utente: sempre di contitolarità si tratta e la profilazione è insita nell’attività inferenziale stessa, in genere.

Viene dunque escluso, in via di massima, che il social media possa fungere da responsabile (processor) del trattamento per conto del targeter, nei casi previsti, proprio per un loro costante ruolo attivo, in prima persona, nel trattamento dei dati. Mentre ben potranno rivestire tale ruolo i vari soggetti ricompresi nell’ambito adtech.

Il contratto tra contitolari del trattamento nel social media targeting

L’autorità che rappresenta i garanti europei si concentra su un altro aspetto fondamentale e che nella prassi viene spesso sottovalutato: l’art. 26.1 GDPR richiede ai contitolari del trattamento di determinare, in modo trasparente, mediante un accordo interno (un contratto) le rispettive responsabilità per il rispetto degli obblighi del GDPR, oltre a definirne il rispettivo perimetro di azione (importante in un regime di responsabilità solidale come questo). L’EDPB ritiene che l’accordo tra targeter e fornitori di social media dovrebbe comprendere tutte le operazioni di trattamento di cui sono contitolari. Al fine di sviluppare un accordo soddisfacente sotto il profilo privacy, entrambi i soggetti devono essere a conoscenza e disporre di informazioni sufficientemente dettagliate sulle specifiche operazioni di trattamento, pertanto tutte le informazioni necessarie per consentire a entrambe le parti di adempiere ai loro obblighi ai sensi del GDPR (incluso il loro dovere di rispettare i principi di cui e il loro dovere di dimostrare la loro conformità ai sensi dell’art.5 GDPR). Se, ad esempio, il titolare targeter sta valutando di fare affidamento sulla base giuridica dell’interesse legittimo sarà necessario, tra l’altro, conoscere l’entità del trattamento dei dati per poter valutare se l’interesse è prevalente sugli interessi o diritti e libertà fondamentali degli interessati. Senza sufficienti informazioni sul trattamento fornite dal social media utilizzato, tale valutazione non può essere eseguita e la situazione attuale ne soffre, data la discutibile trasparenza riscontrabile al momento tra i player del settore.

Al fine di garantire che i diritti dell’interessato possano essere conciliati in modo efficace, l’EDPB ritiene che la finalità del trattamento e la base giuridica corrispondente dovrebbero essere ben esplicitati nell’accordo. Sebbene il Regolamento non precluda ai contitolari di utilizzare basi legali diverse per le diverse operazioni di trattamento che svolgono, l’EDPB raccomanda di utilizzare – ove possibile – la stessa base giuridica per un particolare strumento di targeting e la corrispondente finalità. Se ogni fase del trattamento fosse trattata su una base giuridica diversa, si renderebbe difficilmente praticabile l’esercizio dei diritti per l’interessato (ad es. per una fase potrebbe valere il diritto alla portabilità dei dati, per un’altra il diritto di opposizione, ingenerando confusione e minor trasparenza verso l’utente).

In qualità di titolari del trattamento, il targeter e il fornitore di social media devono entrambi garantire il rispetto del principio di limitazione delle finalità e, pertanto, incorporare disposizioni adeguate a tal fine all’interno dell’accordo congiunto.

Altri obblighi che dovrebbero essere considerati dal targeter e dal fornitore di social media nel contesto del loro accordo congiunto includono: sicurezza del trattamento, rispetto dei principi di privacy by default e privacy by design, notifiche e comunicazioni di dati personali violazioni dei dati (data breach), valutazioni d’impatto sulla protezione dei dati (DPIA), utilizzo di responsabili del trattamento, trasferimenti di dati in Paesi extra-SEE (si veda l’attuale criticità verso le imprese USA a seguito della sentenza Schrems oltre al rispetto degli obblighi ex art. 5 GDPR. Infine, l’EDPB osserva come l’accordo congiunto tra il fornitore di social media e il targeter deve contenere informazioni specifiche su come gli obblighi previsti dal GDPR devono essere adempiuti nella pratica (in particolare, in relazione all’esercizio dei diritti degli interessati). Alla luce dei chiarimenti della CGUE e dell’EDPB, si comprende che questo accordo tra contitolari dovrà essere molto attento a definire i perimetri delle rispettive attività e il “chi fa – che cosa”. Non da ultimo il GDPR impone un obbligo di rendere disponibile – pur limitato ai suoi termini essenziali, diciamo “per estratto”, anche per ovviare a eventuali profili di riservatezza e know-how che potrebbero emergere dalla lettura del testo completo – il contratto in parola agli interessati. L’accordo stesso può disciplinare chi tra i contitolari si debba occupare di tale aspetto informativo in prima battuta, oltre a definire il come. Il social media è certamente nella posizione migliore per fungere da punto iniziale di contatto e informativo verso l’interessato (soprattutto pensando alla impostazione “take it or leave it” dei social media, accennata di seguito), ad es. mediante collegamento nell’informativa privacy.

social media targeting

Diversi livelli di responsabilità tra social media e targeter

L’EDPB precisa che i soggetti che desiderano utilizzare strumenti di targeting forniti dalla piattaforma social possono trovarsi di fronte alla necessità di aderire ad accordi predefiniti, senza alcuna possibilità di negoziare o apportare modifiche (condizioni ” take it or leave it). È tipico dei rapporti di massa con grossi player come i social media statunitensi: non è possibile per loro trattare i singoli accordi. Nel nostro ordinamento si possono inquadrare come condizioni generali di contratto sottoposte agli artt. 1341-1342 c.c.

L’EDPB ritiene che una tale situazione non annulli la responsabilità congiunta del fornitore di social media e del targeter, né che possa esentare nessuna delle parti dai propri obblighi ai sensi del GDPR. Entrambe le parti sono inoltre tenute a garantire che l’attribuzione delle responsabilità rifletta debitamente i rispettivi ruoli e rapporti nei confronti degli interessati in modo pratico, veritiero e trasparente.

Un accordo ai sensi dell’art. 26 GDPR non può prevalere sugli obblighi legali generali incombenti a ciascun titolare del trattamento. Sebbene i contitolari del trattamento “determinino le rispettive responsabilità per la conformità“, ciascun titolare del trattamento rimane, in linea di principio, responsabile per la conformità del trattamento a quanto previsto dal Regolamento, in particolare al principio di liceità stabilito all’art. 5 GDPR.

Tuttavia, il grado di responsabilità del targeter e del fornitore di social media può variare in relazione agli obblighi specifici nel caso concreto. Nella già citata sentenza Wirtschaftsakademie, la CGUE ha osservato che “l’esistenza di una responsabilità congiunta non implica necessariamente l’eguale responsabilità dei vari operatori coinvolti nel trattamento dei dati personali. […] Tali operatori possono essere coinvolti in diverse fasi del trattamento e in misura diversa, in modo che il livello di responsabilità di ciascuno debba essere valutato in relazione a tutte le circostanze rilevanti del caso particolare”.

Infine, l’EDPB rileva che l’accordo congiunto tra il fornitore di social media e il targeter non vincolano le autorità di controllo, le quali possono esercitare le loro competenze e poteri in relazione a ognuno dei contitolari del trattamento, sempre che l’autorità abbia la necessaria competenza territoriale. Vedi anche questo articolo.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

@RIPRODUZIONE RISERVATA
M
Andrea Michinelli
avvocato, CIPP/E, CIP/M, studio legale d’Ammassa & Partners
L
Gianmaria Le Metre
avvocato, studio legale d’Ammassa & Partners

Articolo 1 di 5