EDPB Guidelines on social media targeting

of Roberto Alma

in IT and New Technology Law Privacy
Share

La bozza di Linee Guida sul targeting degli utenti dei Social Media

Il contesto

Il 2 settembre 2020, l’European Data Protection Board (“EDPB”) ha pubblicato, in consultazione, la bozza di linee guida sulla targettizzazione degli utenti dei social network, che, ove definitivamente approvate, potrebbero incidere sensibilmente sulle modalità di esecuzione delle campagne di advertising sui social.

L’EDPB ha preso atto delle continue innovazioni nel settore della pubblicità all’interno delle piattaforme social e della sempre crescente accuratezza del targeting, vale a dire delle tecniche attraverso le quali gli inserzionisti sono posti in condizione di determinare in modo estremamente preciso il cluster degli utenti che visualizzeranno il post sponsorizzato. Ciò, ad avviso dell’EDPB, potrebbe causare a rischi per i diritti e le libertà delle persone fisiche, specialmente a causa della carenza di trasparenza e di controllo.

Lo scopo dichiarato delle Linee Guida è quello di fornire chiarimenti sulla corretta ripartizione delle responsabilità e degli oneri in tema di privacy tra inserzionisti e piattaforme, anche attraverso l’analisi di alcuni casi studio concernenti situazioni tipiche.

Quali sono i rischi per i diritti e le libertà delle persone fisiche?

Si è detto che il presupposto dell’intervento dell’EDPB è la convinzione che il targeting comporti rischi per i diritti e le libertà delle persone fisiche. Vediamo, in modo sintetico, quali sono state le considerazioni, al riguardo, dell’EDPB.

Elemento Valutazione
La targettizzazione si basa sull’aggregazione sia di dati pubblicati dall’utente interessato, sia di dati ottenuti da terze parti Si pone un problema evidente di trasparenza, in quanto i dati personali diffusi dall’utente verrebbero utilizzati per scopi non dichiarati e ben al di là della ragionevole aspettativa dell’utente medesimo. Inoltre, l’utente potrebbe avere la sensazione di essere sistematicamente monitorato e ciò potrebbe portare a fenomeni di auto-censura con evidenti ripercussioni sulla libertà di espressione.
L’utilizzo dei criteri di targettizzazione in relazione a specifici contenuti (come le offerte di lavoro) potrebbe dare luogo ad una minore visibilità dei suddetti post per gli utenti non rientranti nel cluster Ciò può comportare fenomeni di esclusione e/o discriminazione. Si pensi, ad esempio, all’utilizzo di criteri che impediscano la visualizzazione dell’annuncio da parte di utenti che abbiano determinati interessi (es. orientamenti politici, sessuali ecc.)
I meccanismi di targeting potrebbero veicolare agli utenti dei messaggi tesi a sfruttare o anche accentuare specifiche vulnerabilità (es. psicologiche) dei medesimi (es. propensione al gioco d’azzardo) Il rischio è quello della manipolazione degli utenti, mediante l’influenza esercitata sul comportamento e sulla facoltà di scelta dei medesimi (si pensi, ad esempio, in periodi di consultazioni elettorali)
Attraverso il targeting verrebbe deciso, in sostanza, che tipo di informazioni mostrare ed a quali utenti. Il rischio è quello della riduzione dell’accesso alle informazioni. Gli utenti potrebbero essere privati della possibilità di accedere a diverse fonti di informazioni su determinati argomenti.

Ruoli e responsabilità

L’EDPB, successivamente, si incentra nell’analisi dei soggetti coinvolti e sulla determinazione delle loro rispettive responsabilità in ambito privacy.

Soggetto Coinvolgimento
Social Media Provider Mette a disposizione la piattaforma social, determinando i relativi servizi e funzionalità. Ha la possibilità di raccogliere grandi quantità di dati personali ed altre informazioni dalle attività poste in essere dagli utenti. Basti pensare al like dell’utente ad un determinato contenuto: ciò consente alla piattaforma di dedurre una sorta di approvazione/interesse dell’utente per quel determinato contenuto.
Inserzionista Utilizza la piattaforma per veicolare i propri annunci. Attraverso le specifiche funzionalità messe a disposizione dal social media provider, gli inserzionisti sono posti in condizione di selezionare l’ambito soggettivo dei destinatari dei propri annunci, sulla base delle preferenze e/o delle caratteristiche stimate degli utenti potenzialmente interessati ai propri beni/servizi.

Ciò premesso, vengono richiamate le considerazioni espresse dalla Corte di Giustizia UE in due note pronunce:

  • Wirtschaftsakademie (C-210/16), in cui è stato affermato che l’amministratore di una pagina social può essere considerato un contitolare del trattamento, dal momento che, definendo i parametri della pagina, esercita una influenza nel successivo trattamento di dati personali posto in essere dalla piattaforma per la finalità di produrre statistiche (es. gli insight);
  • Fashion ID (C-40/17), in cui è stato affermato che l’installazione di un social plugin (come ad esempio il pulsante mi piace di Facebook) all’interno di un sito internet, comportando il trasferimento di dati personali del visitatore al social media provider (es. l’indirizzo IP) a prescindere dall’eventuale iscrizione del medesimo alla piattaforma, determina l’assunzione del ruolo di contitolare del trattamento in capo al gestore del sito, limitando però questa contitolarità alla raccolta e trasmissione dei dati, con esclusione delle successive attività poste in essere dal gestore del social network.

Alla luce della richiamata giurisprudenza della Corte di Giustizia, l’EDPB analizza una serie di ipotesi tipiche, fornendo chiarimenti sul corretto inquadramento giuridico dell’inserzionista.

Analisi dei casi tipici

Pubblicità targettizzata sulla base di informazioni rese pubbliche dall’utente al social media (es. età)

Contesto: In questo caso, l’EDPB considera l’ipotesi di un’impresa che vende calzature da uomo. L’impresa intende pubblicare un annuncio diretto agli uomini tra i 30 e i 45 anni, visualizzabile tra le ore 17 e le 20.

Considerazioni

Ruolo Base giuridica del trattamento
In questo caso studio, ad avviso dell’EDPB sussisterebbe una contitolarità del trattamento, in quanto entrambi parteciperebbero: - alla determinazione della finalità del trattamento, consistente nella visualizzazione dell’annuncio al cluster di destinatari così definito; - alla determinazione dei mezzi del trattamento, in quanto l’inserzionista sceglierebbe le specifiche funzioni messe a disposizione dal social media per stabilire i criteri per la visualizzazione dell’annuncio. In quanto contitolari, sia l’inserzionista, sia il social media devono dimostrare la sussistenza di una valida base giuridica del trattamento (art. 6 GDPR). Ad avviso dell’EDPB, vi sarebbero due possibilità: legittimo interesse o consenso. Con particolare riferimento al legittimo interesse, tuttavia, le parti dovrebbero valutare con estrema attenzione la sussistenza di tutte le condizioni di cui all’art. 6(1)(f) GDPR.

Pubblicità targettizzata sulla base di informazioni comunicate dall’utente all’inserzionista

Contesto: In questo caso, l’EDPB considera l’ipotesi di una banca che aveva autonomamente raccolto una lista di indirizzi email di potenziali clienti interessati ad ottenere un mutuo fondiario e decide di sfruttare le funzionalità del social media per incrociare la propria lista di contatti come le email in possesso di quest’ultimo e, così, determinare il cluster dei destinatari.

Considerazioni

Ruolo Base giuridica del trattamento
In questo caso studio, ad avviso dell’EDPB , l’istituto di credito agirebbe come titolare per quanto concerne la originaria raccolta dei dati, ma sussisterebbe, comunque, una contitolarità del trattamento, con riferimento al caricamento della lista dei contatti all’interno della piattaforma, al fine della successiva visualizzazione targettizzata dell’annuncio. In quanto contitolari, sia l’inserzionista, sia il social media devono dimostrare la sussistenza di una valida base giuridica del trattamento (art. 6 GDPR). Ad avviso dell’EDPB, tuttavia, in questo caso non vi sarebbero spazi per il legittimo interesse, in quanto l’utilizzo dei dati originariamente raccolti dalla banca travalicava le legittime aspettative degli interessati (che avevano fornito i dati per ottenere un mutuo fondiario e non avrebbero potuto aspettarsi che i suddetti dati potessero essere utilizzati nell’ambito di campagne social). In sostanza, in questo caso, l’istituto di credito avrebbe dovuto esplicitare la suddetta finalità all’interno dell’informativa resa al momento della prima raccolta dei dati.

Pubblicità targettizzata sulla base delle informazioni desunte dal comportamento degli utenti

Contesto: In questo caso, l’EDPB considera l’ipotesi del titolare di un sito e-commerce che utilizza il servizio Facebook Pixel per far visualizzare annunci aventi ad oggetto i propri prodotti agli utenti che abbiano visitato il proprio sito. Ciò avviene mediante l’installazione di uno specifico cookie tracciante sul dispositivo dell’utente.

Considerazioni

Ruolo Base giuridica del trattamento
Anche In questo caso studio, ad avviso dell’EDPB , sussiste la contitolarità, in quanto, il gestore del sito, decidendo di installare volontariamente sul proprio sito il tracking Pixel esercita una influenza rilevante sulla determinazione delle finalità e dei mezzi del trattamento. In questa ipotesi, l’installazione del tracking pixel sul dispositivo dell’utente, comporta l’applicazione della Direttiva ePrivacy. Per cui il gestore del sito e-commerce dovrà adottare il blocco preventivo del cookie tracciante, sino a quando l’utente non abbia dato il consenso al trattamento.

Contesto: un utente che si iscrive ad una piattaforma social e viene informato che, previo consenso, i propri dati personali potrebbero essere trattati per la visualizzazione di annunci personalizzati, anche sulla base delle attività effettuate su siti esterni, tramite l’utilizzo di cookie o altre tipologie di plugin. L’utente fornisce il proprio consenso. Successivamente, all’interno di un sito terzo, l’utente visualizza un banner ove gli si richiede il consenso alla trasmissione dei dati alla piattaforma social per la visualizzazione di annunci personalizzati. Fino alla prestazione del consenso, nessuna attività viene compiuta.

Considerazioni

Ruolo Base giuridica del trattamento
Viene riconosciuta la contitolarità sulla base delle medesime considerazioni immediatamente sopra espresse. Dato per assodato il rispetto della Direttiva ePrivacy, l’EDPB si incentra sulla esigenza di trasparenza. Nei casi in cui il consenso viene raccolto da un contitolare, ma altri contitolari ne potranno beneficiare o quando i dati devono essere trasferiti a o trattati da altri contitolari, tutti questi ultimi devono essere preventivamente identificati e comunicati all’interessato nell’informativa resa dal primo contitolare. Ove ciò non sia possibile, sarà onere del secondo contitolare integrare l’informativa dell’altro, dando le suddette informazioni al momento dell’accesso dell’utente sul proprio sito. Permane la questione della identificazione della base giuridica. In questo, come nel precedente caso, non potrà essere utilizzata quella costituita dal legittimo interesse (cfr. WP 29, Opinion on profiling and automated decision making).

Pubblicità targettizzata sulla base delle informazioni desunte da altre fonti

Contesto: un utente risulta essere particolarmente interessato allo sport, avendolo dichiarato come interesse nella propria pagina profilo, avendo impostato come pagina di default del proprio browser un sito che visualizza risultati di incontri sportivi. Il social media provider, monitorando l’attività dell’utente, ne desume che possa essere interessato anche alle scommesse sportive. L’inserzionista intende pubblicare degli annunci personalizzati per gli utenti interessati alle scommesse sportive.

Considerazioni

Ruolo Base giuridica del trattamento
Viene riconosciuta la contitolarità sia per quanto attiene la selezione dei criteri di personalizzazione, la successiva visualizzazione degli annunci e la produzione di report analitici. In questa ipotesi, si utilizza esplicitamente il termine profilazione. Ciò, in quanto l’interesse in merito alle scommesse sportive è desunto attraverso una valutazione di altri dati e/o informazioni (come già affermato dal WP29). Ciò detto, la base giuridica più adatta è costituita dal consenso preventivo dell’interessato.

Conseguenze per gli inserzionisti

Dalla ricostruzione operata dall’EDPB, per quanto ancora in bozza, emerge un quadro teso ad affermare la contitolarità del trattamento tra inserzionista e social media provider nella quasi totalità delle ipotesi.

Cosa comporta per gli inserzionisti?

  1. In primo luogo, la necessità di una maggiore trasparenza. Gli utenti devono essere informati chiaramente su quali operazioni di trattamento verranno eseguite. L’utilizzo del termine generico finalità di marketing non sembra essere ritenuto sufficiente. Gli interessati devono essere messi a conoscenza dell’eventuale analisi dei propri dati per la realizzazione di un profilo sul sito del social media o dell’inserzionista.
  2. La necessità della stipulazione di un accordo specifico tra social media e inserzionista, ai sensi dell’art. 26 GDPR. Non può trattarsi di un accordo contenente informazioni di carattere generico, ma deve disciplinare, in concreto e nel merito, la ripartizione delle responsabilità in merito alle singole operazioni in cui si concretizza il trattamento e, soprattutto, le misure di sicurezza adottate da ciascuna parte per assicurare che il trattamento si svolga in conformità con la normativa. Per tornare all’esempio dell’istituto di credito, sopra esaminato, l’accordo deve disciplinare le modalità con cui il social media garantirà che la lista di contatti caricata dalla banca non sarà utilizzata per finalità ulteriori rispetto a quella della visualizzazione dell’annuncio personalizzato (salvo separato valido consenso dell’interessato). Il contenuto essenziale di questo accordo dovrà, inoltre, essere messo a disposizione degli interessati.
  3. L’attenta valutazione della necessità di condurre un Data Protection Impact Assessment (DPIA). La valutazione dovrà essere effettuata, sia dal social media provider, sia dall’inserzionista, sulla base delle applicabili linee guida nazionali. Ad avviso dell’EDPB, potrebbe essere necessaria la DPIA nel caso di pubblicità personalizzata diretta a soggetti vulnerabili, o nel caso di una campagna particolarmente intrusiva. L’accordo ex art. 26 GDPR potrebbe delegare l’onere di esecuzione della DPIA ad una delle parti, ferma restando la responsabilità in capo a ciascuna parte.

Considerazioni finali

Da quanto sopra esposto emerge chiaramente un approccio molto rigido dell’EDPB in merito alla pubblicità personalizzata sui social. Qualora le linee guida dovessero essere confermate, ci saranno nuovi pesanti oneri per le piattaforme social, ma anche per gli stessi inserzionisti.

Occorrerà rivedere le informative sul trattamento dei dati personali, per verificare che contengano tutte le informazioni specifiche in merito alle modalità dell’esecuzione della personalizzazione degli annunci pubblicitari. Sarà necessario verificare il puntuale rispetto della Direttiva ePrivacy per tutto quanto attiene l’installazione di cookie traccianti.

La questione più spinosa, in ogni caso, resterà quella della stipulazione dell’accordo ex art. 26 GDPR con le piattaforme social. Ragionevole attendersi l’utilizzo di formulari e moduli preimpostati (con eventuali variazioni a seconda del tipo di campagna) ma che, come spesso accade, non è detto che soddisfino i rigidi parametri richiesti dall’EDPB.

Non resta, quindi, che attendere l’esito delle consultazioni e il testo definitivo delle linee guida, fermo restando che quanto sopra esposto è, comunque, indicativo di quello che potrebbe essere la tendenza dell’applicazione del GDPR a queste ipotesi.

Authors

Roberto Alma

Founder

roberto.alma@kbl-law.com

Tags

Social Media Targeting Digital Marketing Privacy