Linee guida privacy EDPB: targeting dei social media user e feedback ricevuti



Le linee guida EDPB (European Data Protection Board) nell’ambito del targeting dei social media user, nascono dalla necessità, sempre più forte, di disciplinare, e ancor prima definire, le regole per la “targhettizzazione” degli utenti dei social media. Con social media si intendono “le piattaforme online che consentono lo sviluppo di reti e comunità di utenti, tra le quali vengono condivise informazioni e contenuti”. La targhettizzazione tramite i social media non è realizzata mediante una “semplice” selezione di soggetti destinatari di una specifica comunicazione, ma è il frutto di un processo più complesso. Questo processo presuppone un’analisi di dati e informazioni provenienti da più fonti e che può avere degli impatti molto forti sui diritti e sulle libertà delle persone. Dalla mancanza di trasparenza e perdita di controllo per l’utente, fino all’utilizzo di dati contro o al di là delle ragionevoli aspettative dello stesso, passando per possibili effetti discriminatori ed esclusivi e restrizioni delle informazioni percepibili dall’utente o al contrario ricezione di una pluralità di informazioni divergenti che rendono impossibile capire e/o fare una scelta. Nell’ambito della tutela dei dati personali, l’intervento dell’EDPB nel definire le posizioni dei targeters e dei social media providers è stato conseguente anche alle pronunce della Corte di Giustizia dell’Unione Europea nelle cause Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) e Fashion ID (C-40/17) e dalle quali chiaramente è stato ispirato. Come per le altre Guidelines, anche in questo caso il Comitato utilizza differenti esempi per meglio inquadrare le possibili situazioni e le conseguenti posizioni degli attori coinvolti.

Gli attori coinvolti ed i differenti meccanismi di targeting

I due principali protagonisti di questo documento sono i social media providers, definiti come “i fornitori di social media che offrono un servizio online che consente la creazione di reti e comunità per la condivisione di informazioni” e i targeters, definiti come “le persone fisiche o giuridiche che utilizzano i servizi dei social media per indirizzare messaggi specifici a un insieme di utenti, selezionando il pubblico in base alle caratteristiche, interessi o preferenze degli individui interessati”.Gli interessati in questo caso sono gli utenti, registrati o meno, che hanno accesso al social media.Tre sono i possibili meccanismi di targeting individuati:
  1. Targeting basato sui dati forniti direttamente dall’interessato ai providers o ai targeters.
  2. Targeting basato sui dati rilevati dall’utilizzo di un servizio o device, quali le attività compiute dall’utente sulla piattaforma del social media, così come le informazioni provenienti da siti web terzi contenenti plugin.
  3. Targeting basato su dati creati dal Titolare del trattamento e connessi con dati forniti dall’utente o osservati dal Titolare. Ad esempio l’interesse dell’utente per un prodotto desunto dal suo comportamento di navigazione.

Posizione privacy delle parti e basi giuridiche applicabili

In tema di ruoli privacy l’EDPB evidenzia un rapporto di co-titolarità tra targeters e social media providers precisando che ciò si verifica se e quando targeters e social media providers individuano i mezzi e le finalità del trattamento. Tale co-titolarità non è certo esclusa se i targeters non hanno accesso ai dati personali degli utenti. Allo stesso modo viene chiarito che la co-titolarità non implica necessariamente uno stesso livello di responsabilità nel processo, in quanto ciascun soggetto può essere coinvolto in fasi e misure diverse. In caso di co-titolarità spetterà quindi alle parti sia definire il contenuto dell’accordo – che in modo chiaro dovrà individuare obblighi e responsabilità come previsto del Regolamento privacy UE 2016/679 – sia verificare congiuntamente se sussistono le condizioni per l’effettuazione di una DPIA (Data Protection Impact Assessment). La chiarezza e la trasparenza sono due condizioni fondamentali anche in termini di possibilità per gli utenti di conoscere i loro diritti e poterli azionare. Per quanto riguarda invece le basi giuridiche utilizzabili, queste possono essere o il legittimo interesse o il consenso. Il legittimo interesse, oltre che in presenza delle condizioni indicate anche nella sentenza Fashion ID, può essere utilizzato anche quando sussistono le condizioni previste dall’art.13 par.2 della Direttiva ePrivacy, ossia attività di soft spam. Relativamente al consenso invece, la linea guida evidenzia essere l’unica base applicabile per quelle attività in cui vi è una profilazione e/o un’attività di monitoraggio dell’utente attraverso più siti o dispositivi, un processo decisionale automatizzato o se il tracciamento viene effettuato attraverso i cookie. Il documento evidenzia poi che, poiché il trattamento, per essere valido, deve essere posto in essere solo dopo aver ottenuto il consenso, spetta al co-titolare che per primo è coinvolto nel processo a richiedere il consenso e se gli altri vorranno affidarsi allo stesso consenso, devono essere indicati.

Commenti pervenuti durante il periodo di consultazione

Dai feedback ufficiali pervenuti all’EDPB e presenti sul sito dello stesso Comitato, quanto sotto è ciò che emerge. I differenti soggetti interessati da questa linea guida, se da una parte hanno mostrato soddisfazione nel vedere in qualche modo più chiaramente definito il ruolo dei vari attori, così come il “risk-based approach” adottato dall’EDPB, dall’altro hanno sollevato alcuni dubbi e perplessità. Nello specifico:
  • Alcuni attori hanno evidenziato che tali linee guida partono dal presupposto che i targeters hanno pieno controllo delle proprie attività sulle piattaforme dei social media. Essendo invece la realtà in parte differente, poiché grosse piattaforme globali di social media raccolgono più dati rispetto a quelli indicati nel rapporto contrattuale con il targeter, le stesse linee guida dovrebbero indicare che le piattaforme non hanno alcun diritto di fare questa raccolta ulteriore.
  • Altri attori, evidenziando ancora il maggior potere delle piattaforme, hanno portato all’attenzione del Comitato la necessità che lo stesso si concentri maggiormente su di loro, per evitare ad esempio atteggiamenti dei social media providers volti a spingere, anche indirettamente, i targeters all’implementazione di tool poco compatibili con la normativa in materia di protezione dei dati.
  • Altri ancora entrano più nel dettaglio del testo precisando ad esempio che la possibilità, indicata nelle linee guida, secondo cui il consenso ottenuto dalla piattaforma social può essere utilizzato anche per legittimare gli altri co-titolari, a condizione che gli stessi siano stati nominati, risulta praticamente impossibile da porre in essere, se non indicando gli stessi semplicemente tramite categorie di appartenenza.
  • Alcuni evidenziano poi il fatto che il documento non ha preso effettivamente in considerazione una pratica molto diffusa, ossia quella denominata di “lookalike advertising” e della posizione di targeters e social media providers in questo caso, considerato che tale tipo di pubblicità può essere fatta sia mediante i dati forniti a quest’ultimo sia mediante dati osservati e comporta necessariamente un’attività di profilazione.
  • Altri ancora osservano proprio la posizione di co-titolarità per la quale viene evidenziata la necessità di procedere con un’analisi caso per caso in quanto gli esempi inseriti nelle linea guida non fotografano completamente tutte le situazioni che nella realtà dei fatti vi sono. Qualora poi dovesse esservi effettivamente un rapporto di questo tipo, viene consigliato al Comitato di valutare l’idea di un modello di accordo di co-titolarità da mettere a disposizione e ciò al fine di tutelare maggiormente la parte più debole del rapporto provider-targeter.
  • Infine viene evidenziato da qualcuno lo scarso periodo di tempo riconosciuto per fare osservazioni a tale documento, e da altri l’importanza che il Comitato fornisca anche un periodo di tempo sufficiente per permettere ai soggetti coinvolti di poter dare attuazione alle stesse.

Conclusione

Se da una parte le numerose osservazioni evidenziano non solo quanto lavoro bisognerebbe continuare a fare – e si farà – ma anche quanto ancora c’è da conoscere all’interno di questa realtà tanto simile ad una matrioska, dall’altra evidenziano la volontà di lavorare insieme per creare una prima vera strada da seguire, che partendo dalle pronunce della Corte di Giustizia dell’Unione Europea, arrivi a spiegare in modo chiaro come tutelare i dati personali degli interessati, dalla cui analisi dipende lo sviluppo e la fortuna di molte attività. Articolo a cura di Avv. Alessia Peverelli | Legal Compliance Officer, Labor Project
Se ti è piaciuto l'articolo condividi: