Tempo di lettura stimato: 6'
Il rapporto tra inserzionisti e fornitori dei social è un argomento sempre più incandescente e infatti ne abbiamo parlato spesso con i docenti della Raise, l'Accademia di Formazione Efficace di PrivacyLab, l’abbiamo visto al PRIVACYLABDAY 2021 e l’abbiamo già trattato diverse volte anche qui sul blog. Insomma, abbiamo già visto qual è l’impatto che i Social Network – in tutte le loro salse: Facebook, Google, MailChimp, E-commerce … - hanno sui dati personali.
Bene. C’è una novità. Da aprile 2021 le Linee Guida per il trattamento dei dati personali nel targeting effettuato tramite social media (n. 8/2020) emanate dallo European Data Protection Board (EDPB) sono diventate ufficiali.
Quindi?
Quindi, l’EDPB ha reso ufficiale che Facebook, Microsoft, Google eccetera eccetera sono contitolari del trattamento con gli inserzionisti, cioè le aziende che investono in pubblicità su queste piattaforme, da Peppino il panettiere che fa pubblicità per trovare clienti nel quartiere, fino alla grande multinazionale.
Adesso vediamo nel dettaglio la cosa, ma prima un chiarimento.
Le Linee Guida dell’EDPB riguardano solo i rapporti tra:
- gli utenti che si registrano al social: Antonio, Giulia, Aziz che creano il loro profilo personale;
- i fornitori dei social: Facebook, Microsoft, Google e così via;
- gli inserzionisti: Peppino il panettiere, l’azienda X, l’azienda Y, il professionista Z eccetera eccetera.
Social e trattamento dei dati personali: cosa ci dicono le Linee Guida dell’EDPB?
Ci dicono fondamentalmente che, rispetto alle finalità del trattamento, quando le inserzioni riguardano il display advertising mirato, il fornitore del social e l’inserzionista sono contitolari al trattamento.
Cosa vuol dire display advertising mirato?
Vuol dire che l’inserzionista fa vedere un annuncio, per esempio su Facebook, a un insieme di utenti che hanno certe caratteristiche.
Quindi, la Peppino e Figli srl – che produce e vende biancheria intima femminile e che ha due o tre negozi in provincia di Reggio Emilia – è contitolare al trattamento con Facebook, se pubblica un’inserzione in cui lancia, per esempio, una linea di lingerie tutta pitonata, leopardata, pensata e progettata per le donne over 60 single che cercano marito e sceglie di mostrare l’annuncio a tutte le signore dai 60 anni in su, non sposate e che vivono a Reggio Emilia e dintorni.
Perché questo? Perché, secondo l’EDPB, sia Facebook che la Peppino e Figli srl hanno un vantaggio reciproco nel fare questo trattamento e quindi le loro finalità sono legate. Mica solo. L’EDPB ci dice anche che la targetizzazione – che i social hanno creato partendo dai dati personali degli utenti che si sono iscritti - può servire all’inserzionista anche in futuro. Quindi, secondo il Board, il grande carrier che fornisce il servizio social, in rapporto all’inserzionista, non può essere considerato un responsabile esterno, perché non tratta i dati per conto degli inserzionisti e seguendo le loro istruzioni, ma è un titolare vero e proprio che agisce in contitolarità con chi investe in pubblicità sulla sua piattaforma.
E quindi, dato che tra fornitore del social e inserzionista c’è un rapporto di contitolarità – sempre secondo l’EDPB - ciascun titolare deve garantire che i dati non siano usati per altre finalità, diverse da quelle indicate per raccoglierli. Se uno dei due vuole farlo, deve dare all’altro contitolare i mezzi per provare che c’è una base giuridica e che gli interessati sono stati informati.
Secondo l’EDPB la contitolarità inizia quando inizia la pubblicità
Nelle sue Linee Guida, l’EDPB ci dice anche quando inizia la contitolarità tra fornitore del social e inserzionista.
Non inizia quando la Peppino e Figli srl studia la campagna di marketing per vendere lingerie leopardata alle sessantenni in cerca di marito. Inizia quando usa il social come mezzo per pubblicizzare il suo prodotto e dura per tutta la visualizzazione della pubblicità e fino alla reportistica, o fino alla cancellazione dei dati.
In più, il Board specifica che la responsabilità dei contitolari dipende dal tipo di attività che viene fatta. Quindi, saranno soprattutto i Facebook, i Google, i Microsoft e così via ad avere un grado maggiore di responsabilità e a doversi adeguare alle novità introdotte dalle Linee Guida, indicando negli accordi con gli inserzionisti che il loro è un rapporto di contitolarità.
E gli inserzionisti?
Devono innanzitutto aggiornare le loro informative e la base di trattamento dei dati, perché adesso sono contitolari, non si scappa.
Io però non sono completamente d’accordo.
Quella dell’EDPB per me è un’interpretazione forzosa del concetto di contitolarità.
Ti dico la mia: secondo me questa è un’interpretazione forzata della contitolarità
Prima di dirti perché per me è una forzatura, facciamo un ripassino.
Ripassiamo il concetto di cotitolarità o contitolarità, chiamala come più ti aggrada. I riferimenti normativi sono nell'articolo 26 del GDPR e nel considerando 79. Vediamo cosa ci chiede la legge, quali sono le regole del gioco.
Il Regolamento dice che c’è contitolarità quando 2 o più titolari del trattamento decidono insieme:
1 - quali dati trattare,
2 - per quali finalità devono essere trattati,
3 - con quali mezzi trattarli.
Quindi, perché si possa parlare di contitolarità, queste 3 cose ci devono essere contemporaneamente.
Io posso dire che sto facendo un trattamento in contitolarità con un altro titolare, quando insieme abbiamo deciso quali dati trattare, perché trattarli - deve essere la stessa finalità per tutti e 2, quindi il fatto di trattare gli stessi dati con finalità diverse NON è una contitolarità! – e quali mezzi usare. Ma deve essere una scelta condivisa.
Se queste 3 condizioni non sussistono, non possiamo parlare di contitolarità. È molto semplice: stessi dati, stesse finalità e insieme abbiamo deciso quali mezzi.
Quindi il rapporto di forza nella scelta dei mezzi e delle finalità deve essere uguale.
Vuol dire che:
- Non posso essere contitolare se sono controllato da un'azienda che mi sta sopra e lei decide con quali mezzi, e io non posso dire la mia, perché sono parte debole.
- Se usiamo i dati per finalità differenti, non possiamo essere contitolari.
- Se non ho la possibilità di decidere sul mezzo, sullo strumento usato per gestire i dati, non siamo contitolari.
Mentre un responsabile del trattamento può anche dirmi "Io non sono d'accordo", ma rimane responsabile.
Nell'accordo di contitolarità vi è certezza che se uno dei 2 non è d'accordo, non sono contitolari. Perché c'è anche la parte contrattuale, da sottoscrivere insieme.
Questo è il quadro.
Io uso sempre una figura retorica per spiegare la contitolarità, legata al mondo del porno.
La mia metafora per spiegare la contitolarità
Nel mondo del porno, la contitolarità c'è quando due persone accedono allo stesso "strumento femminile" contemporaneamente. Per fare questa attività, sempre nella metafora, bisogna avere una "partnership profonda". Non posso andare avanti come voglio io, perché dobbiamo farlo insieme con l'altro. La metafora e le altre differenze le trovi nel mio articolo su titolare, responsabile e addetto.
Partnership è la parola giusta e corretta per spiegare il rapporto alla base della contitolarità.
Poi arriva l'EDPB che parlando di Social Media spara una bordata di portata gigante.
Dove la ratio era rendere consapevoli quelli che usano i Social Media per business del fatto che anche loro sono titolari del trattamento, ma parlando di contitolarità hanno disatteso l'incipit dell'articolo 26.
Possono dire quello che vogliono, ma per me non è così. Perché, fermo restando che abbiamo le stesse finalità - e anche su questo potremmo discuterne - io che investo su Facebook, per esempio, non posso scegliere il mezzo, non posso condividere in maniera congiunta i modi e le strutture del mezzo.
Quindi, che contitolari siamo?
Non lo siamo. Siamo titolari autonomi.
Se la ratio era giusta - quella di rendere nella testa di chi fa advertising che se utilizza delle informazioni sui Social Media, deve stare attento che è sicuramente titolare - forse era meglio definire che è un titolare autonomo, non dire che è contitolare.
Qui hanno pestato sicuramente qualcosa. Ogni tanto capita anche a loro.
Dal punto di vista della legge, l'articolo 26 è quello che fa fede, quindi possono dire quel che vogliono, ma ricordiamoci che se siamo contitolari dobbiamo rendere l'informativa congiunta e quindi...ce la vedi la Peppino e Figli srl a redigere l’informativa congiunta con Facebook?
Un approfondimento sulla Raise
Su questo tema ho chiesto all’Avvocato Francesca Bassa di tenere un corso su Raise Academy: Social Media Marketing: le linee guida 8/2020
Se vuoi approfondire questo e altri aspetti, trovi la formazione completa e aggiornata su GDPR, privacy e cybersecurity su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.