Parliamo di attività di targeting. A fine 2020 sono state adottate le Linee Guida dell’EDPB (European Data Protection Board) in materia di Social Media Targeting, che sono interessanti ma introducono anche un argomento piuttosto insidioso: il concetto della cotitolarità tra il social media e l'azienda o il fornitore di servizi marketing. È un argomento insidioso proprio perché è difficile stipulare nella pratica e nella concretezza accordi di cotitolarità.
In ogni caso, l’obiettivo principale delle linee guida è chiarire quali sono i ruoli e le responsabilità tra il fornitore dei social media e i targeters, per darci:
• un quadro più trasparente di quali sono i ruoli e le responsabilità di alcuni soggetti,
• delle definizioni di chi sono gli utenti, i targeter e i social media
e nello stesso tempo elencare i rischi per i diritti e le libertà dell'individuo, nel caso in cui si iniziasse un'attività di targeting all'interno dell'azienda e l'importanza di svolgere alcune attività come, per esempio, la DPIA.
Da dove si è partiti per fissare le linee guida? Dalla giurisprudenza
Si è partiti dalla giurisprudenza e anche le stesse Linee Guida dell’EDPB ne parlano, citando le sentenze della Corte di Giustizia dell’Unione europea.
È un aspetto importante perché, nella mia esperienza personale, questi social media, che hanno un'origine americana, sono attentissimi a modellare i propri servizi a seconda di quelle che sono le giurisprudenze della Corte di Giustizia europea. Per cui danno molta importanza sia a tutti i casi che hanno in pending davanti alla Corte di Giustizia europea sia ai contenuti di queste sentenze.
All'interno delle linee guida si riprendono due sentenze importanti che chiariscono i rapporti tra i fornitori online e i targeters: Wirtschaftsakademie e Fashion ID.
Sono importanti perché ampliano il concetto di cotitolarità, lo rafforzano in qualche modo. Ma la cotitolarità va analizzata nel concreto e soprattutto è importante individuare in modo corretto quelle che sono le operazioni di trattamento di dati personali che i due soggetti, in modo congiunto, portano avanti e sviluppano nell'attività di targeting.
Cotitolarità fra targeter e social
Nella sentenza Fashion ID, in particolare, la Corte ha chiarito che un operatore di un sito internet, che installa eventuali pixel sui siti internet, può essere considerato cotitolare con Facebook quando incorpora sul sito un social plugin e di conseguenza ha riconosciuto che l'amministratore di una fanpage fosse un titolare congiunto del trattamento dei dati con Facebook. Perché l'amministratore, in qualche modo, contribuisce a determinare le finalità e gli strumenti del trattamento di dati personali.
Ora, quando andiamo ad analizzare una cotitolarità ricordiamoci sempre, in modo pratico, di andare a determinare le finalità e i mezzi del trattamento e di verificare che questi siano svolti in modo congiunto.
La Fashion ID è una sentenza di qualche anno fa (2018) e ha fatto sì che Facebook si adeguasse in qualche modo. Perché, se andiamo a leggere i termini e le condizioni del servizio di Facebook, si fa riferimento, comunque, alla titolarità congiunta.
In quali operazioni di trattamento sono coinvolti i due titolari?
Secondo la giurisprudenza, bisogna verificare qual è effettivamente l'operazione di trattamento in cui due titolari sono coinvolti. Il trattamento di dati personali, infatti, riguarda diverse fasi. Quindi non è detto che la cotitolarità coinvolga l'intera fase del trattamento del dato personale, potrebbe riguardare anche solo una fase specifica. E le Linee Guida 8/2020 analizzano varie casistiche.
Secondo la sentenza della Corte di Giustizia europea, se c’è l'impossibilità per un soggetto di accedere ai dati personali non significa che non vi sia trattamento perché, se c'è un coinvolgimento in qualche modo e quindi un'agevolazione nel creare una certa attività - ad esempio di targeting -, si può parlare di cotitolarità.
Voglio sottolineare però quanto le Linee Guida ci vogliono indicare rispetto a una titolarità congiunta: l'esistenza di una responsabilità congiunta non implica necessariamente la parità di responsabilità. E questo è uno dei principi che noi dovremmo tenere in considerazione nel momento in cui andiamo a leggerle.
Nello stesso tempo, è importante tenere in considerazione che gli operatori possono essere coinvolti in diverse fasi ma in gradi diversi, con livelli diversi di responsabilità ed essere ritenuti comunque cotitolari per una determinata fase di trattamento ma non per altre.
Le Linee Guida poi ci parlano anche dell’attività di targeting.
Cos'è l'attività di targeting?
È un processo che, tramite delle analisi, ci consente di selezionare dati personali che si riferiscono a individui e gruppi di utenti, e che allo stesso tempo coinvolge un intero processo. Significa che l'attività di targeting è un processo che mira a influenzare le scelte dei consumatori e si traduce nella consegna di messaggi specifici a individui - per esempio pensiamo alle inserzioni sponsorizzate di Facebook che troviamo su Instagram - che sono iscritti ai social media. Per cui, l'attività di targeting non è altro che l'analisi e la selezione di dati personali, affinché si possano inviare dei messaggi sponsorizzati specifici personalizzati. Ed è un'attività che secondo il Data Protection Board è rischiosa, perché può limitare le libertà individuali degli utenti.
Allo stesso tempo, un altro concetto chiave delle Linee Guida, riguarda i criteri di targeting, soprattutto quando il social media - e di conseguenza il targeter, cioè l'azienda - condivide questi criteri. I criteri di targeting sono sviluppati insieme e quindi si parlerà di una cotitolarità.
Ma i criteri di targeting, secondo le linee guida, sono sviluppati sulla base di dati personali che sono o forniti dall'utente o sono osservati o sono dedotti.
Allora, quando ho letto le linee guida, la prima domanda che mi sono posta è quale fosse veramente l'obiettivo sotteso a questo documento e come si potesse utilizzare nella pratica.
Alcune nozioni sono quasi scontate - ne abbiamo già parlato, per esempio, nell’articolo su GDPR e Social media in pillole - però, dall'altra parte, è molto interessante perché le Linee Guida dell’EDPB ci permettono di iniziare a ragionare sull'attività di targeting e sulle diverse attività di targeting, e soprattutto sono un utile strumento per i social media stessi che possono adeguarsi al GDPR e analizzare eventuali cotitolarità con le aziende che fanno marketing.
Il rischi dell’attività di targeting vanno valutati ex ante
Un secondo aspetto che il documento mette in luce è che l'attività di targeting comporta dei rischi che devono essere valutati ex ante dai consulenti e dai DPO, nel momento in cui l'azienda che assistono decide di intraprendere delle attività mirate pubblicitarie online.
Perché molto spesso l'attività di targeting potrebbe limitare, ad esempio, l'opinione di un utente, influenzare un acquisto, avere degli effetti discriminatori e quindi il messaggio - il contenuto che viene indirizzato verso l'utente - potrebbe essere considerato poco trasparente. E come consulenti dovremo obbligatoriamente condurre una DPIA.
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Condividi
Biografia dell'autore
PARTNER BD LEGAL - STUDIO LEGALE
Studi: Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”. Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”. Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma. Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.
Attività Professionale: Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea. Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.
Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.
È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.
Articoli correlati
Se hai trovato questo articolo interessante puoi dare un'occhiata a: