Dopo aver ricevuto varie sollecitazioni da parte degli utenti e dei professionisti del targeting online, la CNIL (Commission Nationale de l’Informatique et des Libertés, l’equivalente francese del nostro Garante privacy) ha elaborato un piano d’azione per l’anno 2019-20 al fine di fornire delle linee guida sulle norme pubblicitarie applicabili e supportare le parti interessate nel processo di adeguamento.
La pubblicità online rappresenta una delle maggiori preoccupazioni per le Autorità Garanti Europee, chiamate a trovare un equilibrio tra le opposte esigenze delle parti, che vedono da un lato l’interesse dell’utente alla tutela della propria sfera riservata e dall’altro l’esigenza delle aziende di sfruttare le potenzialità offerte dai nuovi scenari di e-business.
Indice degli argomenti
Il mondo della pubblicità e del targeting online
La pubblicità online rappresenta una risorsa molto importante per le aziende e, negli ultimi anni, gli investimenti in questo settore sono aumentati in maniera esponenziale.
A differenza dei tradizionali modelli, la pubblicità veicolata in rete consente di raggiungere un pubblico ampio a costi contenuti e crea soluzioni mirate per la soddisfazione dei bisogni, espressi dagli utenti attraverso le ricerche che disseminano nel web.
Per raggiungere l’utente “nel momento del bisogno”, sono utilizzati dei sistemi di tracciamento – tra cui i cosiddetti cookie di profilazione, piccoli file di testo che vengono installati nel browser dell’utente quando visita un sito web o utilizza un social network – in grado di monitorare e profilare il visitatore web attraverso la raccolta e lo studio delle abitudini di consumo, delle consultazioni, dei clic rilasciati e delle preferenze espresse durante la navigazione.
Questo particolare tipo di strategia marketing, prende il nome di Behavioural Targeting o di pubblicità comportamentale o, più semplicemente, di Targeting Online (dall’inglese: “prendere di mira, colpire”).
Gli interessi dedotti attraverso i sistemi di tracciamento si traducono in banner, popup, suggerimenti pubblicitari e link relativi alle ultime ricerche effettuate in rete o all’ultimo acquisto online, e che l’utente vede comparire nei successivi accessi al web.
L’elevato grado di invasività e di pervasività delle nuove tecniche pubblicitarie online – che puntano ad anticipare i bisogni e a generare nuovi interessi, in un gioco che finisce per compromettere la libera scelta del consumatore – desta non poche perplessità per la privacy degli utenti, soprattutto in relazione alle modalità di acquisizione dei consensi per l’utilizzo dei cookie, i sistemi sottesi alle strategie di targeting online.
Direttiva e-privacy, norme nazionali sui cookie e gestione consensi
Il settore del marketing online è soggetto alla disciplina dettata dal GDPR e ai regolamenti nazionali che recepiscono la direttiva 2002/58/CE (cosiddetta “Direttiva e-privacy”) relativa alla tutela dei dati personali e della privacy nelle comunicazioni elettroniche.
La Direttiva e-privacy, pur non affrontando specificatamente il settore del marketing online, abbraccia trattamenti quali la raccolta e la conservazione delle informazioni degli utenti effettuate mediante l’utilizzo di cookie (e altri sistemi di tracciamento) e il conseguente invio di comunicazioni commerciali.
In Italia è stata recepita dall’Autorità Garante attraverso il provvedimento dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, tutt’ora in vigore.
Il provvedimento ha stabilito che ogni volta che l’utente accede ad una pagina web che usa cookie per finalità di profilazione e marketing, deve essere adeguatamente informato sull’uso degli stessi, ed esprimere il proprio valido consenso alla loro installazione sul proprio device.
Il Garante ha inoltre previsto la possibilità di acquisire il consenso anche attraverso lo “scroll”, ovvero proseguendo la navigazione sulla medesima pagina web o accedendo ad un’altra area del sito o selezionando un’immagine o un link.
Medesime modalità di gestione dei cookie e dei relativi consensi, sono previste dalla normativa francese, dove la disciplina dei cookie è affidata all’art. 32 II della legge n.78-17 – 6 gennaio 1978 – che ha recepito la Direttiva e-privacy, e alle linee guida emanate dalla CNIL nel 2013 nell’intento di supportare gli operatori nell’applicazione della normativa e che hanno considerato valido il consenso informato ed implicito, derivante dal semplice prosieguo nella navigazione da parte dell’utente.
Tuttavia, l’entrata in vigore del GDPR, e l’emanazione delle linee guida sul consenso (WP251 rev.01) da parte dell’EDPB – Comitato Europeo per la protezione dei dati – hanno rafforzato i requisiti per la validità del consenso e quella dello scroll di una pagina web non rappresenta più l’espressione di un consenso valido.
Il consenso implicito è stato escluso anche dalla proposta di “Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche”, presentata dalla Commissione Europea, e attualmente al vaglio del Parlamento Europeo e del Consiglio dell’Unione Europea e che andrà a sostituire la Direttiva.
La proposta di Regolamento e-privacy, che prevede una disciplina adeguata ai nuovi mezzi di comunicazione e in linea al GDPR, di cui sposa anche il concetto di uniformità normativa e applicativa in tutti i Paesi dell’Unione, nell’art.8.1, affrontando il tema dei cookie, stabilisce che l’installazione degli stessi sul device dell’utente potrà avvenire a condizione che il consenso sia espresso e informato. Non sarà dunque prevista la possibilità di ricorrere allo scroll della pagina web per esprimere il proprio consenso al trattamento.
CNIL: marketing online, no al consenso implicito
Il numero dei reclami ricevuti (circa il 21% delle denunce ricevute dalla CNIL nel 2018 riguardava il marketing online), l’imminente adozione del Regolamento e-privacy, le pretese di certezza giuridica avanzate dalle parti interessate, hanno portato la CNIL ad impegnarsi nell’ aggiornamento dei propri quadri di riferimento per allinearli alla normativa vigente.
Il piano d’azione della CNIL si concentra su due argomenti: i requisiti del marketing diretto e i cookie e altri dispositivi di tracciamento.
Sul marketing diretto, la CNIL si è più volte espressa, confermando le sue posizioni e comunicando le norme di legge applicabili durante i numerosi incontri con i rappresentanti del settore e sul suo sito web. Inoltre, ha concesso un periodo transitorio di 6 mesi, ormai scaduti, per consentire alle società di adeguarsi alle disposizioni normative.
Per quanto riguarda i cookie e i relativi consensi, il piano d’azione prevede due fasi.
La prima fase dovrà portare al totale rinnovo della politica sui cookie e all’adozione, entro luglio 2019, di nuove linee guida che andranno a sostituire quelle ormai superate del 2013.
In linea con quello che è l’orientamento della normativa europea, non sarà più ammesso e considerato valido il consenso implicito dedotto dallo scroll della pagina da parte dell’utente.
Verrà concesso un periodo di prova di 12 mesi per consentire alle aziende di conformarsi alle linee guida. Durante questo periodo, la CNIL, pur continuando a considerare ancora valido il consenso implicito, proseguirà ad indagare affinché nessun cookie sia implementato prima di ottenere il consenso – libero e slegato dall’effettiva fruizione dei servizi online – da parte dell’utente.
Nella seconda metà del 2019, la CNIL e diversi gruppi di parti interessate (redattori di contenuti, inserzionisti, fornitori di servizi nel settore marketing ecc.) si incontreranno per la definizione di misure pratiche per ottenere il consenso. Al termine di questa seconda fase, il piano d’azione prevede la pubblicazione, entro la fine del 2019 – inizio 2020, di una raccomandazione finale.
Verrà concesso un periodo di 6 mesi – a partire dall’adozione definitiva della raccomandazione – prima di procedere con gli audit di conformità nelle società.
Targeting online: un approccio condivisibile?
In Italia, la disciplina dei cookie è affidata al Provvedimento del Garante del 2014 unitamente ad altre misure previste dall’Autorità, nonché al D.lgs. 196/03, in particolare l’art. 122, che prevede l’installazione dei cookie a condizione che l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Tuttavia, occorre tener presente che la vigente normativa si basa sull’orientamento della Direttiva e-privacy, antecedente all’applicazione del GDPR che, come già accennato, ha reso più stringenti i requisiti per la validità del consenso.
Nell’attesa dell’adozione del Regolamento e-privacy, ci si muove in una zona grigia, in cui normative dall’orientamento difforme, continuano a coesistere, sovrapponendosi. Tutto ciò genera confusione tra le parti interessate – stakeholder e utenti – e ricrea quel clima di incertezza normativa che lo stesso GDPR ha inteso eliminare.
Ed è proprio per proteggere e allo stesso tempo fornire certezza giuridica alle parti interessate, che la CNIL ha deciso di intervenire sull’aggiornamento della propria normativa di riferimento e di renderla conforme alla legge applicabile.
Un approccio, quello adottato dalla CNIL, che potrebbe fungere da spunto per la previsione di un piano di riallineamento della normativa italiana – attualmente applicata in materia di cookie – con quanto statuito dal GDPR e dalle linee guida sul consenso, attraverso un processo che, muovendo dall’attività uniformatrice dell’Autorità, miri a creare una commistione tra le normative vigenti.