Lo scorso 2 settembre l’EDPB (European Data Protection Board) ha adottato un testo di linee guida “Guidelines 8/2020 on the targeting of social media users”, sottoposte a consultazione pubblica fino al 19 ottobre 2020, sul targeting degli utenti dei social media.
Lo scopo è quello di predisporre una guida nelle attività di targeting degli utenti dei social media, con particolare riguardo alle responsabilità dei targeters e dei social media providers e alla individuazione dei ruoli, coerentemente con quanto già chiarito nelle Linee Guida 7/2020 “Guidelines on the concepts of controller and processor in the GDPR”.
A tal fine, l’EDPB identifica anche i rischi potenziali per i diritti e le libertà degli individui, i principali attori e i loro ruoli, l’applicazione dei principali adempimenti in materia di protezione dei dati, quali la legittimità e la trasparenza, la necessità di effettuare una valutazione d’impatto, nonché elementi fondamentali degli accordi tra i social media providers e i targeters.
Anche questo documento fornisce numerosi esempi, utili per comprendere le linee guida fornite dal Comitato.
Indice degli argomenti
Social media targeting: i concetti di base
Il testo definisce, innanzitutto i concetti di “social media” e “targeting”, chiarendo che per gli scopi del documento, per “social media” si intendono le piattaforme online che consentono lo sviluppo di reti e comunità di utenti, che condividono informazioni e contenuti.
Ulteriori funzioni fornite dai social media possono includere, ad esempio, le personalizzazioni, application integration, social plug-ins, autenticazione dell’utente, analytics e publishing.
Tipicamente, i social media prevedono la possibilità di registrarsi al fine di creare “account” o “profili” per interagire, attraverso la condivisione di contenuti generati dall’utente o di altro tipo e di sviluppare collegamenti e reti con altri utenti.
Oltre alle piattaforme di social media “tradizionali”, altri esempi di social media possono includere: piattaforme di incontri dove gli utenti registrati si presentano per trovare un partner da incontrare nella vita reale, piattaforme su cui è possibile caricare i propri video, commenti e link ad altri video, giochi in cui utenti registrati possono giocare insieme, scambiare informazioni o condividere le loro esperienze e successi all’interno del gioco.
Targeting è, invece, definita come l’attività di indirizzare qualcosa a un particolare gruppo di persone, come anche l’attività volta a tentare di attirare una persona o un gruppo di persone o di influenzarli in qualche modo.
Molti social media provider offrono servizi di targeting, che consentono ai targeters di inviare messaggi specifici agli utenti dei social media al fine di promuovere interessi commerciali, politici o di altro tipo.
Caratteristica distintiva del targeting è la ricerca di personalizzare il messaggio perché sia il più possibile aderente alle necessità e caratteristiche dei destinatari che lo ricevono: maggiore è l’aderenza, maggiore è il reception rate (conversion rate) e più efficace risulta la campagna di targeting.
L’attività di targeting attraverso i social comporta la combinazione e l’analisi di molti dati, alcuni di natura sensibile, provenienti da fonti diverse, tanto da poter creare rischi per i diritti e libertà fondamentali degli individui, quali la mancanza di trasparenza e la perdita di controllo da parte degli utenti, l’utilizzo dei dati personali contrario o ultroneo rispetto alle ragionevoli aspettative degli interessati.
Le attività di profilazione connesse al targeting possono comportare una perdita di controllo sui propri dati personali, così come la mancanza di trasparenza sui ruoli dei diversi attori coinvolti in queste attività può pregiudicare, ostacolare o rendere complesso l’esercizio dei diritti degli interessati.
Le conseguenze possono essere notevoli e comportare la possibilità di discriminazione o esclusione, fino alla possibile manipolazione degli utenti al fine di influenzare il comportamento e le scelte degli individui non solo nelle loro scelte come consumatori, ma anche in relazione alle loro scelte politiche.
Nella stessa ottica, l’uso di algoritmi per determinare quali informazioni far visualizzare e a quali individui può incidere negativamente sulla probabilità di accesso a fonti di informazione diversificate, comportando conseguenze negative a due livelli:
- c.d. “filter-bubbles”, in cui le persone sono esposte a informazioni «sempre uguali» e trovano in rete meno opinioni differenziate, il che produce una maggiore polarizzazione politica e ideologica (si veda sul tema l’Opinion 3/2018 European Data Protection Supervisor);
- d’altra parte, meccanismi di targeting possono anche creare rischi di “sovraccarico” di informazioni, a causa dei quali gli individui non possono prendere una decisione informata perché hanno troppe informazioni e non sono più in grado di comprendere se sono affidabili.
Il targeting degli utenti dei social media può avvenire anche utilizzando informazioni relative alla loro navigazione o ad altre attività al di fuori della piattaforma e questo può causare negli utenti la sensazione che il loro comportamento sia sistematicamente monitorato e portarli ad una auto-censura.
Il targeting può, infine, influenzare la formazione della personalità dei bambini, le loro preferenze e i loro interessi, incidendo in ultima analisi sulla loro autonomia e sul loro diritto allo sviluppo, mentre il considerando 38 GDPR richiede una maggiore protezione nell’uso dei dati personali dei bambini per finalità di marketing o profilazione.
Social media targeting: attori e ruoli
Nel capitolo 4, le linee guida esaminano gli attori che intervengono nelle attività di targeting.
In primo luogo, si definisce il termine “utente”, in genere utilizzato per riferirsi a persone che si sono registrate a un servizio, ovvero coloro che hanno un “account” o un “profilo”, ma molti servizi dei social media possono essere accessibili anche da soggetti che non si sono registrati.
Sono, pertanto, considerati interessati sia gli utenti registrati al social media, sia quelli non registrati, laddove, ai sensi dell’art. 4 GDPR siano direttamente o identificati o identificabili.
I social media provider sono, invece, quei soggetti che offrono un servizio online come più sopra descritto, che permette, dunque, la condivisione di informazioni all’interno di networks e communities e che possono trattare grandi quantità di dati personali di utenti registrati e non, non solo attraverso la loro interazione con la piattaforma, ma anche sulla base dell’analisi di comportamenti al di fuori della piattaforma, potenzialmente combinando dati provenienti da diverse fonti.
Le linee guida definiscono, invece, “targeters” le persone fisiche o giuridiche che utilizzano i servizi di social media al fine di indirizzare messaggi specifici ad un gruppo di utenti, sulla base di specifici parametri o criteri.
Ciò che distingue i targeters dagli altri utenti è che essi selezionano i loro messaggi e il pubblico cui sono destinati sulla base delle caratteristiche, degli interessi o delle preferenze manifestate (c.d. “micro-targeting”) al fine di promuovere interessi commerciali, politici o di altro tipo.
Esempi tipici includono società che utilizzano i social media per pubblicizzare i loro prodotti, per aumentare la brand awareness, i partiti politici, che fanno sempre più uso dei social media per le loro campagne elettorali, ma anche enti di beneficenza e altre organizzazioni senza scopo di lucro.
Le attività di targeting possono consistere nella visualizzazione di pubblicità personalizzata (ad es. attraverso un “banner” mostrato nella parte superiore o laterale di una pagina web), ma anche in “feed”, “timeline” o “storie” di un utente, dove il contenuto pubblicitario appare insieme ai contenuti generati dall’utente.
Il targeting può anche comportare la creazione di contenuti ospitati dal provider, ad es. tramite una “pagina” dedicata o altrove, ad es. su siti web di terze parti.
I targeters possono avere propri siti web e applicazioni, dove possono integrare specifici strumenti o funzionalità come social plugins o login o utilizzando Application Programming Interfaces (APIs) o Software Development kits (SDKs) messi a disposizione dai social media provider.
Le linee guida individuano poi ulteriori attori, come i marketing service providers, Ad networks, Ad exchanges, demand-side and supply-side platforms, data management providers (DMPs) and data analytics companies, che possono raccogliere ed elaborare dati relativi agli utenti e tracciare le loro attività tra vari siti web e app.
I Data brokers e DMPs si differenziano dalle altre società adtech perché non solo elaborano i dati raccolti mediante tecnologie di tracciamento, ma possono utilizzare dati, raccolti da fonti sia online che offline, che potrebbero poi vendere ad altre parti interessate coinvolte nel processo di targeting.
Social media targeting: le responsabilità
Le Linee Guida, nel determinare e chiarire i ruoli e le responsabilità, analizzano due sentenze della CJEU molto rilevanti: le sentenze Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) e Fashion ID (C-40/17).
Punto di partenza dell’analisi è la definizione del titolare del trattamento, ex art. 4 (7) GDPR: “la persona fisica o giuridica […] che, singolarmente o insieme ad altri, determina finalità e i mezzi del trattamento dei dati personali”.
In Wirtschaftsakademie, la CGUE ha deciso che l’amministratore di una c.d. “fan page” su Facebook deve essere considerato come un soggetto che partecipa alla determinazione delle finalità e dei mezzi del trattamento.
Secondo le osservazioni fatte alla CGUE, la creazione di una fan page comporta la definizione da parte dell’amministratore di parametri che influiscono sul trattamento dei dati personali.
In particolare, l’amministratore della fan page può richiedere dati demografici relativi al suo target di riferimento, compresi i trend relativi a età, sesso, relazioni e professione, informazioni sugli stili di vita e sugli interessi, il target di riferimento e le informazioni sugli acquisti, le abitudini di acquisto, le categorie di beni e servizi preferiti, e dati geografici, che permettono all’amministratore della fan page di determinare il luogo dove proporre offerte speciali, organizzare eventi, e più in generale, indirizzare al meglio le comunicazioni.
L’amministratore partecipa anche alla determinazione delle finalità del trattamento dei dati personali ed è stato quindi classificato come contitolare in relazione al trattamento dei dati personali dei visitatori della sua pagina, insieme al social media provider.
Nella sentenza Fashion ID, la CGUE ha deciso che un operatore del sito web può essere considerato un titolare quando incorpora sul suo sito web un social plugin di Facebook, che fa sì che il browser dell’utente trasmetta dati personali a quest’ultimo. La qualifica del gestore del sito web come titolare del trattamento è, tuttavia, limitata all’operazione o alla serie di operazioni per le quali egli determina effettivamente le finalità e i mezzi.
Meccanismi di targeting
Le Linee guida analizzano, poi, i diversi meccanismi di targeting e individuano 3 tipologie principali. Analizziamole in dettaglio aiutandoci con gli esempi pratici forniti dalla stessa EDPB.
Targeting sulla base dei dati forniti dall’interessato
Ovvero le informazioni fornite attivamente dall’interessato al social media provider e/o al targeter. Ad esempio:
- l’interessato può indicare nome e cognome, età, sesso, residenza, lingua, nella definizione del suo profilo social e il social media provider può consentire il targeting sulla base di questo criterio;
- il targeter può usare informazioni fornitegli direttamente dall’interessato, ad esempio indirizzi e-mail di clienti, affinché il provider li confronti con le informazioni già presenti sulla piattaforma e possa creare dei cluster, delle audience di utenti cui inviare i messaggi pubblicitari mirati.
Esempio 1. L’azienda X vende scarpe da uomo e vuole promuovere la vendita della sua collezione invernale. Per la sua campagna pubblicitaria, vuole rivolgersi a uomini di età compresa tra i 30 e i 45 anni, che hanno indicato che sono single nel loro profilo di social media e utilizza i corrispondenti criteri di targeting offerti dal social media provider come parametri per identificare l’audience di riferimento a cui mostrare la sua pubblicità. Inoltre, il targeter indica che la pubblicità dovrebbe essere mostrata agli utenti mentre utilizzano il servizio di social media tra le ore 17:00 e le 20:00. Per consentire il targeting sulla base di criteri specifici, il provider ha determinato in precedenza quali tipi di dati personali devono essere utilizzati per sviluppare tali criteri e quali criteri di targeting devono essere offerti. Il provider comunica al targeter anche alcune informazioni statistiche una volta che il messaggio pubblicitario è stato visualizzato (ad es. un report sulla composizione demografica degli individui che hanno interagito con il messaggio pubblicitario).
Nell’Esempio 1, sia il targeter che il provider partecipano alla determinazione dello scopo e mezzi del trattamento dei dati personali, cioè l’esposizione della pubblicità al target di riferimento.
Pertanto, sussiste una contitolarità con riferimento al trattamento di dati personali che consiste nella selezione dei criteri il target di riferimento e nel mostrare il messaggio pubblicitario all’audience, nonché al trattamento che consiste nel riportare al targeter i risultati della campagna.
L’EDPB fa qui un’importante specifica: l’analisi circa i ruoli rimane la medesima anche se il targeter specifica solo i parametri della sua audience e non ha accesso ai dati personali degli utenti interessati. Infatti, l’EDPB ricorda che l’accesso effettivo ai dati personali non è un prerequisito indispensabile perché sussista una contitolarità.
I contitolari dovranno, naturalmente, individuare una base giuridica che legittimi il trattamento; l’EDPB ne individua due: il consenso, ex art. 6 (1) (a) GDPR o il legittimo interesse ex art 6 (1) (f).
Nel caso si determini che la base giuridica è il legittimo interesse, si dovrà garantire che la piattaforma di social media fornisca agli interessati i mezzi per esprimere preventivamente l’eventuale opposizione. Naturalmente, se il balancing test dovesse indicare che gli interessi e i diritti e le libertà fondamentali dell’interessato prevalgono sull’interesse legittimo di provider e targeter, non sarà possibile legittimare il trattamento sull’articolo 6(1)(f).
L’EDPB sottolinea che esistono situazioni in cui il trattamento non sarebbe lecito senza il valido consenso degli interessati (Articolo 6(1)(a) GDPR): ad esempio, il WP29, nell’Opinion on profiling and authomated decision making ha considerato che sarebbe difficile giustificare l’uso dell’interesse legittimo come base giuridica per una profilazione intrusiva e per le attività di monitoraggio a fini marketing o pubblicitari, come ad es. quelle che comportano la tracciabilità degli interessati attraverso i siti web visitati, luoghi, devices, servizi o data brokering.
Nel caso in cui si optasse per il consenso come base giuridica, occorrerà che tutti i requisiti per il consenso siano soddisfatti. L’EDPB ricorda che anche laddove si ottenga il consenso, il titolare del trattamento dovrà rispettare i principi sanciti dal GDPR, in particolare l’articolo 5, pertanto il consenso non può legittimare un’attività di targeting che sia sproporzionata o iniqua.
Infine, l’EDPB ritiene che il trattamento dei dati personali descritto nell’esempio 1 non può essere giustificato sulla base dell’articolo 6(1)(b), né dalla piattaforma social né dal targeter.
Esiste anche il caso di dati forniti dall’utente della piattaforma di social media al targeter. Il targeting può anche includere i dati forniti dall’interessato al targeter. Ne è un esempio il c.d. targeting “list-based”, dove un targeter carica sulla piattaforma delle liste preesistenti di dati personali (ad es. indirizzi e-mail o numeri di telefono) perchè il provider le confronti con le informazioni della piattaforma.
In questo caso, il social media provider confronta i dati caricati dal targeter con i dati che già possiede, e gli utenti che corrispondono sono aggiunti o esclusi dal target di riferimento (ovvero, il cluster di persone a cui la pubblicità sarà mostrata sulla piattaforma). Il provider può anche permettere al targeter di controllare la lista prima di finalizzarla, il che significa che alcuni trattamenti possono avvenire anche prima che l’audience venga creata.
Esempio 2. Ms. Jones contatta Banca X via e-mail per fissare un appuntamento per un possibile mutuo. In seguito, Ms. Jones decide di non diventare un cliente della banca, che, tuttavia, ha aggiunto l’indirizzo e-mail di Ms. Jones al suo database e lo utilizza consentendo al social media provider di abbinare l’elenco degli indirizzi e-mail che detiene con quelli detenuti dalla piattaforma, al fine di indirizzare i suoi messaggi pubblicitari agli individui interessati ai servizi finanziari sul social.
Esempio 3. Mr. Lopez è stato un cliente presso la Banca X per quasi un anno. Quando è diventato un cliente, ha fornito un indirizzo e-mail ed è stato informato dalla Banca X, al momento del ritiro, che: (a) il suo indirizzo e-mail sarebbe stato utilizzato per la pubblicità di offerte legate ai servizi bancari che sta già utilizzando; e (b) può opporsi a questo trattamento in qualsiasi momento. La banca ha aggiunto il suo indirizzo e-mail al suo database, che utilizza per targhettizzare i suoi clienti sul social con la gamma di servizi finanziari che offre.
L’EDPB precisa che laddove gli indirizzi e-mail siano utilizzati per scopi di marketing diretto, i titolari devono tenere conto delle disposizioni dell’articolo 13 della Direttiva E-privacy e, in particolare, precisa che laddove il messaggio pubblicitario non fosse visualizzato sulla piattaforma di social media, ma fosse direttamente inviato tramite una notifica push o un messaggio diretto all’interessato, sarebbe applicabile l’articolo 13 della Direttiva E-Privacy.
Tuttavia, in questo esempio specifico, il consenso non sarebbe necessario, nella misura in cui si applichi l’articolo 13(2) con riferimento alle coordinate elettroniche per la posta elettronica ottenute dal cliente nel contesto della vendita di un prodotto o servizio, se utilizzate a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in maniera agevole.
In questi esempi, il targeter, la banca, agisce come titolare perché determina le finalità e le modalità del trattamento mediante la raccolta, l’elaborazione e la trasmissione attiva dei dati personali. Il social media provider, a sua volta, agisce in qualità di titolare del trattamento perché ha preso la decisione di utilizzare i dati personali acquisiti dall’utente (es. l’indirizzo e-mail fornito al momento della creazione del suo account) per consentire al targeter di mostrare il messaggio ad un’audience determinata.
Sussiste una contitolarità in relazione alle operazioni di trattamento per le quali il provider e il targeter determinano congiuntamente gli scopi e i mezzi, in questo caso, il caricamento dei dati relativi all’audience, l’abbinamento, la selezione dei criteri di targeting e la successiva visualizzazione del messaggio pubblicitario, nonché ogni segnalazione relativa alla campagna di targeting.
In entrambi gli esempi la banca agisce come titolare unico per la raccolta iniziale degli indirizzi di posta elettronica, e la responsabilità della banca non si estende alle operazioni che si verificano dopo che le attività di targeting e reporting sono state completate.
Con riferimento alla base giuridica, nell’esempio 2, l’articolo 6(1)f del GDPR non può essere una base giuridica appropriata per giustificare il trattamento. Infatti, si può ritenere che non vi sia alcuna ragionevole aspettativa da parte di Ms. Jones che i suoi dati personali siano utilizzati per finalità di targeting. Inoltre, un test di compatibilità ai sensi dell’articolo 6 (4) GDPR porterebbe al risultato che questo trattamento non è compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti.
Nell’esempio 3, il targeter potrebbe essere in grado di fare affidamento su un interesse legittimo per giustificare il trattamento, prendendo considerando che il sig. Lopez era: (a) previamente informato; (b) la comunicazione si riferisce a servizi simili a quelli per Mr. Lopez è già un cliente, e (c) Mr. Lopez ha avuto la possibilità di opporsi prima del trattamento.
Targeting sulla base dei dati osservati
Ovvero i dati rilevati dall’utilizzo di un servizio o un device.
Ad esempio:
- l’attività sulla piattaforma di social media stessa (contenuti che l’utente condivide, consulta o “like”);
- l’utilizzo di dati relativi a dispositivi su cui viene eseguita l’app (coordinate GPS, numero di cellulare);
- dati ottenuti da uno sviluppatore di applicazioni di terze parti utilizzando API o SDK;
- dati raccolti attraverso siti web di terze parti che hanno incorporato plugin o pixel;
- dati raccolti attraverso altri soggetti terzi (ad es. soggetti con i quali l’interessato ha interagito, acquistato un prodotto, sottoscritto con carte fedeltà, ecc.).
Esempio 4. Targeting basato sui pixel. Mr. Schmidt sta navigando online al fine di acquistare uno zaino. Visita il sito web “Bestbags.com”, visualizza un certo numero di articoli, ma decide di non effettuare un acquisto. L’operatore di “Bestbags.com” desidera targhettizzare gli utenti dei social media che hanno visitato il loro sito web senza fare acquisti. A tal fine, integra sul suo sito web un “tracking pixel”, reso disponibile dai social media provider. Dopo aver lasciato il sito web di Bestbags.com e accedere al suo account di social media, Mr. Schmidt inizia a vedere la pubblicità per gli zaini che stava considerando durante la navigazione.
Esempio 5. Geo-targeting. Mrs. Michu sta passeggiando per Parigi e ha installato l’applicazione di un social media provider di sul suo smartphone. Il social media provider raccoglie informazioni riguardanti la posizione di Mrs. Michu attraverso le funzionalità GPS dello smartphone, utilizzando le autorizzazioni che sono state concesse al social media provider quando l’applicazione è stata installata. Mrs. Michu alloggia in un hotel che si trova accanto a una pizzeria. La pizzeria utilizza la funzionalità di geo-targeting offerta dal social media provider per targhettizzare coloro che si trovano entro 1 km dal suo locale per la prima volta negli ultimi 6 mesi. Quando apre l’app social sul suo smartphone, Mrs. Michu vede una pubblicità della pizzeria, decide che ha fame e compra una pizza tramite il suo sito web.
Esempio 6. Mrs. Ghorbani crea un account su una piattaforma di social media. Durante il processo di registrazione le viene chiesto se acconsente al trattamento dei suoi dati personali per vedere pubblicità mirata sula sua pagina social, sulla base dei dati che fornisce direttamente al provider (come età, sesso e luogo), nonché sulla base della sua attività svolte su altri siti web al di fuori dalla piattaforma social, attraverso i cookie. L’utente è informata che questi dati saranno raccolti tramite social media plug-in o tracking pixel, i trattamenti sono chiaramente descritti, così come il fatto che il targeting coinvolge altri soggetti che sono contitolari e garantiscono il rispetto del GDPR. All’interessata viene anche spiegato che può negare il suo consenso in qualsiasi momento, e le viene fornito un link alla privacy policy. Mrs. Ghorbani, interessata a vedere pubblicità mirata sulla sua pagina di social media, presta il suo consenso. Nessun cookie pubblicitario viene installato fino a quando Mrs. Ghorbani esprime il consenso. Più tardi, visita il sito web “Thelatesthotnews.com” che ha integrato un pulsante social; le appare un piccolo ma ben visibile banner che le chiede di acconsentire alla trasmissione dei suoi dati personali al social media provider, utilizzando cookie e social plug-in. Il gestore del sito web ha adottato misure tecniche idonee a far sì che nessun dato personale sia trasferito alla piattaforma di social media finché l’utente non dà il suo consenso.
Nell’Esempio 4, sia il targeter che il social media provider partecipano alla determinazione delle finalità e dei mezzi del trattamento dei dati personali, che si traduce nel far visualizzare il messaggio pubblicitario al sig. Schmidt e determinano congiuntamente lo scopo del trattamento, che è quello di far visualizzare uno specifico annuncio sulla piattaforma di social media ai soggetti che fanno parte di uno specifico target di riferimento.
Incorporando il pixel sul suo sito web, Bestbags.com esercita un’influenza decisiva sui mezzi del trattamento; mentre il provider ha sviluppato e mette a disposizione il software (pixel) che porta alla raccolta automatica, alla trasmissione e utilizzo per fini di marketing dei dati personali. Di conseguenza, sussiste una contitolarità tra il provider e il targeter.
Nell’Esempio 5, la pizzeria definisce i parametri dell’ad targeting sulla base delle sue esigenze di business (ad esempio: orari di apertura della pizzeria e geo-localizzazione delle persone vicine alla pizzeria in questa fascia oraria), e determina, quindi, finalità e mezzi del trattamento.
Il social media provider, d’altra parte, ha raccolto le informazioni riguardanti la posizione di Mrs. Michu (tramite GPS), al fine di consentire la pubblicità mirata. Di conseguenza, sussiste una contitolarità tra il provider e il targeter con riferimento alla raccolta e analisi dei dati di localizzazione e alla visualizzazione del messaggio.
Per quanto riguarda la base giuridica, poiché negli esempi citati vengono utilizzati dei cookie, occorre applicare l’art. 5 (3) della Direttiva E-Privacy, che prevede che agli utenti siano fornite informazioni chiare e complete sulle finalità del trattamento, prima che prestino il consenso.
Per essere valido, il consenso deve soddisfare le condizioni di cui all’art. 7 GDPR; ad esempio, il consenso non è validamente prestato se richiesto tramite una casella già selezionata, che l’utente può deselezionare per rifiutare il suo consenso.
Allo stesso modo, sulla base del considerando 32 GDPR, azioni quali scorrere una pagina web non possono costituire una chiara e inequivoca azione affermativa. Inoltre, in tal caso, sarà difficile fornire all’utente un modo per revocare il consenso in un modo tanto semplice quanto quello usato per prestarlo.
Nell’esempio 6, considerato che l’installazione dei cookie e il trattamento dei dati personali avviene nel momento stesso della creazione dell’account, il social media provider dovrà raccogliere il consenso prima dell’installazione di cookie.
L’EDPB ricorda inoltre che se non tutti i contitolari sono noti al momento in cui il social media provider chiede il consenso, occorrerà un’integrazione, in termini di informativa e raccolta consenso, da parte del soggetto gestore del sito che incorpora il social media plugin (es. Thelatesthotnews. com, nell’Esempio 6).
Inoltre, qualsiasi successivo trattamento di dati personali, compresi quelli ottenuti dai cookie, dai social plug-in o pixel, deve avere una base giuridica ai sensi dell’articolo 6 del GDPR per essere lecito.
Per quanto riguarda la base giuridica del trattamento negli esempi 4, 5 e 6, l’EDPB ritiene che l’interesse legittimo non possa fungere da base giuridica appropriata, in quanto la finalità del trattamento è il monitoraggio del comportamento degli individui attraverso siti web e tecnologie di tracciamento.
Pertanto, in tali circostanze, la base giuridica appropriata ai sensi dell’art. 6 GDPR è, verosimilmente, il consenso.
Targeting sulla base di dati derivati
Ovvero creati dal titolare del trattamento sulla base dei dati forniti dall’interessato o osservati dal titolare. Ad esempio, un social media provider o un targeter potrebbe desumere che un individuo possa essere interessato a un determinato servizio o prodotto sulla base del suo comportamento di navigazione.
Esempio 7. Mrs. Delucca clicca spesso “like” su foto pubblicate dalla Galleria d’Arte “Beautifulart” sulla sua pagina social. Museo Z sta cercando di attirare i soggetti interessati a dipinti impressionisti a una mostra. Il Museo Z utilizza i criteri messi a disposizione dal social media: “interessato all’impressionismo”, genere, età e luogo di residenza. Ms. Delucca successivamente riceve pubblicità mirata dal Museum Z relativa alla mostra sulla sua pagina social.
Esempio 8. Mr. Leon ha indicato sulla sua pagina social che è interessato allo sport. Ha scaricato un’applicazione sul suo cellulare per seguire gli ultimi risultati dei suoi giochi sportivi preferiti, ha impostato sul suo browser la pagina www.livesportsresults.com come homepage sul suo computer portatile, spesso utilizza il suo computer per cercare gli ultimi risultati sportivi. Egli visita anche alcuni siti di gioco d’azzardo online. Il social media provider tiene traccia dell’attività online di Leon sui suoi diversi dispositivi, i.e. il suo portatile, il suo telefono cellulare, e il suo computer. Sulla base di questa attività e tutte le informazioni fornite da Mr. Leon, il social media provider desume che Leon è interessato alle scommesse online. Inoltre, la piattaforma di social media ha sviluppato criteri targeting che consentano alle società di targhettizzare le persone verosimilmente impulsive e con un basso reddito.
La società di scommesse online “bestpaydayloans” desidera targhettizzare gli utenti che sono interessati alle scommesse e che sono propensi a scommettere pesantemente; seleziona, quindi, i criteri offerti dal social media provider.
Nell’esempio 7, esiste una contitolarità tra Museum Z e il social media provider per quanto riguarda il trattamento di dati personali a fini della pubblicità mirata.
Nell’esempio 8, esiste una contitolarità tra “bestpaydayloans” e il social media provider in relazione alle operazioni di trattamento determinate congiuntamente, in questo caso la selezione dei criteri di selezione e la successiva visualizzazione della pubblicità, nonché qualsiasi report relativo ai risultati della campagna di targeting.
Il targeting degli utenti dei social media sulla base di dati desunti a fini pubblicitari comporta in genere una profilazione. Il WP29 (Guidelines on Authomated individual decision-making and Profiling for the purpose of Regulation 2016/679, WP251rev01) ha chiarito che secondo il GDPR, la profilazione è un trattamento automatizzato di dati personali per valutare determinati aspetti personali, in particolare per analizzare o prevedere aspetti riguardanti persone fisiche. L’uso del verbo “valutare” suggerisce che la profilazione implichi una qualche forma di valutazione o giudizio in merito a una persona.
Nell’esempio 7, si applica l’articolo 5(3) della Direttiva e-privacy e sarà necessario il consenso dell’utente.
Per quanto riguarda l’esempio 8, l’EDPB ricorda che nel caso di processo decisionale automatizzato che produca effetti giuridici o incida in modo significativo sulla persona, come stabilito all’articolo 22 GDPR, i titolari possono avvalersi delle seguenti eccezioni:
- consenso esplicito dell’interessato;
- la necessità del processo decisionale automatizzato per la conclusione o l’esecuzione di un contratto; o
- la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare.
In circostanze come quella descritte nell’esempio 8, la visualizzazione di pubblicità di scommesse online può rientrare nella previsione dell’articolo 22 del RGPD (targeting di persone finanziariamente vulnerabili, interessate a scommesse online, che sono in grado di influenzare in modo significativo e negativo la situazione finanziaria del soggetto). Pertanto, ai sensi dell’articolo 22, sarebbe richiesto il consenso esplicito.
Inoltre, l’uso di tecniche di tracciamento comporta l’applicabilità dell’articolo 5, paragrafo 3, della Direttiva E- Privacy, con conseguente obbligo di previo consenso.
Le linee guida ricordano, poi, l’importanza di osservare i principi dettati dall’art. 5 del GDPR, valutare attentamente la necessità di effettuare una valutazione d’impatto laddove il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR), l’obbligo di fornire un’idonea informativa e di garantire l’effettivo esercizio dei diritti degli interessati.