Le Guidelines 08/2020 on the targeting of social media users del Comitato Europeo per la Protezione dei Dati rappresentano l’ennesimo fondamentale tassello di un mosaico normativo “made in EU” volto a illuminare le zone d’ombra proiettate dalla cosiddetta “data economy” e diffondere responsabilizzazione e consapevolezza tanto tra le istituzioni quanto nella società civile. La rilevanza del documento in analisi e il suo intrinseco potenziale dirompente sono palesi fin dalla lettura dell’indice.
Le Guidelines 08/20 sono qualcosa di più di un mero elenco di buone pratiche e indicazioni “one-size” per le organizzazioni, rappresentano infatti un vero e proprio vademecum che va ad analizzare approfonditamente il cuore di un ecosistema economico e sociale sempre più trasversalmente determinante. Il pool dei garanti europei si è innanzitutto occupato di individuare cosa si intenda per targeting e di descrivere il contesto in cui questo fenomeno si sviluppa e mettere in luce i rischi connessi. Assai rilevante è la definizione di “targeting” descritto come “l’attività di orientare o indirizzare in maniera puntuale qualcosa verso un particolare gruppo di persone” e “l’atto di tentare di attrarre una persona o un gruppo o di influenzarli in qualche modo”.
L’EDPB prosegue sistematizzando e organizzando studi e lavori e sentenze che hanno trattato il tema fornendo definizioni chiare, puntuali di cosa si intenda per “social media provider” e “targeters” ovvero “le persone fisiche o giuridiche che utilizzano i servizi dei social media al fine di indirizzare messaggi specifici a un target di utenti dei social media sulla base di parametri o criteri specifici”.
Indice degli argomenti
Titolarità del trattamento, ruoli e responsabilità
Fondamentale è l’apporto dei Garanti Europei nella definizione dei ruoli soggettivi e del relativo riparto di responsabilità. Partendo dalle sentenze Wirtschaftsakademie, C-210/16, Jehovah’s Witnesses, C-25/17 e Fashion ID, C-40/17, l’EDPB ribadisce che la definizione di ruoli e responsabilità non può prescindere da un’analisi del caso concreto in relazione ai diversi meccanismi di targeting. Il metro di riferimento è la valutazione relativa alla capacità di un soggetto di determinare finalità, modalità e mezzi di trattamento durante le varie fasi dell’attività di targeting. I vari attori possono, infatti, essere coinvolti in diverse fasi del trattamento dei dati personali e in misura differente. In tali circostanze, il livello di “responsabilità” di ciascuno di essi deve essere valutato in relazione a tutte le fattispecie rilevanti del caso di specie.
Un simile approccio sembrerebbe poter far vacillare l’abitudine dei titani del mondo social di propinare ai propri clienti contratti e data protection agreement talmente standardizzati da risultare quasi autoconclusivi. L’EDPB non fornisce nessuna soluzione a taglia unica ma “case studies” utili a comprendere le complesse dinamiche sottese alla definizione dei ruoli soggettivi e al riparto delle relative responsabilità.
L’accordo di contitolarità e il requisito della trasparenza
Le guidelines toccano anche il complesso tema della “contintolarità” e del relativo accordo. Tenendo ferme le osservazioni precedenti sulla necessità di determinare in maniera puntuale responsabilità e ruoli, le considerazioni del board delle Data Protection Authorities europee in relazione all’accordo di contitolarità sembrano trovare il loro punto di convergenza in una parola chiave: trasparenza. L’accordo di contitolarità oltre a rispettare le previsioni dell’art. 26 del GDPR deve diventare lo strumento di garanzia tramite cui le parti mettono l’utente/interessato nella condizione di conoscere le varie fasi in cui si articola l’attività di targeting, gli attori coinvolti, il riparto di responsabilità.
La natura intrinsecamente complessa e articolata dell’attività di targeting, infatti, comporta il rischio di una “perdita di controllo sui dati” da parte dell’utente. Quanto appena detto ci riporta, inevitabilmente, ad un altro dei punti toccati dalle guidelines dell’EDPB, quello relativo alla natura dei dati trattati in questo panorama.
I dati coinvolti nell’attività di targeting e le condizioni di liceità
L’attività di targeting può avvenire sulla base dei dati direttamente forniti dall’interessato, su quelli “osservati” (ovvero quei dati forniti dall’utente mediante l’utilizzo di un servizio o di un device) “inferenziali/derivati” (i dati “creati” ex novo dal titolare del trattamento partendo dai dati forniti dall’interessato o osservati dal titolare stesso) ma anche su dati frutto di una combinazione di quelli precedenti. Le puntuali osservazioni dei Garanti UE sul tema sono un prezioso strumento in grado di offrire soluzioni ad uno dei rischi più rilevanti del targeting, quello derivante dall’utilizzo di dati personali che esorbita le ragionevoli aspettative degli interessati o addirittura va contro la volontà degli stessi.
Specifica attenzione viene posta alle “categorie particolari” di dati personali. Nell’ecosistema dei social network i dati ex art. 9 sono più presenti e numerosi che in altri contesti. La tendenza degli utenti di condividere informazioni relative alle proprie opinioni politiche, al proprio stato di salute, all’orientamento sessuale o all’appartenenza religiosa è un fenomeno noto. Alcuni social, inoltre, prevedono per la loro stessa finalità d’utilizzo il trattamento di dati personali di natura particolarmente sensibile (pensiamo ai social di dating). L’attività di targeting, può infine creare come già osservato nuovi dati appartenenti al genus sopra descritto dall’articolo 9 GDPR ossia particolari categorie di dati partendo da dati che in origine non lo erano. L’EDPB chiarisce su quali condizioni di liceità fondare i trattamenti di questi dati chiarendo un concetto fondamentale: pubblicare dati ex art. 9 su un social non abilita automaticamente targeters e social media provider al trattamento degli stessi.
Leggi e avanzamento tecnologico
Alla luce di ciò, ricordiamo che un articolo del New York Times rifletteva sul ruolo dell’Europa quale world’s regulatory superpower, vera e propria superpotenza regolamentare mondiale. Il quotidiano newyorkese non risparmiava osservazioni critiche, frutto anche di riflessioni di alcuni illustri contributors, prima tra tutte quella legata alle “lungaggini” dei processi decisionali. Il fattore tempo è, oggettivamente, un elemento determinante. Il settore tecnologico e il relativo mercato crescono e si evolvono ad una velocità tale da sembrare potenzialmente in grado di eludere le maglie regolamentari.
I processi decisionali che portano alla creazione di un framework normativo efficace richiedono tempistiche lunghe ed esiste il rischio che, nel frattempo, l’efficiacia delle disposizioni si diluisca o venga in qualche modo ammorbidita dalle pressioni dei gruppi di interesse. Il fattore tempo poi deve fare i conti con l’emersione di tecnologie più avanzate che ovviamente rendono facile aggirare regole, pensate per tecnologie precedenti. L’irrefrenabile corsa del mondo tecnologico rischia di rendere prematuramente obsolescenti non solo gli smartphone ma anche le leggi. Ma in quella che sembra una lotta impari contro il tempo e l’evoluzione tecnologica il Legislatore Europeo può contare sul supporto sempre più reattivo, rapido e preciso dei Giudici UE e delle Data Protection Autorities europee sia in forma singola che collegiale. Le linee guida sul social media targeting ne sono l’esempio.
Conclusioni
Non è un mistero che USA e CINA stiano combattendo un’enorme battaglia per la conquista del mercato tecnologico, così come non è una novità la constatazione per cui pochi, titanici Golia del settore del web possiedano un monopolio di fatto in grado di scardinare gli equilibri di mercato e influenzare i sistemi democratici moderni. La vera “notizia” di questi ultimi mesi è la risposta ad una domanda annosa: in questo quadro dov’è l’Europa? Sembrerà banale ma la risposta è semplice: l’Europa è nel mezzo. Il vecchio continente è tra l’incudine e il martello della gigantesca guerra commerciale che infiamma i rapporti diplomatici tra USA e Cina, è esattamente al centro della tempesta perfetta rappresentata dal dirompente e quasi assolutistico potere dei titani del web.
Tuttavia l’aspetto più interessate, l’elemento di genuina discontinuità non è il “dove” ma il “cosa stia facendo l’Unione Europea”. Molto, moltissimo. Sebbene non abbia mai avuto la potenza di calcolo e la rapidità evolutiva della Cina o l’artiglieria pesante “social” dei Big “a stelle e strisce” l’Europa, da sempre, possiede alcuni asset che, se non sostituiscono la necessità di “artiglieria” e di leadership tecnologica, sono di fondamentale importanza per l’intero mercato globale: la capacità di creare un sistema di diritti bilanciato, l’abilità di regolare tematiche assai delicate, e molto spesso spinose, e di imporsi nel panorama mondiale con il suo ruolo di “Faro Etico”, di “Pioniere dei Diritti”.
Mentre USA e Cina si scontrano, mentre i Big della tecnologia sviluppano nuovi e sempre più efficaci modelli di monetizzazione delle sempre più pervasive tecnologie web-based l’Europa legifera, decide, si impone, sanziona e lotta. Per dirla parafrasando un interessante rubrica di Guido Scorza per “governare il futuro” l’Europa deve sfruttare al massimo il mix equilibrato di diritto e buone pratiche, interventi da parte di organismi giurisdizionali e raccomandazioni delle autorità di controllo, sanzioni e sensibilizzazione, tutela del mercato e tutela dei diritti. E le linee guida 08/2020 sono un importante passo su questa strada.
