Il fornitore non è sempre responsabile del trattamento

Marketing e social media. Parte I: il trattamento senza dati

Con questo articolo inizia una breve serie di contributi a commento delle Linee Guida n. 8/2020 adottate dall’European Data Protection Board (EDPB) lo scorso 2 settembre in tema di «targeting of social media users».


 

Può sembrare paradossale, ma se un’azienda si avvale di un social media per fare del marketing mirato, deve considerarsi titolare del trattamento al pari del social media stesso, ancorché non tratti i dati degli utenti.

Il caso Wirtschaftsakademie

Come ha stabilito la CGUE nel caso Wirtschaftsakademie (C-210/16): «si deve ritenere che l’amministratore di una fanpage presente su Facebook […] partecipa, attraverso la propria azione d’impostazione dei parametri […] del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come titolare di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensidell’articolo 2, lettera d), della direttiva 95/46» (§ 39).

La ragione di tale sorprendente conclusione della Corte è comprensibile laddove, in una prospettiva di massima tutela degli utenti – soggetti interessati – si pone mente al fatto che la definizione di titolare non implica necessariamente che questo abbia la disponibilità dei dati, ma è sufficiente che determini, o concorra a determinare, «le finalità e i mezzi del trattamento di dati personali» (art. 4, punto 7, GDPR).

Ebbene, l’amministratore di una fanpage, seppure altro non fa che chiedere a Facebook di ricevere in forma anonima e aggregata i dati degli utenti che visitano la pagina, di fatto è il soggetto che seleziona i dati e imprime la finalità del trattamento. Intatti, per realizzare le statistiche richieste dall’amministratore, Facebook raccoglie e tratta i dati personali mediante cookie installati sul dispositivo degli utenti che visitano la fanpage.

Non solo, l’amministratore sceglie evidentemente anche i mezzi del trattamento, ancorché questi siano di Facebook, proprio per via della creazione della pagina di sua iniziativa.

La titolarità del trattamento è evidentemente congiunta con Facebook, poiché in capo a quest’ultimo residua gran parte del trattamento, ma si pone su un piano di intensità diverso, mantenendo altresì un ruolo primario nel trattamento. Ciò non evita tuttavia che nel contratto tra Facebook (o qualsiasi altro social media) e l’amministratore siano chiaramente indicate le responsabilità in ordine al rispetto del GDPR con riguardo ai diritti dei soggetti interessati.

Campagne pubblicitarie via social network

Alla luce dei principi espressi nel caso Wirtschaftsakademie, l’EDPB ritiene che, anche senza la creazione di una fanpage, chiunque chieda ad un social media di creare statistiche su un particolare target di utenti (che per tale ragione si definisce targeter), debba considerarsi contitolare con il social media stesso.

In particolare, quanto un targeter chiede ad un social media di pubblicare un proprio annuncio pubblicitario su utenti selezionati sulla base di criteri forniti dal targeter stesso (per esempio: uomo di età compresa tra 30 e 40 anni, residente in una determinata zona geografica, ecc.), quest’ultimo sta sostanzialmente dicendo al social media quali dati devono essere trattati e per quale fine (clusterizzati e utilizzati per invio di comunicazioni commerciali).

In altri termini, proprio come nel caso Wirtschaftsakademie, il targeter (committente) deve considerarsi contitolare assieme al social media del trattamento dei dati degli utenti selezionati quali destinatari delle comunicazioni commerciali. E ciò nonostante il fatto che il targeter non ha accesso ai dati personali degli utenti, né raccoglie il loro consenso ex art. 6.1(a) GDPR.

Base giuridica del trattamento

Pur senza il consenso dell’utente, il targeter può ragionevolmente fare appello all’art. 6.1(f) quale base giuridica del trattamento: il c.d. legittimo interesse del titolare.

A tale riguardo, sono richiamati i criteri del c.d. “test di compatibilità” secondo il quale il trattamento, in mancanza del consenso dell’interessato, può essere comunque ammesso, ma deve (i) essere rivolto al perseguimento di un interesse legittimo del titolare; (ii) essere necessario per perseguire tale interesse; (iii) non essere superato dall’esigenza di tutela di un diritto fondamentale del soggetto interessato.

L’esito di tale test dipende anche dalle modalità con cui i diritti dell’interessato sono tutelati, cioè dal modo in cui quest’ultimo può esercitare i suoi diritti del GDPR (artt. 13 ss. GDPR). Tuttavia, il targeter non ha un contatto diretto con gli utenti, egli deve quindi assicurarsi (assumendosi ogni responsabilità in difetto) che il social media fornisca all’utente i mezzi adeguati per potersi opporre in modo efficacie e tempestivo al trattamento.

Conclusioni

Per efficacia e costi relativamente ridotti, il marketing via social media si avvia ad essere sempre più adottato dalle imprese. Occorre tuttavia considerare volta per volta quale servizio richiede il committente e come il social network lo eseguirà, e sulla base di ciò ricostruire il ruolo delle parti in una prospettiva GDPR.

I soggetti dell’ecositema c.d. “ADTech” è piuttosto variegato (fornitori di servizi di marketing, data brokers, AD networks ed exchanges, piattaforme demand-side e supply-side, data management providers – DMP e società di data analytic) e non è possibile generalizzare e omologare le relazioni commerciali in schemi predefiniti. Soprattutto in ambito targeting, occorre volta per volta, alla luce dell’attività da compiere, della fonte dei dati e dei soggetti interessati, valutare quali obblighi opportunamente il committente debba pretendere assuma il fornitore (social network) per definire correttamente e compiutamente le responsabilità a fronte delle possibili pretese provenienti dagli utenti.

European Data Protection Board (EDPB), Linee Guida n. 8/2020 

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Secondo articolo della serie a commento delle Linee Guida n. 8/2020 adottate dall’European Data Pr...

Privacy

Il fornitore non è sempre responsabile del trattamento

Occupandomi di privacy, e svolgendo le funzioni di DPO per diverse aziende, ho spesso ricevuto dai c...

Privacy

Il fornitore non è sempre responsabile del trattamento

La Legge n. 5 dell’11 gennaio 2018 (Nuove disposizioni in materia di iscrizione e funzionamento de...

Privacy

X