Terzo articolo della serie a commento delle Linee Guida n. 8/2020 (in consultazione) pubblicate dall’European Data Protection Board (EDPB) dello scorso 2 settembre in tema di «targeting of social media users». Qui la prima parte e qui la seconda.
________________________
Nei precedenti due contributi dedicati alle Linee Guida dell’EDPB sul targeting abbiamo esaminato il ruolo del tutto particolare che assumono i targeter (le aziende che utilizzano i dati raccolti dai social media per fare pubblicità mirata) quando impiegano dati personali forniti dall’utente (targeting on the basis of provided data) e nel caso in cui impiegano dati personali ottenuti dall’osservazione delle attività dell’utente (targeting on the basis of observed data).
In entrambi i casi abbiamo sottolineato le conclusioni dell’EDPB che, per certi aspetti, possono sembrare controintuitive: il targeter, ancorché non tratti i dati raccolti dal social media, è ciò nondimeno considerato titolare poiché concorre a determinare non solo i criteri di selezione dei dati, ma anche gli strumenti del trattamento, sebbene il coinvolgimento dei social media rimanga preponderante, anche in termini di responsabilità.
Anche in questo terzo capitolo, le conclusioni dell’EDPB ci sorprendono. Può infatti darsi il caso che un social media tratti legittimamente i dati personali sensibili (particolari) pur in assenza di uno specifico consenso del soggetto interessato!
Inferred data.
I dati “inferred” sono i dati creati dal titolare del trattamento sulla base delle informazioni fornite dall’interessato (provided data) o ottenute dalla sua osservazione (observed data).
Come si nota subito, gli inferred data non sono raccolti dal titolare, ma da lui creati sulla base di un ragionamento deduttivo, talvolta anche di carattere statistico.
Valgano i seguenti esempi (liberamente tratti dalle Linee Guida).
Esempio uno. L’utente Mario Rossi mette spesso un “like” sui post della pagina social di una galleria d’arte di pittori impressionisti. Il social media crea un cluster «interessato all’impressionismo» nel quale colloca il Sig. Rossi. Il cluster è quindi offerto dal social media ai targeter quale criterio di selezione di campagne marketing mirate.
Esempio due. L’utente Mario Rossi ha scaricato un’app per tifosi, ha impostato l’home page del suo browser con un sito per sportivi, spesso cerca risultati di partite sul motore di ricerca e visita siti di gambling e di microprestiti. Il social media, inoltre, registra la frequenza e i tempi di reazione del Sig. Rossi quando sono visualizzati particolari banner. Dalla combinazione di tutte questi elementi, il social media attribuisce al Sig. Rossi una serie di “etichette” che potrebbero essere: “interessato allo sport”, “reddito medio-basso”, “propenso al gioco d’azzardo”, “finanziariamente vulnerabile”, “impulsivo”[1].
Esempio tre. L’utente Mario Rossi visita spesso il sito di un quotidiano di area repubblicana, mette like sui post della pagina social di un tal politico di destra e scrive commenti utilizzando con una certa frequenza parole chiave rivelatrici di un determinato orientamento politico. Sebbene il Sig. Rossi non si esponga mai apertamente rilevando, nel suo status o altrove, le sue idee politiche, tutte le sue attività indicano chiaramente che egli è un conservatore, ancorché non attivista.
Trattamento potenziale senza consenso.
Negli esempi appena visti si nota subito una differenza: mentre nei primi due il social media procede con una profilazione dell’utente deducendo (creando quindi) un dato personale che lo riguarda, nel terzo esempio si limita a raccogliere i dati potenzialmente idonei alla profilazione (peraltro di carattere particolare), ma non compie il passo successivo di classificare il Sig. Rossi come simpatizzante di destra.
Ebbene, così stando le cose, secondo l’EDPB il social media deve senz’altro chiedere il consenso dell’utente prima di includerlo in un cluster negli esempi uno e due, anche se in quei casi non sta trattando dati particolari[2], ma non deve chiedere il consenso dell’utente quando raccoglie dati che solo potenzialmente, ma non in atto, sono in grado di classificare il Sig. Rossi come appartenente all’area della destra politica.
Il ragionamento sotteso pare essere una diretta applicazione di quanto chiarito dal WP29 (Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251, rev.01, p. 7) per il quale la profilazione è un processo che mira alla valutazione di certi aspetti personali per fare predizioni sul comportamento o sulle qualità di un individuo: «[t]he use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person».
Ebbene, nell’esempio tre, tale valutazione non è compiuta dal social media, anche se potrebbe compierla senza alcuna difficoltà in qualsiasi momento. Insomma, manca in un certo senso la consapevolezza del social media circa l’orientamento politico del Sig. Rossi, ma si tratta di una consapevolezza che potrebbe acquisire in un attimo se solo se lo chiedesse.
Considerazioni finali.
Se le normative sulla protezione dei dati personali, e da ultimo il GDPR, nascono dall’esigenza di contenere il potere dello stato e dei grandi provider delle telecomunicazioni e del web nei confronti dei singoli cittadini, e se il diritto alla protezione dei dati personali è stato addirittura riconosciuto come diritto fondamentale dell’individuo (art. 8 della Carta di Diritti Fondamentali dell’Unione Europea), è allora evidente che il solo fatto che gli operatori del web non profilino gli utenti, ma abbiano tuttavia tale possibilità alla portata di un clic, costituisce in sé un serio rischio per la nostra libertà.
La sola raccolta dei dati forniti dagli utenti, e soprattutto di quelli ottenuti da osservazione, può in realtà dire di noi molto più di quanto vorremmo far sapere, forse anche più di quanto noi stessi sappiamo, e tutte queste informazioni sono nella disponibilità dei grandi operatori del web.
Esiste tuttavia forse una via per ripristinare l’equilibrio di potere tra utente e provider. Se la tecnologia dell’informazione digitale ci ha esposto al pericolo della profilazione ad uso e privilegio di pochi grandi operatori della rete, la tecnologia della blockchain, sebbene ancora non matura, ci sta offrendo la possibilità di riportare nelle mani dell’utente finale la gestione della sua identità e la sorte dei suoi dati personali[3].
European Data Protection Board (EDPB), Linee Guida n. 8/2020
Francesco Rampone – f.rampone@lascalaw.com
© RIPRODUZIONE RISERVATA
[1] Si noti che nessuno sfugge alla clusterizzazione in quanto essa funziona anche in negativo: l’utente che non clicca mai sui banner di siti di gioco d’azzardo quando gli vengono mostrati sul browser viene comunque identificato come soggetto “non interessato al gambling”. Informazione di per sé assai interessante per il social media e per i targeter.
[2] Non ricorrono infatti le esimenti dell’art. 22 GDPR e anzi ricorre un’ipotesi di applicazione dell’art. 5(3) della Direttiva e Privacy nella misura in cui la visualizzazione dei banner sul browser del Sig. Mario Rossi implica un’operazione di lettura/scrittura di dati per incrociare i “like” con le informazioni già raccolte e conservate dal social media.
[3] In un mio prossimo contributo esplorerò le possibilità offerte dalla c.d. Self Sovereign Identity (SSI) in chiave DLT.
