Secondo articolo della serie a commento delle Linee Guida n. 8/2020 adottate dall’European Data Protection Board (EDPB) dello scorso 2 settembre in tema di «targeting of social media users». Qui la prima parte e qui la terza.
Proseguiamo con l’analisi dei casi più frequenti di trattamento dati personali in ambito di digital marketing.
La volta scorsa abbiamo visto il caso degli amministratori di pagine social e dei targeter, ovvero degli inserzionisti dei social media che forniscono i parametri per individuare i “soggetti target” della campagna pubblicitaria. Si tratta di casi in cui la clusterizzazione è compiuta attraverso il trattamento dei dati forniti dagli utenti del social (residenza, età, sesso, preferenze, ecc.).
Questa volta vediamo invece come i medesimi obiettivi di selezione dei target si possono raggiungere, non attraverso i dati da questi forniti, ma attraverso il trattamento di dati ottenuti dalla loro osservazione.
Browsing
Mentre navighiamo nel web, le nostre attività sono monitorate dai siti di ecommerce che visitiamo. Questi, utilizzano i cc.dd. “pixel di traking”, brevi linee di codice scritte nelle pagine web che osservano e trasmettono ad un social media le attività compiute dall’utente (ogni social ha il suo traking pixel a disposizione dei targeter).
Quando poi ci colleghiamo al nostro social network, quest’ultimo, trattando i dati ricevuti dal traking pixel, ci mostra nei banner proprio i prodotti del targeter.
Stesso risultato, anche più incisivo, si ottiene nel caso in cui il social media, con utilizzo di cookies e plug-in, raccoglie i dati di navigazione degli utenti incrociandoli con quelli già in proprio possesso. In tal caso, la mole di dati riferibili all’utente è più vasta e il targeting più efficacie.
Geolocalizzazione
Quando passiamo vicino ad un negozio o una pizzeria a meno di una certa distanza, il nostro account social ci può avvisare non solo della presenza dell’esercizio in questione, ma anche di eventuali sue promozioni commerciali.
Il risultato è raggiunto incrociando i dati di geolocalizzazione rilevati dal mobile device dell’utente con le informazioni fornite da targeter.
Titolarità congiunta
Esattamente come nel caso del targeting compiuto attraverso criteri di clusterizzazione selezionati dal targeter sui dati personali forniti dagli utenti registrati su social media (parte I), anche nei casi sopra visti, il targeter è contitolare del trattamento assieme al social network.
La differenza, in questo caso, è che i dati personali non sono direttamente forniti dall’utente, ma rilevati da un device o dai gestori delle pagine web visitate. Sono quindi dati da osservazione della condotta e delle abitudini dell’utente. Ciò non di meno, il loro trattamento non si può sottrarre all’applicazione degli artt. 6 e 7 GDPR e 5(3) della Direttiva ePrivacy e quindi l’utente deve essere chiaramente informato della sorte dei suoi dati, ovvero del loro impiego in attività di marketing mirato e della possibilità di revocare il consenso, altrettanto facilmente di come lo ha prestato, in qualsiasi momento e senza motivazione.
La responsabilità per un difetto di informativa e di consenso ricade quindi tanto sul social media che sul targeter. In particolare, allorché un consenso è ottenuto in relazione al trattamento compiuto da più titolari, tutti questi devono essere espressamente nominati (indicati) nella relativa informativa. E se qualcuno di loro non fosse già fin da subito identificato, occorrerà integrare l’informativa e raccogliere lo specifico consenso alla prima occasione di trattamento (il targeter che integra un plug-in nel proprio sito web deve pertanto informare l’utente e chiedere il suo consenso prima del monitoraggio dei dati di navigazione dell’utente).
In definitiva, il trattamento compiuto con cookie, plug-in e pixel, deve avere una base legale di trattamento ai sensi dell’Art. 6 GDPR (vedi l’Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR). Tale legittimazione non può venire dal legittimo interesse (art. 6.1, lett. f) poiché tale esimente dal consenso non può operare in caso di utilizzo di tecnologia di traking, come chiarito in WP251, rev. 01, p. 15 («Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 ») e, soprattutto, in WP217, pp. 32 e 48 («Opinion on legitimate interest of the data controller under Article 7 of Directive 95/46/EC»).
European Data Protection Board (EDPB), Linee Guida n. 8/2020
Francesco Rampone – f.rampone@lascalaw.com
© RIPRODUZIONE RISERVATA
