L’esponenziale crescita nell’ultimo decennio dei social media, utilizzati nei più svariati ambiti della vita quotidiana e personale, ha favorito sempre di più l’esposizione degli utenti alle pratiche di business tipiche degli stessi, ovvero la targhettizzazione a scopo commerciale e promozionale. I servizi di “targeting” consentono infatti a soggetti di varia natura, denominati targeters, di veicolare agli iscritti al social media messaggi mirati al fine di promuovere principalmente interessi commerciali.

L’utente si è ormai abituato nel vedere sponsorizzazioni e pubblicità mirate sulle diverse piattaforme alle quali è iscritto, ma è pienamente consapevole dei meccanismi che stanno alla base e dei rischi che questi comportino sul fronte della protezione dei dati personali?

L’utilizzo di meccanismi di targeting può infatti comportare svariati rischi per i diritti e le libertà degli utenti sia in termini di un uso dei dati personali spregiudicato e poco trasparente che nell’ottica di una perdita di controllo dei dati da parte dell’utente.

L’European Data Protection Board (di seguito EDPB) si è recentemente pronunciato in materia con le Linee guida n. 8/2020 On the targeting of social media users, con l’intento anzitutto di definire ruoli e responsabilità privacy tra gli attori del social media targeting ovvero: targeters, fornitori dei social media, utente ed altri soggetti coinvolti in tale processo.

 

Premessa

L’intervento dell’EDPB si pone in linea di continuità con quanto già evidenziato dalla Corte di Giustizia dell’Unione europea (di seguito CGUE) nelle due sentenze Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17), richiamate all’interno delle presenti Linee guida, con le quali la CGUE ha sottolineato l’importanza della corretta identificazione dei ruoli e delle responsabilità privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti, ravvedendo un possibile rapporto di contitolarità secondo quanto previsto dall’art. 26 del Reg. UE 2016/679 (di seguito GDPR).

Di seguito analizziamo insieme gli aspetti più salienti delle Linee guida n. 8/2020 On the targeting of social media users.

 

Gli attori del social media targeting

  1. L’attività di social media targeting, come sopra anticipato, vede il coinvolgimento di quattro categorie di soggetti: gli utenti, ovvero coloro che sono iscritti e registrati ad un social media e che possiedono dunque un “account” o un “profilo” personale. Sul punto l’EDPB riconduce in tale categoria anche coloro che non sono di fatto registrati ad un social media ma possono comunque accedere ad alcuni servizi e funzionalità degli stessi. Nel momento in cui tali soggetti siano identificati o identificabili direttamente o indirettamente, rientrano nella nozione di “interessato” ai sensi dell’art. 4.1 GDPR;
  2. I social media providers, cioè i fornitori dei social media, i quali determinano le funzionalità delle piattaforme social e/o delle relative App, la tipologia dei dati raccolti degli utenti, nonché le finalità per i quali sono trattati. A tal proposito l’EDPB sottolinea la possibilità per i social media providers di raccogliere ingenti quantità di dati relativi agli utenti registrati e non, non solo con riferimento ai dati forniti direttamente, ma anche e soprattutto rispetto ai dati dedotti da comportamenti e dalle interazioni di quest’ultimi, in grado di fornire informazioni aggiuntive circa le proprie preferenze ed interessi. L’EDPB precisa, inoltre, come i social media providers siano altresì in grado di raccogliere dati ed informazioni mediante attività definite “off-platform”, combinando dati derivanti da terze fonti, sia online che offline;
  3. I targeters, ovvero coloro che utilizzano i social media al fine di indirizzare messaggi mirati agli utenti, sulla base delle caratteristiche, degli interessi e delle preferenze manifestate dagli stessi sui social media;
  4. Altri soggetti coinvolti quali ad esempio i fornitori di servizi marketing, reti pubblicitarie e società di analisi dei dati, i quali raccolgono ed elaborano i dati degli utenti monitorando le loro attività sui siti web o sulle App.

Ciò premesso, quali sono i ruoli e le responsabilità privacy che si possono configurare tra questi soggetti?

Ruoli e responsabilità privacy

Per rispondere a questa domanda, l’EDPB richiama le due sentenze della CGUE sopra menzionate, Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17), le quali partono dalla definizione di Titolare del trattamento ex art. 4.7 del GDPR, ovvero: “la persona fisica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Nel citare la sentenza Wirtschaftsakademie (C-210/16), l’EDPB evidenzia come secondo la CGUE, l’amministratore di una c.d. “fan page” su Facebook (targeter) sia da considerarsi Contitolare del trattamento insieme a Facebook, in quanto partecipa alla determinazione dei mezzi e delle finalità del trattamento dei dati personali. Più precisamente, la CGUE ritiene che, grazie alle funzionalità messe a disposizione di Facebook, l’amministratore di una “fan page” sia in grado di definire dei parametri tali da influenzare il processo di trattamento dei dati personali degli utenti, al fine di produrre statistiche basate ad esempio sul numero di visite della stessa “fan page”. Nel definire quindi il targeter di una “fan page”, Contitolare del trattamento insieme a Facebook, limitatamente alla pagina amministrata, la CGUE ribadisce in ogni caso il ruolo primario di Facebook.

Diversamente, nella sentenza Fashion ID (C-40/17) la CGUE precisa come il Titolare di un sito web possa essere considerato, limitatamente ad alcuni specifici trattamenti, Contitolare con il social media laddove il sito web incorpori un “social plugin” che consente al browser dell’utente di trasmettere i propri dati personali al social media. Nel caso di Facebook si fa riferimento al pulsante “Mi piace”.  Tale contitolarità è da ravvedersi, secondo la CGUE, con riferimento alla raccolta dei dati degli utenti ai fini della trasmissione dal sito web al social media e non anche per eventuali operazioni precedenti o successive.

Con riferimento dunque a tale rapporto di contitolarità tra social media provider e targeter suggerito dalla CGUE, l’EDPB nelle Linee guida precisa tuttavia come la stessa non debba necessariamente implicare uno stesso livello di responsabilità tra i due soggetti coinvolti. Ai sensi dell’art. 26 GDPR, è tuttavia necessario determinare in modo trasparente, mediante apposito accordo di contitolarità, le rispettive responsabilità e perimetri di azione.

Dati personali degli utenti e basi giuridiche

L’EDPB prosegue analizzando i principali meccanismi di targeting effettuando una distinzione in base alla fonte dei dati personali degli utenti:

  • Targeting basato su “Provided data”, cioè su dati forniti direttamente dall’utente o al social media provider o al targeter, quali ad esempio data di nascita, sesso, nome e cognome, rilasciati in fase di creazione di un “account” social;

 

  • Targeting basato su “Observed data”, ovvero sulla base di dati osservati e rilevati dall’utilizzo di un determinato servizio. Rientrano in questa categoria i dati raccolti tramite plug-in o pixel di tracciamento, nonché le attività compiute dall’utente sul social media;

 

  • Targeting basato su “Inferred data” o “Derived data”, cioè sui dati derivanti dall’osservazione del comportamento dell’utente sul social o sul web.

Rispetto alle basi giuridiche da utilizzare, l’EDPB ribadisce come le stesse siano da rinvenirsi nel consenso dell’interessato ex art. 6, lett. A) GDPR o eventualmente, al ricorrere di determinate condizioni tra cui ad esempio il c.d. Soft-Spam, nell’interesse legittimo del Titolare ex art. 6, lett. F) GDPR, con tutte le implicazioni che l’individuazione di tale base giuridica, piuttosto insidiosa, comporta.

Sul punto è importante precisare inoltre come le Linee guida, in caso di profilazione dell’utente tramite monitoraggio, processo decisionale automatizzato o mediante l’utilizzo di cookies, individuino come unica base giuridica lecita ed applicabile il consenso dell’interessato. Consenso che ricordiamo dover essere libero, specifico, informato e inequivocabile nel rispetto delle condizioni di cui agli artt. 4.11 e 7 GDPR.

 

Conclusioni

Con le Linee guida 08/2020 l’EDPB ha dunque voluto fornire, anche attraverso il ricorso a molteplici esempi pratici, alcuni spunti di riflessione su una tematica ormai all’ordine del giorno, così da venire in soccorso alle Aziende che rivestono il ruolo di targeter o social media provider.

Si tratta indubbiamente di un punto di partenza. Le Linee guida sono infatti state in consultazione pubblica fino al 19 ottobre 2020, ricevendo moltissimi feedback anche da parte di Top Player del settore quale Facebook Ireland Ltd. Non ci resta che aspettare la versione definitiva!

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!