Le linee guida dell’EDPB sul targeting degli utenti dei social media
di Carmine A. Perri
Background
Le linee guida dell’EDPB (“European Data Protection Board”) n.8/2020 rispondono alla necessità di disciplinare il targeting degli utenti sui social media oramai divenuto uno dei principali strumenti di business per le aziende.[1]
Grazie allo sviluppo di algoritmi sempre più raffinati, infatti, negli ultimi dieci anni si sono messi a punto strumenti capaci di indirizzare gli utenti durante la navigazione su internet verso prodotti e servizi attagliati sulle loro specifiche esigenze e/o desideri attraverso l’utilizzo dei dati da questi ultimi forniti e/o condivisi o, spesso, anche sulla base di dati osservati o dedotti dai providers e raccolti dalle piattaforme per supportare le opzioni di targeting degli annunci.[2]
Proprio per scongiurare l’affermazione e/o il consolidamento di modelli di business poco rispettosi dei dati personali degli utenti, l’EDPB ha adottato le guidelines in commento che intendono, da un lato, evidenziare la differenza di ruoli e responsabilità tra social media providers, targeters, etc. e, dall’altro, individuare i potenziali rischi per i diritti e le libertà degli utenti sottoposti a tali tipologie di trattamento dei dati personali.
L’EDPB ha rilasciato una prima versione delle guidelines il 2 settembre 2020 aperta ad una consultazione pubblica, chiusasi nel successivo mese di dicembre.[3]
Il 13 aprile 2021 l’EDPB ha, poi, pubblicato la nuova versione delle linee guida, così come modificata in seguito agli spunti di riflessione e ai contributi ricevuti durante la precedente fase di consultazione.[4]
Focus sulle linee guida dell’EDPB
In via preliminare, è opportuno, fornire una definizione dell’attività di “targeting”, descrivendola come quel processo che, a partire dagli obiettivi di marketing dell’impresa e attraverso una fase preliminare di analisi e segmentazione della domanda di mercato, consente di individuare i segmenti obiettivo (e.g.“target”) verso i quali orientare il marketing dell’impresa.[5]
La metodologia seguita dall’EDPB è stata quella di rendere il documento il più possibile snello e ricco di esempi pratici per esaltarne l’intento divulgativo.
Un importante punto di partenza è rappresentato dal richiamo a tre importanti pronunce della Corte di Giustizia dell’Unione Europea (“CGUE”), cioè le sentenze Wirtschaftsakademie (C-210/16)[6], Jehovah’s Witnesses (C-25/17)[7] e Fashion ID (C-40/17)[8], riguardanti la corretta individuazione dei ruoli e delle responsabilità in ambito privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti.
Le linee guida in esame, infatti, si pongono in linea di continuità con le sentenze citate, affidando particolare importanza all’individuazione di un possibile rapporto di contitolarità ex Art. 26 GDPR tra i social media providers e targeters (v. infra).
- Protagonisti e ruoli del social media targeting
Il campo di applicazione delle linee guida in commento copre le relazioni tra gli utenti registrati di una rete sociale, i suoi fornitori, così come i targeters, attraverso una definizione scrupolosa di tali soggetti volta a mettere in evidenza le funzioni da questi espletate durante le attività di targeting:
- Social media providers:
I fornitori di social media (“social media providers”) sono quegli operatori che offrono un servizio online che permette lo sviluppo di reti e comunità di utenti, tra i quali si condividono informazioni e contenuti, determinandone le funzionalità del servizio.
Tale attività implica, a sua volta, la scelta – da parte dei providers- dei dati trattati e la determinazione dello scopo, delle condizioni, così come delle modalità di trattamento dei dati personali. Tutto ciò permette la fornitura del servizio di social media, ma anche la fornitura di servizi come il targeting di cui possono beneficiare i partner commerciali che operano sulla piattaforma di social media o in collaborazione con essa.
- Utenti:
Coloro che fanno uso dei social media a diverso titolo e per diversi scopi. Va notato che il termine “utente” è tipicamente usato per riferirsi agli individui registrati ad un servizio social (cioè coloro che hanno un “account” o un “profilo”).
Tuttavia, siano o meno utenti di una piattaforma social, gli individui oggetto delle attività di targeting dovranno essere comunque considerati “interessati” ai sensi dell’articolo 4(1) GDPR poiché essi sono direttamente o indirettamente identificati o identificabili.
- Targeters:
Le linee guida utilizzano il termine “targeter” per designare le persone fisiche o giuridiche che utilizzano i servizi dei social media al fine di indirizzare messaggi specifici ad un insieme di utenti dei social media sulla base di parametri o criteri specifici. La linea di discrimine tra i targeters e gli altri utenti dei social media è che i primi selezionano i loro messaggi e/o il loro pubblico di riferimento in base alle caratteristiche, agli interessi o alle preferenze percepite degli interessati, una pratica che a volte viene anche definita come “micro-targeting”.[9]
- Altri soggetti rilevanti:
Sono, ad esempio, i fornitori di servizi di marketing, le reti pubblicitarie, i fornitori di gestione dei dati (DMP) e le società di analisi dei dati. Questi attori fanno parte del complesso ecosistema pubblicitario online (e.g. ”adtech”) che raccoglie ed elabora i dati personali (compresi quelli degli utenti dei social media), ad esempio tracciando le loro attività su siti web e applicazioni.
2. Distinzione tra le varie tipologie di dati oggetto di targeting
Proseguendo con l’analisi delle guidelines n. 8/2020, è opportuno soffermarsi sull’analisi dei principali meccanismi di targeting in esse contenute effettuata sulla base della distinzione delle fonti da cui vengono acquisiti i dati personali degli utenti.
Pertanto, si distingue tra:
- “Provided data”: in questi casi il targeting viene effettuato sulla base di dati personali forniti direttamente dall’utente al social media provider e/o al targeter (ad esempio i dati relativi all’età, al nome, al sesso, al luogo di residenza etc.);
- “Observed data”: sono quei dati forniti dall’interessato in virtù dell’utilizzo di un servizio o di un dispositivo (ad esempio, la sua attività sulla piattaforma del social media stesso e i contenuti che esso ha consultato, condiviso e/o apprezzato; le coordinate GPS; il numero di telefono cellulare, etc.). Tali dati possono essere acquisiti attraverso il servizio di social media stesso o anche attraverso la raccolta di dati su siti esterni in virtù dell’installazione di social plug-in o di pixel (e.g. pixel-based targeting, geoblocking etc.).
- “Inferred data” o “Derived data”: i “dati desunti” o “dati derivati” sono, invece, quei dati che derivano dall’osservazione del comportamento dell’utente sui social o sul web (ad esempio tutti quei dati relativi al comportamento di navigazione web e/o alle connessioni di rete dell’utente).
L’EDPB fornendo degli esempi concreti relativi all’utilizzo delle categorie di dati personali per finalità di targeting, individua per ogni singolo caso proposto le basi giuridiche da utilizzare.
In generale, si evidenzia che, in questi casi, le basi giuridiche necessarie per autorizzare il trattamento di dati vadano individuate, innanzitutto, nel consenso dell’interessato ex Art. 6(a) GDPR ed, inoltre, al ricorrere di determinate condizioni (ad esempio nei casi di “soft-spam”), nell’interesse legittimo del titolare ex art. 6(f) GDPR che, però, dovrà essere raccolto con estremo rispetto dei diritti dell’interessato e solo in casi eccezionali.
Per quanto concerne l’uso di provided data concessi al targeter, ad esempio, al fine dell’utilizzo della base giuridica dell’interesse legittimo è previsto che, per giustificarne l’utilizzo, sarà necessario che l’interessato sia stato preventivamente informato che: a) il suo indirizzo e-mail può essere utilizzato per fini pubblicitari tramite i social media per servizi collegati a quello utilizzato dall’interessato, (b) la pubblicità riguarda servizi simili a quelli per cui l’utente è già cliente del targeter e (c) ha la possibilità di opporsi prima del trattamento, nel momento in cui i dati personali sono stati raccolti dal targeter.
Per quanto riguarda le ipotesi di profilazione dell’utente tramite monitoraggio, processo decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato ex art. 6(a) GDPR, che dovrà caratterizzarsi, in ogni caso, per essere libero, specifico, informato e inequivocabile nel rispetto delle condizioni di cui agli Artt. 4(11) e 7 GDPR.[10]
In ogni caso, viene chiarito dalle guidelines che ex Art. 5(1)(b) GDPR i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi. Pertanto, il semplice uso della parola “advertising” nell’informativa non potrà essere ritenuto sufficiente per giustificare attività di targeting. Inoltre, l’EDPB su tale punto chiarisce che è necessario rendere trasparente agli interessati le varie tipologie di attività di trattamento che vengono effettuate attraverso un linguaggio il più possibile semplice e chiaro ed in modo conciso, trasparente ed in una forma comprensibile e facilmente accessibile.
3. Categorie particolari di dati
Nel contesto dei social media e del targeting sarà, inoltre, necessario determinare se il trattamento dei dati personali coinvolga dati particolari ex Art. 9(2) GDPR e se tali dati siano trattati dal fornitore di social media, dal targeter o da entrambi.
Nel caso in cui sia il social media provider a trattare tali dati per scopi di targeting, quest’ultimo dovrà trovare una base giuridica per il trattamento nell’Art. 6 GDPR e fare affidamento su un’esenzione nell’Art. 9(2) GDPR, come ad esempio il consenso esplicito secondo l’Art. 9(2)(a) GDPR.
Va sottolineato, inoltre, che nel caso in cui un targeter ingaggi un social media provider per richiedere un servizio di targeting degli utenti, il targeter sarà congiuntamente responsabile con il social media provider per il trattamento degli stessi.
Di estremo interesse risulta, poi, la parte delle guidelines che concerne l’eccezione di cui all’Art. 9(2)(e), relativa a categorie particolari di dati resi manifestamente pubblici.
L’EDPB individua, infatti, alcuni criteri idonei ad individuare il carattere “manifestamente pubblico” dei dati personali (i.e. (i) le impostazioni predefinite della piattaforma di social media, (ii) la natura della piattaforma dei social media, (iii) l’accessibilità della pagina in cui sono pubblicati i dati sensibili, (iv) la visibilità delle informazioni in cui l’interessato è informato della natura pubblica delle informazioni che condivide, (v) la pubblicazione dei dati sensibili direttamente da parte dell’interessato o da parte di un terzo o la loro natura di “dati dedotti”) notando, al contempo, che la presenza di un singolo elemento può non essere in sé sufficiente a stabilire che i dati sono stati “manifestamente” resi pubblici dalla persona interessata.
Pertanto, al fine dell’utilizzabilità di tali dati per finalità di targeting, per i titolari sarà necessario prendere in considerazione una combinazione degli elementi individuati nelle linee guida al fine di dimostrare che l’interessato abbia chiaramente manifestato l’intenzione di rendere pubblici i dati. Sarà, dunque, necessaria una valutazione caso per caso.
4. Accordo di contitolarità e responsabilità dei contitolari
Come già anticipato, su tale punto, L’EDPB si pone in linea di continuità con le summenzionate sentenze della CGUE in materia di contitolarità tra fornitori dei social media ed altri soggetti coinvolti. Pertanto, nelle guidelines viene previsto che l’accordo ex Art. 26 GDPR tra social media providers e targeters debba prevedere tutte le operazioni di trattamento per le quali essi sono congiuntamente responsabili e, altresì, contemplare informazioni sufficientemente dettagliate riguardo alle specifiche operazioni di trattamento dei dati che hanno luogo, comprese quelle di cui agli Artt.5(1) e 5(2) GDPR.
E’ necessario, inoltre, che l’accordo ex Art. 26 sia rispettoso di alcuni principi generali dettati dal GDPR quali il rispetto dei principi di limitazione delle finalità, di trasparenza e di legalità.[11]
Al fine di garantire che i diritti dell’interessato possano essere conciliati efficacemente, l’EDPB ritiene che lo scopo del trattamento e la corrispondente base giuridica debbano essere riflessi anche nell’accordo congiunto tra i contitolari del trattamento. Sebbene il GDPR non impedisca a questi ultimi di utilizzare basi giuridiche diverse per i diversi trattamenti effettuati da ciascuno dei contitolari, le guidelines raccomandano l’utilizzo della stessa base giuridica in riferimento ad un particolare strumento di targeting e per una particolare finalità. Infatti, se ogni fase del trattamento fosse fondata su una base giuridica diversa, l’esercizio dei diritti per l’interessato verrebbe reso impraticabile.
Infine, oltre a ricordare l’importanza del rispetto dei principi di cui agli Artt. 5 e ss. GDPR nell’accordo di contitolarità, l’EDPB stabilisce che tale accordo dovrà contenere informazioni specifiche su come gli obblighi previsti dal GDPR saranno soddisfatti a livello pratico dai contitolari.
Il grado di responsabilità del targeter e del social media provider in caso di mancata osservanza degli obblighi summenzionati, infatti, potrà variare poiché il loro livello di responsabilità dovrà essere calibrato rispetto al loro ruolo effettivo nel trattamento.
Bisogna considerare che, per valutare il livello di responsabilità dei targeter e dei social media providers, diversi fattori possono acquisire rilevanza come: la conoscenza effettiva delle singole fasi del trattamento da parte di ciascuno dei contitolari, nonché la loro concreta capacità di influenzare il trattamento.
Su tale punto, infatti, l’EDPB osserva che dovrà tenersi conto che diversi meccanismi di targeting si basano sulla profilazione e/o altre attività di trattamento precedentemente intraprese in via esclusiva dal social media provider, come ad esempio quelli relativi alla scelta delle categorie di dati trattati, ai criteri di targeting offerti, nonché alla scelta dei targeters che avranno accesso a tali dati personali nel contesto di una campagna di targeting.
Principali punti controversi
Molteplici sono state le critiche che hanno investito le linee guida n.8/2020.[12]
Tra queste, è opportuno segnalarne una prima che si è concentrata sull’aprioristica esclusione della base giuridica dell’Art. 6(1)(b) GDPR ossia quella data dall’esecuzione di un contratto.
Si è notato, infatti, come su tale aspetto l’EDPB abbia preso una posizione totalmente contraddittoria rispetto a quella resa nelle guidelines n.2/2019 in cui, entro certi limiti, veniva considerato ammissibile l’utilizzo della suddetta base giuridica nell’ambito della pubblicità online.[13]
Un ulteriore punto controverso ha riguardato, poi, la fattispecie della contitolarità, così come delineata nelle linee guida, che da più parti è stata ritenuta troppo ampia.
L’aver assimilato la posizione di providers e targeters, attribuendo una responsabilità congiunta anche nei casi in cui questi ultimi abbiano aderito ad accordi ex Art. 26 predefiniti dai providers senza alcuna possibilità di negoziare o apportare modifiche, è stata, infatti, da più parti ritenuta come una eccessiva semplificazione delle posizioni dei due contitolari oltre che una palese forzatura interpretativa.[14]
Infine, un’ulteriore criticità è stata riscontrata nella mancata disciplina di un modello di business molto diffuso, denominato “lookalike advertising”, che consente di individuare, attraverso un algoritmo, un pubblico rilevante del tutto simile a quello già fatto oggetto di targeting. In questi casi, la critica mossa alle linee guida n.8/2020 ha riguardato la mancanza di considerazione della posizione dei targeters e dei providers, nonostante il trattamento dei dati personali in questi ambiti presupponga necessariamente un’attività di profilazione.[15]
Conclusioni
Le linee guida n. 8/2020 hanno avuto l’indubbio merito di affrontare un tema di estrema importanza, offrendo finalmente un quadro di riferimento ad un settore molto complesso come quello del targeting degli utenti sui social media.
Indubbiamente, attraverso le guidelines si è tentato di riorganizzare tale settore mirando anche ad incidere sui modelli di business che lo regolano.
Tuttavia, nonostante l’intervento dell’EDPB sia stato percepito come urgente e non più procrastinabile sia dalle aziende che dagli operatori del diritto, questo è sembrato rispondere più a finalità di politica del diritto che di interpretazione del diritto.[16] Infatti, il principale limite di queste guidelines appare essere quello di aver suggerito delle best practices senza però incidere in concreto su tali strumenti di business.
Bibliografia:
[1] Brighenti L., Il targeting sui social media: i paletti privacy dell’EDPB, in Agenda Digitale, 3/11/2020;
[2] Lloyd I.J., Information Technology law, Oxford University Press, 2014;
[3] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-082020-targeting-social-media-users_it
[4] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_en
[5] https://economictimes.indiatimes.com/definition/target-market;
[6] Corte di Giustizia dell’Unione Europea, Grande sez., sentenza Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contro Wirtschaftsakademie Schleswig-Holstein GmbH, 5 giugno 2018;
[7] Corte di Giustizia dell’Unione Europea, Grande sez., sentenza Tietosuojavaltuutettu contro Jehovan todistajat — uskonnollinen yhdyskunta, 10 luglio 2018;
[8] Corte di Giustizia dell’Unione Europea, II sez., Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, 29 luglio 2019;
[9] Belfi M. Social media targeting: gli esempi dell’EDPB su ruoli, responsabilità e meccanismi, in Cybersecurity 360, 28/09/2020;
[10] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;
[11] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;
[12] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-082020-targeting-social-media-users_it
[13] https://edpb.europa.eu/sites/default/files/webform/public_consultation_reply/facebook_comments_on_edpb_guidelines_on_the_targeting_of_social_media_users.pdf
[14] (inter alia) https://edpb.europa.eu/sites/default/files/webform/public_consultation_reply/edpb_guidelines_2020.pdf
[15] https://edpb.europa.eu/sites/default/files/webform/public_consultation_reply201019_edpb_social_media_targeting_dagital_en.pdf
[16] Istituto Italiano per la Privacy e la Valorizzazione dei dati personali (IIP), Open Webinar – Privacy e Social Media Targeting, 2020.
Autore: