Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha rilasciato in data 2 settembre 2020 le nuove Linee Guida n. 08/2020 sul targeting degli utenti dei social media, oggetto di consultazione pubblica fino al 19 ottobre 2020, con cui disciplina i rapporti tra social media provider e targeter.
Questo post costituisce una versione abbreviata della Raccomandazione inviata ai clienti per cui lo Studio svolge la funzione di DPO. Per ogni ulteriore informazione, contattaci qui.
A. Introduzione
A.1 Premessa
Le Linee Guida dell’EDPB 08/2020 prendono le mosse dalla giurisprudenza della Corte di Giustizia nei casi Wirtschaftsakademie, CGUE 5 Giugno 2018, C-210/16, ECLI:EU:C:2018:388 e Fashion ID, 29 Luglio 2019, C-40/17, ECLI:EU:C:2019:629, i quali hanno trattato il tema della interazione tra i social media provider (ad esempio i social network) e gli altri operatori online, da cui possono derivare responsabilità congiunte ai sensi del diritto europeo sulla protezione dei dati.
A.2 Scopo e Percorso delle Linee Guida
Le Linee Guida si prefiggono lo scopo di chiarire i ruoli e le responsabilità tra i social media provider ed i targeter, ossia tra i fornitori di social media e quegli operatori che svolgono azioni di targeting su o attraverso i social media, in relazione al trattamento dei dati degli utenti.
L’individuazione dei ruoli e delle responsabilità sottende la preliminare identificazione dei rischi cui gli utenti sono sottoposti in tali azioni di targeting e giunge alla soluzione, sostanzialmente uniforme per tutte le casistiche affrontate, per cui i social media provider ed i targeter sono contitolari e devono così definire tali ruoli e responsabilità attraverso un accordo ai sensi dell'art. 26 GDPR.
B. Rischi per i diritti e le libertà degli interessati
Le Linee Guida individuano i principali rischi cui sono soggetti gli interessati utenti dei social media, destinatari delle operazioni di targeting, che si devono prendere in considerazione nella valutazione del rapporto tra social media provider e targeter.
Tra i principali rischi possono annoverarsi:
il coinvolgimento dei dati personali in un modo che vada oltre le ragionevoli aspettative delle persone fisiche;
la possibilità di discriminazione e di esclusione delle persone fisiche;
la possibile manipolazione degli utenti;
la possibile indebita influenza in ambito politico;