top of page

Il targeting degli utenti dei social media: GuideLines EDPB 08/2020

Aggiornamento: 20 dic 2020

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha rilasciato in data 2 settembre 2020 le nuove Linee Guida n. 08/2020 sul targeting degli utenti dei social media, oggetto di consultazione pubblica fino al 19 ottobre 2020, con cui disciplina i rapporti tra social media provider e targeter.


Questo post costituisce una versione abbreviata della Raccomandazione inviata ai clienti per cui lo Studio svolge la funzione di DPO. Per ogni ulteriore informazione, contattaci qui.




A. Introduzione

A.1 Premessa

Le Linee Guida dell’EDPB 08/2020 prendono le mosse dalla giurisprudenza della Corte di Giustizia nei casi Wirtschaftsakademie, CGUE 5 Giugno 2018, C-210/16, ECLI:EU:C:2018:388 e Fashion ID, 29 Luglio 2019, C-40/17, ECLI:EU:C:2019:629, i quali hanno trattato il tema della interazione tra i social media provider (ad esempio i social network) e gli altri operatori online, da cui possono derivare responsabilità congiunte ai sensi del diritto europeo sulla protezione dei dati.


A.2 Scopo e Percorso delle Linee Guida

Le Linee Guida si prefiggono lo scopo di chiarire i ruoli e le responsabilità tra i social media provider ed i targeter, ossia tra i fornitori di social media e quegli operatori che svolgono azioni di targeting su o attraverso i social media, in relazione al trattamento dei dati degli utenti.

L’individuazione dei ruoli e delle responsabilità sottende la preliminare identificazione dei rischi cui gli utenti sono sottoposti in tali azioni di targeting e giunge alla soluzione, sostanzialmente uniforme per tutte le casistiche affrontate, per cui i social media provider ed i targeter sono contitolari e devono così definire tali ruoli e responsabilità attraverso un accordo ai sensi dell'art. 26 GDPR.


B. Rischi per i diritti e le libertà degli interessati

Le Linee Guida individuano i principali rischi cui sono soggetti gli interessati utenti dei social media, destinatari delle operazioni di targeting, che si devono prendere in considerazione nella valutazione del rapporto tra social media provider e targeter.

Tra i principali rischi possono annoverarsi:

  • il coinvolgimento dei dati personali in un modo che vada oltre le ragionevoli aspettative delle persone fisiche;

  • la possibilità di discriminazione e di esclusione delle persone fisiche;

  • la possibile manipolazione degli utenti;

  • la possibile indebita influenza in ambito politico;

  • il rischio di accesso diversificato a fonti di informazione;

  • la sensazione di sistematico monitoraggio;

  • l’aumento del rischio in relazione a categorie vulnerabili di persone fisiche.


C. Attori e ruoli

Le Linee Guida individuano quattro soggetti coinvolti nell’esperienza social:

  1. gli utenti

  2. i social media provider

  3. i targeter

  4. gli altri attori rilevanti

C.1 Gli utenti

Le Linee Guida si riferiscono agli utenti persone fisiche, come tali “interessati” ai sensi del GDPR (art. 4 n. 1) in quanto persone identificate o identificabili dai dati personali trattati.


C.2 I social media provider

I social media provider, o fornitori di servizi di social media, sono quegli operatori che offrono servizi social che permettono lo sviluppo di network e di comunità di utenti, tra i quali è permesso lo scambio di informazioni e di contenuti.


C.3 I targeter

Per targeter le Linee Guida intendono le persone fisiche o giuridiche che usano i servizi social al fine di rivolgere specifici messaggi ad un set specifico di utenti sulla base di specifici criteri o parametri.


C.4 Gli altri attori rilevanti

I targeter possono usare direttamente i meccanismi social oppure avvalersi di altri operatori, quali i fornitori di servizi di marketing, di ad network, ad exchange, data management provider (DMPs), società di data analytics, agenzie di di digital marketing, data intelligence e simili, che tipicamente svolgeranno il ruolo di responsabili del trattamento dei targeter ai sensi dell’art. 28 GDPR laddove effettueranno trattamenti di dati degli utenti interessati per conto dei targeter stessi.


C.5 Ruoli e responsabilità

Come anticipato, le Linee Guida prendono le mosse dalla giurisprudenza della Corte di Giustizia in particolare relativa ai casi Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17), ma anche Jehovah’s Witnesses (C-25/17).

Partendo dalla definizione di “titolare” del trattamento ai sensi dell’art. 4 n. 7 GDPR, la Corte di Giustizia ha stabilito che l’amministratore di una c.d. “fan page” su Facebook compartecipa alla determinazione delle finalità e dei mezzi di trattamento dei dati personali ed è così da qualificarsi come titolare.

Nel caso Wirtschaftsakademie la Corte afferma che la creazione di una fan page implica la definizione dei parametri stabiliti dall’amministratore, il che influenza il trattamento dei dati personali per la produzione di statistiche basate sulle visite.

Nel caso Fashion ID, la Corte ha invece stabilito che il gestore di un sito web può essere considerato titolare quando incorpori (“embeds”) un social plugin di Facebook che permetta di inviare dati personali a Facebook attraverso la navigazione sul proprio sito (pixel, ndr).

In tutti tali casi, la contitolarità deve essere disciplinata, ai sensi dell’art. 26.1 del GDPR, da un accordo che determini, in modo trasparente, le rispettive responsabilità in merito all’osservanza degli obblighi del GDPR.


D. I differenti meccanismi di targeting

Gli utenti dei social media possono essere targettizzati sulla base di:

  1. dati forniti dagli utenti stessi al social media provider o al targeter

  2. dati osservati

  3. dati dedotti / inferiti

D.1 Targeting sulla base di dati forniti dagli utenti stessi


D.1.1 Dati forniti al social media provider

In primo luogo, i dati possono essere forniti dagli utenti stessi al social media provider, ad esempio nel caso in cui l’utente comunichi la propria età nel suo profilo social.


Esempio 1 La società X vende calzature da uomo e desidera targettizzare, nella sua campagna di advertising, uomini tra i 30 ed i 45 anni che hanno indicato nei propri profili social tale età ed inoltre di essere single. A tale fine utilizzerà i corrispondenti criteri e parametri offerti dal social media provider per identificare il pubblico di riferimento. La campagna sarà inoltre visualizzata ai soli utenti che si connettano tra le ore 17 e le 20, per esplicita richiesta del targeter.


Ruoli

Nell’Esempio 1 entrambi gli attori partecipano alla determinazione delle finalità e dei mezzi del trattamento:

  • quanto alle finalità, la società X (targeter) ed il social media provider determinano congiuntamente a quale specifico set di persone fisiche far visualizzare la propria campagna;

  • quanto ai mezzi, entrambi gli attori parimenti partecipano alla determinazione, in quanto il targeter decide di utilizzare i servizi offerti dal social media provider e decide quali criteri di targettizzazione scegliere (età, condizione affettiva, ora di collegamento), mentre il social media provider mette a disposizione tali strumenti.


Basi giuridiche (art. 6 GDPR)

Nell’Esempio 1 il targeter potrebbe invocare la base giuridica del legittimo interesse (art. 6.1.f GDPR) da ravvisarsi nell’interesse economico ad incrementare la pubblicità dei propri beni attraverso le operazioni di targeting nei social media. Dal proprio lato, il social media provider potrebbe considerare essere proprio legittimo interesse far sì che i propri servizi social siano profittevoli attraverso la vendita di spazi pubblicitari.

L'esito di tale bilanciamento degli interessi dipenderà dalla presenza di controlli addizionali e di forme di protezione, ad esempio grazie a misure di previa opposizione da parte dell’interessato all’utilizzo dei propri dati per finalità di targeting.

Quanto invece al consenso, esistono situazioni in cui è chiaro che il trattamento non sarebbe valido senza tale base giuridica (art. 6.1.a), ad esempio nel caso di profilazione oppure nel caso di pratiche di tracking.

A tale proposito, si possono richiamare le Linee Guida sul consenso n. 05/2020 del 4 maggio 2020.

In nessun caso, il trattamento dei dati di cui all’Esempio 1 potrebbe invece essere giustificato dalla base giuridica della necessaria esecuzione di un contratto di cui l’interessato è parte o di misure precontrattuali adottate su richiesta dello stesso (art. 6.1.b), né dal social media provider, né dal targeter.


D.1.2 Dati forniti al targeter

Le operazioni di targeting possono inoltre coinvolgere dati personali forniti dall’utente al targeter, il quale li usa successivamente per svolgere azioni sui social media: ciò avviene ad esempio tramite il caricamento di liste preesistenti di dati sul social media, al fine di incrociare le informazioni con quelle presenti sul social medesimo.


Esempio 2 La Sig.ra Jones contatta la Banca X, via e-mail, per fissare un appuntamento per un possibile mutuo per acquistare una casa. Dopo l’appuntamento decide però di non proseguire e di non diventare cliente di quella banca. Ciononostante la banca aggiunge l’indirizzo e-mail della Sig.ra Jones nel proprio data-base, che successivamente utilizza caricandolo sul social media per incrociare le proprie liste di e-mail con le informazioni ivi possedute dal social media provider, per targettizzare le persone in relazione all’ambito dei servizi finanziari. Esempio 3 Il Sig. Lopez è cliente della Banca X da molti anni. Quando è diventato cliente, ha fornito il proprio indirizzo e-mail ed è stato informato al momento del conferimento che: (a) il suo indirizzo e-mail sarebbe stato utilizzato per offerte pubblicitarie collegate a servizi bancari che egli sta già usando; e che (b) può opporsi al trattamento in ogni momento. La Banca inserisce quindi l’indirizzo nelle proprie liste che successivamente usa per targettizzare i propri clienti sul social media nell'ambito dei servizi finanziari che ha offerto.


Ruoli

In entrambi i casi gli attori partecipano alla determinazione delle finalità e dei mezzi del trattamento e sono quindi titolari:

  • la Banca (targeter) perché raccoglie attivamente, tratta e trasmette i dati personali degli interessati al social media per scopi pubblicitari;

  • il social media provider perché assume la decisione di usare i dati personali conferiti dall’interessato sulla propria piattaforma.


Basi giuridiche

Nell’Esempio 2 il legittimo interesse (art. 6.1.f GDPR) non costituisce un’appropriata base giuridica del trattamento avendo riguarda al contesto in cui il dato è stato raccolto (re-targeting).

NelI’Esempio 3 il targeter (la Banca) potrebbe invece invocare il legittimo interesse per giustificare il trattamento.


D.2 Targeting sulla base di dati osservati

Esistono vari modi con cui i social media provider sono in grado di osservare il comportamento degli utenti: per esempio l’osservazione è possibile attraverso gli stessi servizi forniti sulle piattaforme social oppure esternamente attraverso social plug-in o pixel.


Esempio 4: targeting fondato su pixel Mr. Schmidt sta navigando online per acquistare uno zaino. Visita il sito web BestBags.com e vede un certo numero di articoli, ma decide di non fare alcun acquisto. L’operatore BestBags.com (il targeter) decide di targettizzare gli utenti del social media X che hanno fatto visita presso il proprio sito senza fare acquisti. A tal fine, integra nel proprio sito un c.d. tracking pixel fornito dal social media X. Quando il Sig. Schmidt lascia il sito BestBags.com ed apre il proprio account sul social media X, inizia a visualizzare la pubblicità degli zaini che aveva considerato navigando sul sito BestBags.com. Esempio 5: Geo-targeting La Sig.ra Michu ha installato l’applicazione di un social media sul proprio smartphone. Sta camminando a Parigi durante le vacanze. Il social media provider raccoglie informazioni sul percorso della Sig.ra Michu attraverso le funzionalità GPS del proprio smartphone utilizzando i permessi che lei stessa ha dato al social media provider quando ha installato l’applicazione. La Sig.ra Michu torna al suo hotel, che è situato vicino ad una pizzeria. La pizzeria usa le funzionalità di geo-targeting offerte dal social media provider per targettizzare le persone che sono nel raggio di 1 km dai propri locali per la prima volta negli ultimi 6 mesi. Quando apre la propria applicazione social sul proprio smartphone, la Sig.ra Michu visualizza la pubblicità della pizzeria, le viene fame ed ordina una pizza online.


Ruoli

Nell’Esempio 4, sia il targeter che il social media provider partecipano alla determinazione delle finalità e dei mezzi del trattamento, che consiste nella visualizzazione della pubblicità mirata al Sig. Schmidt grazie all'installazione del pixel.