Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha rilasciato in data 2 settembre 2020 le nuove Linee Guida n. 08/2020 sul targeting degli utenti dei social media, oggetto di consultazione pubblica fino al 19 ottobre 2020, con cui disciplina i rapporti tra social media provider e targeter.
Questo post costituisce una versione abbreviata della Raccomandazione inviata ai clienti per cui lo Studio svolge la funzione di DPO. Per ogni ulteriore informazione, contattaci qui.
A. Introduzione
A.1 Premessa
Le Linee Guida dell’EDPB 08/2020 prendono le mosse dalla giurisprudenza della Corte di Giustizia nei casi Wirtschaftsakademie, CGUE 5 Giugno 2018, C-210/16, ECLI:EU:C:2018:388 e Fashion ID, 29 Luglio 2019, C-40/17, ECLI:EU:C:2019:629, i quali hanno trattato il tema della interazione tra i social media provider (ad esempio i social network) e gli altri operatori online, da cui possono derivare responsabilità congiunte ai sensi del diritto europeo sulla protezione dei dati.
A.2 Scopo e Percorso delle Linee Guida
Le Linee Guida si prefiggono lo scopo di chiarire i ruoli e le responsabilità tra i social media provider ed i targeter, ossia tra i fornitori di social media e quegli operatori che svolgono azioni di targeting su o attraverso i social media, in relazione al trattamento dei dati degli utenti.
L’individuazione dei ruoli e delle responsabilità sottende la preliminare identificazione dei rischi cui gli utenti sono sottoposti in tali azioni di targeting e giunge alla soluzione, sostanzialmente uniforme per tutte le casistiche affrontate, per cui i social media provider ed i targeter sono contitolari e devono così definire tali ruoli e responsabilità attraverso un accordo ai sensi dell'art. 26 GDPR.
B. Rischi per i diritti e le libertà degli interessati
Le Linee Guida individuano i principali rischi cui sono soggetti gli interessati utenti dei social media, destinatari delle operazioni di targeting, che si devono prendere in considerazione nella valutazione del rapporto tra social media provider e targeter.
Tra i principali rischi possono annoverarsi:
il coinvolgimento dei dati personali in un modo che vada oltre le ragionevoli aspettative delle persone fisiche;
la possibilità di discriminazione e di esclusione delle persone fisiche;
la possibile manipolazione degli utenti;
la possibile indebita influenza in ambito politico;
il rischio di accesso diversificato a fonti di informazione;
la sensazione di sistematico monitoraggio;
l’aumento del rischio in relazione a categorie vulnerabili di persone fisiche.
C. Attori e ruoli
Le Linee Guida individuano quattro soggetti coinvolti nell’esperienza social:
gli utenti
i social media provider
i targeter
gli altri attori rilevanti
C.1 Gli utenti
Le Linee Guida si riferiscono agli utenti persone fisiche, come tali “interessati” ai sensi del GDPR (art. 4 n. 1) in quanto persone identificate o identificabili dai dati personali trattati.
C.2 I social media provider
I social media provider, o fornitori di servizi di social media, sono quegli operatori che offrono servizi social che permettono lo sviluppo di network e di comunità di utenti, tra i quali è permesso lo scambio di informazioni e di contenuti.
C.3 I targeter
Per targeter le Linee Guida intendono le persone fisiche o giuridiche che usano i servizi social al fine di rivolgere specifici messaggi ad un set specifico di utenti sulla base di specifici criteri o parametri.
C.4 Gli altri attori rilevanti
I targeter possono usare direttamente i meccanismi social oppure avvalersi di altri operatori, quali i fornitori di servizi di marketing, di ad network, ad exchange, data management provider (DMPs), società di data analytics, agenzie di di digital marketing, data intelligence e simili, che tipicamente svolgeranno il ruolo di responsabili del trattamento dei targeter ai sensi dell’art. 28 GDPR laddove effettueranno trattamenti di dati degli utenti interessati per conto dei targeter stessi.
C.5 Ruoli e responsabilità
Come anticipato, le Linee Guida prendono le mosse dalla giurisprudenza della Corte di Giustizia in particolare relativa ai casi Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17), ma anche Jehovah’s Witnesses (C-25/17).
Partendo dalla definizione di “titolare” del trattamento ai sensi dell’art. 4 n. 7 GDPR, la Corte di Giustizia ha stabilito che l’amministratore di una c.d. “fan page” su Facebook compartecipa alla determinazione delle finalità e dei mezzi di trattamento dei dati personali ed è così da qualificarsi come titolare.
Nel caso Wirtschaftsakademie la Corte afferma che la creazione di una fan page implica la definizione dei parametri stabiliti dall’amministratore, il che influenza il trattamento dei dati personali per la produzione di statistiche basate sulle visite.
Nel caso Fashion ID, la Corte ha invece stabilito che il gestore di un sito web può essere considerato titolare quando incorpori (“embeds”) un social plugin di Facebook che permetta di inviare dati personali a Facebook attraverso la navigazione sul proprio sito (pixel, ndr).
In tutti tali casi, la contitolarità deve essere disciplinata, ai sensi dell’art. 26.1 del GDPR, da un accordo che determini, in modo trasparente, le rispettive responsabilità in merito all’osservanza degli obblighi del GDPR.
D. I differenti meccanismi di targeting
Gli utenti dei social media possono essere targettizzati sulla base di:
dati forniti dagli utenti stessi al social media provider o al targeter
dati osservati
dati dedotti / inferiti
D.1 Targeting sulla base di dati forniti dagli utenti stessi
D.1.1 Dati forniti al social media provider
In primo luogo, i dati possono essere forniti dagli utenti stessi al social media provider, ad esempio nel caso in cui l’utente comunichi la propria età nel suo profilo social.
Esempio 1 La società X vende calzature da uomo e desidera targettizzare, nella sua campagna di advertising, uomini tra i 30 ed i 45 anni che hanno indicato nei propri profili social tale età ed inoltre di essere single. A tale fine utilizzerà i corrispondenti criteri e parametri offerti dal social media provider per identificare il pubblico di riferimento. La campagna sarà inoltre visualizzata ai soli utenti che si connettano tra le ore 17 e le 20, per esplicita richiesta del targeter.
Ruoli
Nell’Esempio 1 entrambi gli attori partecipano alla determinazione delle finalità e dei mezzi del trattamento:
quanto alle finalità, la società X (targeter) ed il social media provider determinano congiuntamente a quale specifico set di persone fisiche far visualizzare la propria campagna;
quanto ai mezzi, entrambi gli attori parimenti partecipano alla determinazione, in quanto il targeter decide di utilizzare i servizi offerti dal social media provider e decide quali criteri di targettizzazione scegliere (età, condizione affettiva, ora di collegamento), mentre il social media provider mette a disposizione tali strumenti.
Basi giuridiche (art. 6 GDPR)
Nell’Esempio 1 il targeter potrebbe invocare la base giuridica del legittimo interesse (art. 6.1.f GDPR) da ravvisarsi nell’interesse economico ad incrementare la pubblicità dei propri beni attraverso le operazioni di targeting nei social media. Dal proprio lato, il social media provider potrebbe considerare essere proprio legittimo interesse far sì che i propri servizi social siano profittevoli attraverso la vendita di spazi pubblicitari.
L'esito di tale bilanciamento degli interessi dipenderà dalla presenza di controlli addizionali e di forme di protezione, ad esempio grazie a misure di previa opposizione da parte dell’interessato all’utilizzo dei propri dati per finalità di targeting.
Quanto invece al consenso, esistono situazioni in cui è chiaro che il trattamento non sarebbe valido senza tale base giuridica (art. 6.1.a), ad esempio nel caso di profilazione oppure nel caso di pratiche di tracking.
A tale proposito, si possono richiamare le Linee Guida sul consenso n. 05/2020 del 4 maggio 2020.
In nessun caso, il trattamento dei dati di cui all’Esempio 1 potrebbe invece essere giustificato dalla base giuridica della necessaria esecuzione di un contratto di cui l’interessato è parte o di misure precontrattuali adottate su richiesta dello stesso (art. 6.1.b), né dal social media provider, né dal targeter.
D.1.2 Dati forniti al targeter
Le operazioni di targeting possono inoltre coinvolgere dati personali forniti dall’utente al targeter, il quale li usa successivamente per svolgere azioni sui social media: ciò avviene ad esempio tramite il caricamento di liste preesistenti di dati sul social media, al fine di incrociare le informazioni con quelle presenti sul social medesimo.
Esempio 2 La Sig.ra Jones contatta la Banca X, via e-mail, per fissare un appuntamento per un possibile mutuo per acquistare una casa. Dopo l’appuntamento decide però di non proseguire e di non diventare cliente di quella banca. Ciononostante la banca aggiunge l’indirizzo e-mail della Sig.ra Jones nel proprio data-base, che successivamente utilizza caricandolo sul social media per incrociare le proprie liste di e-mail con le informazioni ivi possedute dal social media provider, per targettizzare le persone in relazione all’ambito dei servizi finanziari. Esempio 3 Il Sig. Lopez è cliente della Banca X da molti anni. Quando è diventato cliente, ha fornito il proprio indirizzo e-mail ed è stato informato al momento del conferimento che: (a) il suo indirizzo e-mail sarebbe stato utilizzato per offerte pubblicitarie collegate a servizi bancari che egli sta già usando; e che (b) può opporsi al trattamento in ogni momento. La Banca inserisce quindi l’indirizzo nelle proprie liste che successivamente usa per targettizzare i propri clienti sul social media nell'ambito dei servizi finanziari che ha offerto.
Ruoli
In entrambi i casi gli attori partecipano alla determinazione delle finalità e dei mezzi del trattamento e sono quindi titolari:
la Banca (targeter) perché raccoglie attivamente, tratta e trasmette i dati personali degli interessati al social media per scopi pubblicitari;
il social media provider perché assume la decisione di usare i dati personali conferiti dall’interessato sulla propria piattaforma.
Basi giuridiche
Nell’Esempio 2 il legittimo interesse (art. 6.1.f GDPR) non costituisce un’appropriata base giuridica del trattamento avendo riguarda al contesto in cui il dato è stato raccolto (re-targeting).
NelI’Esempio 3 il targeter (la Banca) potrebbe invece invocare il legittimo interesse per giustificare il trattamento.
D.2 Targeting sulla base di dati osservati
Esistono vari modi con cui i social media provider sono in grado di osservare il comportamento degli utenti: per esempio l’osservazione è possibile attraverso gli stessi servizi forniti sulle piattaforme social oppure esternamente attraverso social plug-in o pixel.
Esempio 4: targeting fondato su pixel Mr. Schmidt sta navigando online per acquistare uno zaino. Visita il sito web BestBags.com e vede un certo numero di articoli, ma decide di non fare alcun acquisto. L’operatore BestBags.com (il targeter) decide di targettizzare gli utenti del social media X che hanno fatto visita presso il proprio sito senza fare acquisti. A tal fine, integra nel proprio sito un c.d. tracking pixel fornito dal social media X. Quando il Sig. Schmidt lascia il sito BestBags.com ed apre il proprio account sul social media X, inizia a visualizzare la pubblicità degli zaini che aveva considerato navigando sul sito BestBags.com. Esempio 5: Geo-targeting La Sig.ra Michu ha installato l’applicazione di un social media sul proprio smartphone. Sta camminando a Parigi durante le vacanze. Il social media provider raccoglie informazioni sul percorso della Sig.ra Michu attraverso le funzionalità GPS del proprio smartphone utilizzando i permessi che lei stessa ha dato al social media provider quando ha installato l’applicazione. La Sig.ra Michu torna al suo hotel, che è situato vicino ad una pizzeria. La pizzeria usa le funzionalità di geo-targeting offerte dal social media provider per targettizzare le persone che sono nel raggio di 1 km dai propri locali per la prima volta negli ultimi 6 mesi. Quando apre la propria applicazione social sul proprio smartphone, la Sig.ra Michu visualizza la pubblicità della pizzeria, le viene fame ed ordina una pizza online.
Ruoli
Nell’Esempio 4, sia il targeter che il social media provider partecipano alla determinazione delle finalità e dei mezzi del trattamento, che consiste nella visualizzazione della pubblicità mirata al Sig. Schmidt grazie all'installazione del pixel.
Nell’Esempio 5, la pizzeria (targeter) esercita un’influenza decisiva sul trattamento dei dati personali definendo i parametri per l’ad targeting in relazione ai propri bisogni aziendali. Il social media provider, dall’altro lato, ha raccolto le informazioni riguardanti la posizione della Sig.ra Minchu (via GPS) rendendo possibile tale pubblicità fondata sulla posizione dell’interessato (geolocalizzazione).
Basi giuridiche
Gli Esempi 4 e 5 implicano l’utilizzo di cookie, per cui deve prendersi in considerazione anche l’art. 5.3 della Direttiva ePrivacy (Dir. 2020/58/CE, trasposta in Italia dall’art. 122 del Codice Privacy D.Lgs. 196/2003, rimasto in vigore anche post GDPR) e le già citate Linee Guida sul consenso 05/2020 del 4 maggio 2020.
Il consenso raccolto dall’operatore del sito web per l’attivazione delle azioni dei social plug-in (quali i pixel) si riferisce alle sole operazioni o insieme di operazioni che implicano il trattamento dei dati in relazione ai quali l’operatore ha effettivamente determinato le finalità ed i mezzi. Ogni successivo trattamento di dati personali, ivi compresi quelli ottenuti grazie ai cookie / pixel / social plug-in, deve trovare nuova base giuridica nell'art. 6 GDPR, che negli esempi 4 e 5 non può essere il legittimo interesse dal momento che il targeting si fonda sul monitoraggio del comportamento delle persone nei siti web o nelle posizioni fisiche attraverso l’uso di tecnologie di tracciamento (tracking).
La base giuridica appropriata per tali trattamenti ulteriori è quindi il consenso.
D.3 Targeting sulla base di dati dedotti / inferiti
Le Linee Guida affrontano infine la casistica del targeting dei dati dedotti o inferiti a partire da quelli forniti dall’interessato o da quelli osservati, che tipicamente coinvolgono gli interessi o altre caratteristiche personali dell’utente.
Esempio 7 La Sig.ra Delucca spesso clicca i “like” alle fotografie postate dalla Galleria d’Arte Beautifulart e relative al pittore impressionista Pataolito. Il Museo Z sta cercando di attirare persone interessate alla pittura impressionista in vista di una mostra imminente. Il Museo Z utilizza i seguenti criteri di targeting offerti dal social media provider: “interesse per l’impressionismo”, sesso, età e luogo di residenza. Successivamente la Sig.ra Delucca riceve sul proprio profilo pubblicità mirata da parte del Museo Z in relazione a tale imminente mostra. Esempio 8 Il Sig. Leon ha indicato sul proprio profilo social di avere interesse per lo sport. Ha quindi scaricato sul proprio smartphone un'applicazione per seguire gli ultimi risultati dei suoi sport preferiti, ha settato come homepage sul browser del proprio pc portatile la pagina www.livesportsresults.com e spesso usa il proprio pc fisso al lavoro per cercare gli ultimi risultati su internet. Egli inoltre visita spesso siti di scommesse online. Il social media provider traccia l’attività svolta dal Sig. Leon attraverso i diversi dispositivi tra cui lo smartphone, il pc portatile ed il pc fisso. Sulla base dell’attività e delle informazioni fornite dal Sig. Leon, il social media provider inferisce / deduce che egli è interessato alle scommesse online. In aggiunta, la piattaforma social ha sviluppato criteri di targeting che permettono a società terze di targettizzare le persone che potrebbero essere impulsive ed avere un reddito basso. Il sito di scommesse online bestpaydayloans desidera targettizzare utenti interessati alle scommesse e che potrebbero scommettere pesantemente. Seleziona quindi i criteri offerti dal social media provider per targettizzare il pubblico al quale la pubblicità potrebbe essere mostrata.
Ruoli
Nell’Esempio 7 sussiste la contitolarità tra il Museo Z ed il social media provider in relazione alla finalità di pubblicità mirata, dovendo considerarsi che a ciò cooperano sia la raccolta dei dati via ‘like’, sia l’analisi svolta dal social media provider al fine di offrire al targeter criteri di targettizzazione (“interessato all’impressionismo”).
Nell’Esempio 8 la contitolarità sussiste tra bestpaydayloans ed il social media provider, per analoghi motivi.
Basi giuridiche
Il targeting degli utenti dei social media sulla base di dati inferiti / dedotti per scopi pubblicitari tipicamente implica la profilazione, ossia, secondo la definizione del Gruppo WP29 (ora sostituito dall’EDPB), un processo automatizzato di dati che mira alla valutazione di aspetti personali.
Nell’Esempio 7 si applica l’art. 5.3 della Direttiva ePrivacy, per cui il consenso è richiesto.
L’Esempio 8 richiama la profilazione, per cui si ricorda che, ai sensi dell’art. 22 GDPR, ogni processo decisionale automatizzato che produca effetti giuridici sulla persona o che incida in modo analogo significativamente su di essa può essere attuato solo in casi eccezionali, ossia quando la decisione:
sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
si basi sul consenso esplicito dell’interessato.
Nell’Esempio 8, la visualizzazione di una pubblicità di scommesse online potrebbe cadere nella sfera dell’art. 22 GDPR: il targeting di persone finanziariamente vulnerabili che sono interessate alle scommesse online potrebbe produrre effetti sulla loro situazione finanziaria.
Pertanto, ai sensi dell’art. 22 GDPR, è richiesto il consenso, che del resto è richiesto in via preliminare dallo stesso art. 5.3 della Direttiva ePrivacy.
E. Categorie particolari di dati
Se i dati trattati nel targeting coinvolgano anche categorie particolari di dati (art. 9 GDPR), non è sufficiente fondare il trattamento su una delle basi giuridiche dell’art. 6 GDPR ma è necessario soddisfare le ulteriore condizioni di liceità del trattamento stabilite dall’art. 9.2 GDPR, tra cui il consenso (art. 9.2.a GDPR) o il fatto che il dato sia stato reso manifestamente pubblico dall’interessato (art. 9.2.e GDPR).
E.1 Categorie particolari di dati rese esplicite
Esempio 10 La Sig.ra Flora rende esplicito nel proprio profilo social di essere membro del partito politico GreenestPlanet. L’organizzazione ambientale Long live the Earth desidera targettizzare gli utenti dei social media che sono membri del partito GreenestPlanet per inviare loro messaggi mirati.
Anche in questo Esempio 10 il social media provider e l’organizzazione ambientale sono contitolari.
Oltre alla base giuridica dell’art. 6 GDPR, i contitolari potranno trattare i dati solo fondandosi sul consenso (art. 9.2.a GDPR) oppure sulla manifesta pubblicità del dato per fatto dell’interessato (art. 9.2.e GDPR), essendo escluso ogni altro presupposto o giustificazione di trattamento.
E.2 Categorie particolari di dati dedotte/inferite e combinate
Esempio 11 L’account social del Sig. Novak rivela solo informazioni generali quali il nome ed il domicilio, ma un aggiornamento di stato rivela che egli frequenta la Chiesa della Città. Successivamente la Chiesa della Città desidera targettizzare i propri visitatori per invitarli ad unirsi alla propria congregazione. Esempio 12 Il Sig. Sifuentes inserisce nel proprio profilo social informazioni che indicano che egli prende attivamente parte alle attività del Movimento Mind, Body and Spirit. Anche se non è resa alcuna specifica credenza filosofica, le informazioni inserite nel social indicano che il Sig. Sifuentes ha un certo credo filosofico. Esempio 13 Un social media provider usa le informazioni attivamente fornite dalla Sig.ra Allgrove sul proprio profilo circa la sua età, gli interessi e l’indirizzo e li combina con i dati osservati dai siti da lei visitati e dai like sulla piattaforma social. Il social media provider usa i dati per dedurre/inferire che la Sig.ra Allgrove è una sostenitrice dell’ala politica liberale di sinistra e colloca tale suo interesse nella categoria di targeting “interessata all’ala politica di sinistra” rendendo disponibile questa categoria di targeting ai targeter per finalità di promozione.
Nell’Esempio 11 se i dati osservati vengono usati per categorizzare un certo credo (filosofico, politico o religioso), ciò implica la particolarità della categoria di dati e si applica l’art. 9 GDPR, a prescindere dal fatto che la categoria sia o meno etichettata.
Nell’Esempio 12, l’art. 9 GDPR non sarà applicabile a meno che il social media provider non risulti coinvolto per inferenza della categoria particolare di dati pubblicati e non abbia assunto misure di prevenzione dall’utilizzo di tali dati per finalità di targeting.
Nell’Esempio 13, il social media provider tratta categorie particolari di dati assegnando all’utente un’opinione politica dedotta dalle informazioni raccolte.
E.3 I dati resi manifestamente pubblici
L’art. 9.2.e GDPR legittima il trattamento se i dati sono stati resi manifestamente pubblici dall’interessato.
Per poter invocare questa condizione di legittimità del trattamento bisogna valutare:
le impostazioni di default della piattaforma social; oppure
la natura della piattaforma social ; oppure
l’accessibilità alla pagina dove i dati sensibili sono pubblicati; oppure
la visibilità delle informazioni pubblicate; oppure
se l’interessato stesso ha pubblicato i dati sensibili o se invece i dati sono stati pubblicati da una terza parte.
F. Contitolarità e ripartizione delle responsabilità
L’art. 26 GDPR prevede che quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento e devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità.
Nell’Esempio 4 l’accordo deve coprire l’intero trattamento di dati personali, dalla raccolta di dati mediante pixel nel contesto della visita del Sig. Schmidt al sito web BestBags.com, fino alla visualizzazione della pubblicità sul proprio profilo social, così come ogni altra informazione in relazione alla campagna di targeting.
F.1 Sostanza dell’accordo di contitolarità ed informazioni da fornire
Il contenuto essenziale dell’accordo prescritto dall’art. 26 GDPR deve essere messo a disposizione dell’interessato e ciò costituisce un’espressione del principio di trasparenza.
A prescindere dal fatto che il social media provider possa fornire accordi standard di contitolarità, il riparto delle responsabilità andrà valutato nei fatti, secondo le condizioni pratiche e concrete con cui il trattamento è svolto.
G. Valutazione di impatto (DPIA)
Ogni titolare dovrebbe verificare, prima del trattamento che preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, se possano presentarsi rischi elevati per i diritti e le libertà delle persone fisiche. In caso positivo, il titolare deve effettuare la valutazione di impatto (DPIA: Data Protection Impact Assessment) (art. 35 GDPR).
La DPIA è richiesta in particolare nei seguenti casi (art. 35.3 GDPR):
valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su tali persone fisiche;
oppure
trattamento, su larga scala, di categorie particolari di dati personali (art. 9 GDPR: tra cui i dati sulla salute, i dati genetici e biometrici, le preferenze sessuali, i dati politici, sindacali, religiosi, filosofici) di dati relativi a condanne penali e reati (art. 10 GDPR);
oppure
sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Se la DPIA indichi che il trattamento presenterebbe un rischio elevato in assenza di misure di attenuazione, deve essere consultata preventivamente l’autorità di controllo, ossia per l’Italia il Garante per la Protezione dei Dati Personali.
Nel caso di contitolarità, entrambi i titolari devono valutare se una DPIA sia necessaria. In caso positivo, entrambi saranno responsabili per l’incombente, sebbene essi possano determinare nel proprio accordo ai sensi dell’art. 26 GDPR quale tra di loro sia incaricato di condurla.
©2020 Avv. Piergiovanni Cervato