Tempo di lettura stimato: 5'
In un recente articolo sulle Linee Guida dell’EDPB e sulla cotitolarità fra social media e targeters, abbiamo introdotto il concetto di targeting. Torniamo a parlarne ricordando che si tratta di un'attività che viene spesso identificata con la cosiddetta attività di profilazione.
Profilazione e targeting non sono sinonimi
In verità, noi sappiamo che l'attività di targeting è un'attività che potrebbe anche, ma non necessariamente, includere la profilazione. Lo troviamo all'interno delle stesse Linee Guida. Infatti, l’attività di targeting può essere svolta direttamente partendo dai dati che gli utenti hanno consegnato all'azienda o su dati che sono desunti e che, di conseguenza, sono generati da valutazioni e quindi da attività che comportano la profilazione.
Il targeting degli utenti può comportare l'utilizzo di dati personali in contrasto con i principi e le regole applicabili in materia di protezione dati come, ad esempio, l'attività di profilazione che abbiamo già visto in un recente articolo o di meccanismi che riguardano più la manipolazione: influenzare il comportamento e le scelte degli individui, ad esempio nelle decisioni politiche.
Oppure il targeting può essere realizzato con l'uso di algoritmi che scelgono le informazioni che possono essere visualizzate da un utente. Sicuramente è un’attività che ben si addice all'utilizzo degli algoritmi e quindi a tutti quei progetti che sono di intelligenza artificiale.
L’impatto negativo del targeting, secondo lo European Data Protection Board
Secondo le Linee Guida dello European Data Protection Board, l'impatto negativo del targeting può essere sentito su due livelli:
1) le bolle filtro (filter bubbles), che si verifica quando le persone sono esposte a informazioni più o meno uguali;
2) information overload, che si verifica quando c’è un'abbondanza di informazioni per cui l'utente non è in grado di decidere e conoscere quelle affidabili da quelle che non lo sono.
Inoltre, l'attività di targeting può avere risvolti negativi sulle categorie più vulnerabili come, ad esempio, quella dei minori.
Attività di targeting: attori e ruoli
L'interessato, nel mondo dei social media, è l'utente. Dunque, quando leggiamo i termini e le condizioni del servizio, troveremo sempre la parola utente, più che interessato al trattamento. Gli utenti sono tutte le persone fisiche registrate al servizio e quelle che non sono registrate ma che vi navigano e quindi lasciano delle tracce.
I fornitori di social media sono ovviamente coloro che offrono servizi online (Facebook, MailChimp e così via). E poi ci sono i targeter che, nella pratica, sono tutti quei soggetti che utilizzano i social media per offrire delle consulenze - ad esempio, di ADV, per indirizzare messaggi specifici -, oppure sono le stesse aziende che, col loro team interno del dipartimento marketing, indirizzano messaggi che sono specifici sulla base di parametri e di criteri specifici. Entrambi questi soggetti – social media e targeter - sono sempre tenuti a effettuale un balancing test: un test di compatibilità col legittimo interesse o per poter individuare la corretta base giuridica.
La scelta della base giuridica rispetto a questo tipo di attività
Ci sono alcuni aspetti importantissimi nell'analisi e nell'individuazione della corretta base giuridica del trattamento di dati personali:
1 - Analisi dello scopo del trattamento di dati personali
2 - Il livello di dettaglio dei criteri che ci permettono di fare attività di targeting
3 - La combinazione dei criteri
Proprio su questi aspetti si basano gli stessi esempi pratici che le Linee Guida indicano per approfondire le attività che potrebbero capitare.
L'attività di targeting riguarda tre tipologie di dati personali - e questa è forse la parte più importante delle linee guida -, che sono:
- I dati forniti: con questa espressione si intendono tutte le informazioni che l’utente ci fornisce (e-mail, numero di telefono, nome, cognome e via dicendo).
- I dati osservati: sono le informazioni che l'utente ci ha condiviso. L'esempio tipico sono i dati che riusciamo a raccogliere attraverso i social plugin, i pixel, le Api, le attività di geotargeting.
- I dati dedotti - la categoria in cui rientra la profilazione - e cioè quando è probabile che un individuo sia interessato a una certa attività, sulla base delle nostre valutazioni e dei dati che l'utente ha lasciato in rete.
A partire da questi dati si creeranno tre meccanismi che riguardano l'attività di targeting, su cui possiamo andare ad analizzare se sussiste o non sussiste - e soprattutto in quale modo sussiste - la cotitolarità.
I tre meccanismi dell'attività di targeting
Il primo meccanismo si ha sui dati forniti dagli utenti e che possono essere recuperati perché l’utente ce li ha lasciati, per esempio, in un report, nelle aree del social in cui l'utente si registra con nome, età, e-mail e via dicendo. Quando i dati sono forniti direttamente dall'utente, il social media e l'inserzionista possono concorrere a determinati scopi (per esempio mostrare uno specifico contenuto pubblicitario) e a determinare gli strumenti, perché l'inserzionista determina i criteri di pubblicazione dei contenuti, mentre, dall'altro lato, c'è il gestore che fornisce i mezzi. Questo meccanismo fa sì che, quando i dati sono forniti direttamente dall'utente e vengono create delle attività di targeting su quei dati, social media e inserzionista sono co-responsabili.
Il secondo meccanismo si verifica quando installiamo un pixel, facciamo attività di geo-targeting e quindi realizziamo un tracciamento del dato personale. Anche in questo caso, secondo lo European Data Protection Board, è ravvisabile la determinazione congiunta di finalità e di modalità del trattamento dei dati.
Il terzo meccanismo si verifica, per esempio, con i "mi piace" che l'utente lascia online. Anche in questo caso, lo European Data Protection Board ravvisa una cotitolarità fra il gestore della piattaforma e l'inserzionista.
Ma come mettere in pratica questi meccanismi?
Bisognerebbe fare un'analisi di quali social media dichiarano per davvero che esiste una contitolarità. Immaginiamo un'agenzia web o un’azienda piccola - o anche non piccola - che debba stipulare degli accordi di cotitolarità ad hoc sugli ADV che sta facendo online.
Conclusioni: le Linee Guida sono un punto di partenza
Sicuramente le Linee Guida sono un tentativo importante per iniziare a parlare di attività di targeting e dovranno essere lette alla luce del nuovo Regolamento E-Privacy. Per cui sono un punto di partenza.
Iniziamo ad avere confidenza con i vari meccanismi e la terminologia, perché nella pratica è davvero complicato.
Quante aziende hanno stipulato o sottoscritto un accordo di cotitolarità con i social media, ad esempio, per l'utilizzo del pixel di Facebook? O quanti consulenti sanno effettivamente quanto il social media - in questo caso Facebook - ha cercato di adeguarsi al GDPR e quindi si autodefinisce corresponsabile del trattamento dei dati personali insieme al titolare della pagina aziendale?
È una lodevole iniziativa per iniziare a parlare di attività di targeting e non solo di attività di profilazione nel vero senso della parola. L'attività di targeting è un po' il cappello, dopodiché ci sono varie attività che si fanno con il cosiddetto targeting fra cui c'è anche la profilazione.
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
