giovedì, Luglio 25, 2024
Uncategorized

Il targeting degli utenti: le Linee Guida dell’EDPB 8/2020

Introduzione

Il 13 aprile 2021, dopo una fase di consultazione pubblica, sono state adottate da parte dell’European Data Protection Board (EDPB) delle nuove Linee Guida aventi ad oggetto il targeting degli utenti sui social media sia per individuare delle regole che per stabilire che spetta ai social network “adattare gli accordi di trattamento verso gli inserzionisti, con un chiaro ruolo di contitolarità” con la necessità dell’adozione di adeguate informative.[1] Le Linee Guida 8/2020 rappresentano un documento fondamentale nell’ambito del marketing tenendo conto del ruolo, di prim’ordine, che i social media ricoprono come piattaforme che consentono lo sviluppo delle reti e delle comunità di utenti in cui sono condivise e ove circolano informazioni e contenuti di vario genere.[2] L’intervento dell’EDPB segue quanto la Corte di Giustizia UE aveva richiamato, in particolare, in due sentenze[3], evidenziando “l’importanza della corretta identificazione dei ruoli e delle responsabilità privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti, ravvedendo un possibile rapporto di contitolarità secondo quanto previsto dall’art. 26 del Reg. UE 2016/679”.[4] Il documento dell’EDPB ha un fine preciso: chiarire e individuare ruolo e responsabilità tra social media provider, targeter e coloro che attuano azioni di targeting in merito al trattamento dei dati degli utenti dei social per la promozione di interessi politici o commerciali visto il continuo e crescente uso delle tecnologie dell’informazione e dei social che incamerano quantità di dati degli utenti. I dati sono ‘il costo’ che gli utenti pagano-spesso inconsapevolmente- pur ottenendo un servizio, che apparentemente, è gratuito. L’utilizzo di algoritmi sempre più precisi ha consentito di ‘convogliare’ gli utenti verso servizi online attinenti alle loro necessità ed esigenze.

Lo scopo delle Linee Guida 8/2020

Le Linee Guida 8/2020 sono state introdotte con l’obiettivo di individuare i ruoli e le responsabilità dei fornitori delle piattaforme social, vista la sempre crescente e diffusione dei social network, è divenuto fondamentale soffermarsi sulla questione della commercializzazione dei dati personali con finalità di marketing, visto anche il loro uso, in maniera indisciplinata, da parte degli utenti stessi (molte volte per scarsa diligenza nell’uso di questi strumenti). Il servizio di targeting è un processo che ha come destinatari gli utenti che vengono selezionati sulla base di determinate analisi, elaborazioni e aggregazione di dati. È quindi un vero e proprio business per i social media provider perché vengono effettuati notevoli investimenti (in termini economici). Un elemento chiave del targeting è la pubblicità mirata che compare sulle piattaforme alle quali un utente è iscritto. La domanda che bisogna porsi è quanto un utente medio sia consapevole del funzionamento di questi meccanismi e anche quali rischi comportano o possono comportare in merito alla protezione dei dati personali. Queste linee guida hanno proprio l’obiettivo e lo scopo di creare un ‘recinto’ per la definizione sia dei ruoli che delle responsabilità dei c.d. targeters cioè dei fornitori dei social media.

Analisi delle Linee Guida 8/2020

Quando si parla di social media targeting si deve fare un primo riferimento alle categorie coinvolte[5]:in primo luogo il riferimento è agli utenti[6], cioè coloro che sono iscritti e utilizzano i social media, ma anche chi non è iscritto può usufruire di determinati servizi. A norma del Reg. UE 2016/679 questi soggetti vengono inquadrati come interessati a norma dell’art. 4 par. 1 n. 1 ove viene fornita la definizione di ‘dato personale’. Le Linee Guida in questione forniscono una definizione dell’altra categoria coinvolta, quella dei social media providers ovvero i fornitori dei social media, coloro che offrono i servizi online e ne determinano le funzionalità. Solitamente i social media providers offrono tali servizi una volta che l’account è stato registrato dall’utente e, quindi, una volta che sono state fornite una serie di informazioni personali. Ed è, quindi, fondamentale capire quali dati vengono trattati, per quale scopo e la durata del trattamento, oltre alla modalità del trattamento dei dati personali. Una terza categoria è quella dei targeters cioè coloro che usano i social media per inviare messaggi mirati agli utenti sulla base di preferenze e interessi degli stessi.[7] Sono di fatto coloro che ‘selezionano’ il pubblico al quale quei determinati messaggi devono essere rivolti, che possono essere messaggi commerciali, ma anche politici. A tal riguardo si parla anche di ‘microtangeting’. Questi sono gli ‘attori’ principali, ma va rilevata la presenza anche di altri ‘attori’ cioè di altri soggetti come coloro che forniscono servizi di marketing o le società di data analytics[8] Stando alla normativa del GDPR essi sono a tutti gli effetti soggetti interessati identificati o identificabili, seguendo la definizione dell’art. 4 GDPR. Vi è poi un’altra categoria, quella dei c.d. attori rilevanti (Other relevant actors) che possono essere identificati nei fornitori di servizi di marketing, reti pubblicitarie o fornitori di gestione di dati, società di data analytics, o agenzie di digital marketing che dovranno ricoprire, secondo il GDPR, il ruolo di responsabili del trattamento dei targeters ex art. 28 nel caso in cui verranno effettuati trattamenti di dati degli utenti interessati.

Ruoli e responsabilità  

L’EDPB ha avuto come punto di partenza, per la stesura delle Linee Guida 8/2020, alcune sentenze della Corte di Giustizia.[9] In particolar modo la Corte di Giustizia nel caso Wirtschaftsakademie è giunta alla statuizione che chi è titolare di una pagina Facebook è la persona che o da sola o con altri determina sia le finalità che le modalità del trattamento dei dati degli utenti.[10] La CGUE, in un’altra sentenza (ID Fashion C-40/17) ha specificato che “è necessario che ciascuno di tali responsabili persegua, con le operazioni di trattamento succitate, un interesse legittimo”.[11] Con questa sentenza la CGUE è giunta ad affermare un principio secondo il quale “il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito, anche se non può essere considerato poi responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.”.[12] Si tratta di sentenze inerenti l’individuazione dei ruoli e responsabilità, dal punto di vista della privacy e protezione dati, nel rapporto che si ‘instaura’ tra social media providers e targeters.

I meccanismi di targeting

Le Linee Guida oggetto dell’articolo prendono in considerazione anche i meccanismi di targeting individuando alcune tipologie:

  1. Targeting sulla base dei dati forniti dall’interessato (Targeting individuals on the basis of provided data): si tratta delle informazioni che vengono fornite direttamente dall’interessato al social media provider ad esempio al momento dell’iscrizione quando fornisce nome, cognome e altri dati personali per l’apertura del profilo social e quindi proprio sulla base di questi dati il social media provider può strutturare il targeting per quell’utente oppure il targeter può utilizzare le informazioni fornite dall’utente e può, di fatto, incrociare i dati anche con quelli già presenti per creare dei ‘gruppi’ di utenti ai quali inviare ad esempio pubblicità mirata.[13]
  2. Targeting sulla base dei dati osservati (Targeting on the basis of observed data): si tratta dei dati rilevati dall’utilizzo di un servizio o di un device. Un esempio può essere dato da ciò che l’utente condivide online, sui social network, oppure dai dati che vengono raccolti durante l’uso delle app che prevedono le coordinate GPS, dai dati raccolti attraverso soggetti terzi come coloro con i quali l’utente ha interagito.
  3. Targeting sull base dei dati derivati (Targeting on the basis of inferred data): si tratta dei dati che sono creati dal titolare del trattamento che li ricava dai dati che l’interessato ha fornito.[14] Un esempio possono essere i like ai post o alle pagine sui social network. A riguardo il WP29 aveva specificato che la proflazione non è altro che un trattamento automatizzato di dati personali con l’obiettivo di analizzare-valutare o esprimere un giudizio su una persona. La profilazione può essere ritenuta lecita con espresso riferimento all’art. 6 par. 1 GDPR.[15]

GDPR e Targeting

Con riferimento alla normativa europea del GDPR nelle Linee guida 7/2020 e 8/2020 l’EDPB ha seguito la scia della CGUE in materia di contitolarità tra fornitori di social media e altri soggetti. Le Linee Guida 7/2020[16]on the concepts of controller and processor in the GDPR”, antecedenti a quelle in commento in questo articolo, sono di rilevante importanza poiché hanno ad oggetto i concetti di titolare del trattamento (controller) e responsabile del trattamento (processor) nel GDPR.  Alla luce delle Linee Guida 7/2020 si è giunti ad una definizione unitaria di “titolare del trattamento” e di “responsabile del trattamento” e di “contitolare”. Va ricordato, inoltre, che l’art. 4 GDPR fornisce una serie di definizioni tra cui quelle di titolare del trattamento, di responsabile del trattamento, di contitolare. L’EDPB ha specificato che titolare del trattamento può essere la persona fisica, la persona giuridica o l’associazione di persone. Con le Linee Guida 7/2020, e successivamente con le Linee Guida 8/2020, l’EDPB si è soffermato anche sul ruolo del contitolare del trattamento definendo così il rapporto di contitolarità che il GDPR disciplina all’art. 26. Quest’ultimo punto è, senza dubbio, la novità. Tornando sul concetto di targeting, l’EDPB evidenzia come esso non possa essere basato sulla disposizione dell’art. 6 par. 1 lett. b) GDPR relativa all’esecuzione di un contratto di cui l’interessato è parte. Si può quindi affermare che il riferimento normativo, senza dubbio, è rappresentato dall’art. 6 par. 1 lett. a) e lett. f) GDPR inerenti il primo al consenso dell’interessato e il secondo all’interesse legittimo.[17] Disposizione questa che disciplina i presupposti di legittimazione del trattamento. La lettera f) dell’art. 6 GDPR appena citato “qualifica come presupposto di legittimità del trattamento la sua necessarietà al fine di consentire il perseguimento del legittimo interesse del titolare o di terzi, purchè su questo non prevalgano gli interessi o diritti e le libertà fondamentali dell’interessato, in particolare se si tratti di minorenne[18], tenendo anche conto che in un numero notevole di casi sono proprio i minorenni ad essere i maggiori utilizzatori dei social network. Riprendendo la sentenza ID Fashion su citata, questa si inserisce nell’ampio dibattito in tema di privacy e profilazione degli utenti con finalità pubblicitarie. Il GDPR, sempre all’art. 4, ha fornito una definizione di “profilazione” intesa come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. Il targeting non è altro che una forma di profilazione degli utenti che utilizzando i social media e a cui vengono indirizzati determinati messaggi in base a parametri e criteri ben precisi. Tuttavia si può ritenere che sia il fornitore di social media che il destinatario sono contitolari del trattamento per cui sono tenuti a dimostrare il riferimento, in particolare, all’art. 6 GDPR[19] per giustificare quello che, a tutti gli effetti, è un trattamento dati. Nelle Linee Guida è previsto, ex art. 26 GDPR, che l’accordo tra social media providers e targeters deve prendere in considerazione tutti i principi e le regole del trattamento previste dal Reg. 2016/679.

L’art. 26 GDPR relativo ai contitolari del trattamento prevede che “la contitolarità di un trattamento dati si verifica nel caso in cui vi sia una determinazione congiunta delle finalità e dei mezzi del trattamento da parte di più soggetti”.[20] Questa disposizione ha come obiettivo quello di garantire una maggiore tutela all’interessato. Infatti viene imposto ai contitolari del trattamento di definire ruoli e sfere di responsabilità rispetto ai trattamenti congiunti nell’ottica di agevolare l’esercizio dei diritti da parte degli interessati e di garantire una più agevole allocazione delle responsabilità”.[21] Quindi è evidente che il grado di responsabilità cui sono chiamati i social media providers e i targeters varia al variare del livello di responsabilità e alla tipologia di dati che vengono raccolti e trattati tenendo conto dell’importanza che i dati sensibili hanno (riferimento ad art .9 GDPR). Le Linee Guida 8/2020, in linea con la giurisprudenza della CGUE, prevedono che sia il social media provider che il targerter debbano avere una serie di informazioni inerenti il trattamento dati che andranno ad effettuare nel pieno rispetto della normativa prevista dal GDPR con espresso riferimento all’art. 5 par. 1 lett. a)-f)[22] e al par. 2 secondo cui è dovere del titolare del trattamento garantire il rispetto del paragrafo 1 oltre ad essere in grado di dimostrarlo (responsabilizzazione). Un ulteriore riferimento normativo, in merito alla protezione e tutela dei dati, va ravvisato nella disposizione dell’art. 9 GDPR relativo alle categorie particolari di dati poiché è necessario chiarire se il trattamento di tale tipologia di dati, nell’ambito dei social media e del targeting, riguardi anche i dati particolari e, di conseguenza, capire chi è il soggetto deputato al trattamento di tali dati. Nel caso in cui il soggetto sia il social media provider allora tali dati dovranno essere trattati per finalità di targeting e la base giuridica del trattamento verrà individuata nell’art. 6 par. 1 lett. a) e lett. f) GDPR (rubricato “Liceità del trattamento“) con espresso riferimento all’art. 9 par. 2 lett. e) GDPR.[23]

Conclusioni

Le Linee Guida 8/2020 hanno rappresentato, senza dubbio, un punto importante nella disciplina di questi temi di fondamentale importanza perché si è giunti ad una regolamentazione di un ambito molto articolato quale è il targeting degli utenti sui social media. Ancora una volta, come già avvenuto con l’entrata in vigore del GDPR, vi è stata una certa riluttanza a recepire queste modifiche e innovazioni che hanno uno scopo ben preciso: garantire e tutelare gli utenti, ma in particolar modo la finalità è rendere gli utenti consapevoli di quelli che sono i diritti che l’ordinamento riconosce e garantisce e al contempo è doveroso ricordare a social media providers e targeters i doveri e le responsabilità ai quali sono chiamati. L’intervento dell’EDPB si è reso necessario ‘a causa’ di un uso sempre più ampio delle tecnologie e dei social network che, nel corso di questo decennio, hanno incamerato e continuano a raccogliere quantità incalcolabili di dati, per gli scopi più disparati. Nella maggior parte dei casi gli utenti immaginano la gratuità di un servizio al quale accedono, non rendendosi conto che il prezzo sono i loro dati personali e “l’utilizzo più frequente per monetizzare i dati personali è quello di utilizzarli per costruire profili accurati degli utenti, cui rivolgere campagne pubblicitarie”. Questa è, di fatto, l’attività dei targeters.[24]

[1] A. Michinelli, Trattamento dati personali nei social media: le nuove regole dell’EDPB, 3 maggio 2021, qui disponibile: https://www.cybersecurity360.it/legal/privacy-dati-personali/trattamento-dati-personali-nei-social-media-le-nuove-regole-delledpb/

[2] For the purposes of these guidelines, social media are understood as online platforms that enable the development of networks and communities of users, among which information and content is shared.

1 Key characteristics of social media include the ability for individuals to register in order to create “accounts” or “profiles” for themselves, to interact with one another by sharing user-generated or other content and to develop

connections and networks with other users in Guidelines 8/2020 on the targeting of social media user, qui disponibile: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_it

[3] Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17)

[4] E.Molteni, Social Media Targeting: ruoli privacy secondo le linee guida 8/2020 dell’EDPB, 12 febbraio 2021, Qui disponibilie: https://mondoprivacy.it/blog/legge-privacy/social-media-targeting-ruoli-privacy-secondo-le-linee-guida-8-2020-dell-edpb/

[5] EDPB, Guide Lines 8/2020 “Targeting of social media users may involve a variety of different actors which, for the purposes of these guidelines, shall be divided into four groups: social media providers, their users, targeters and other actors which may be involved in the targeting proces

[6] Guidelines 8/2020 “The term ‘user’ is typically used to refer to individuals who are registered with the service, i.e. those who have an “account” or ‘profile’”, p. 7

[7] Guidelines 8/2020, “These guidelines use the term “targeter” to designate natural or legal persons that use social media services in order to direct specific messages at a set of social media users on the basis of specific parameters or criteria”, p. 9.

[8]Guidelines 8/2020, “Targeters may directly use targeting mechanisms offered by social media providers or enlist the services of other actors, such as marketing service providers, ad networks, ad exchanges, demand-side and supply-side platforms, data management providers (DMPs) and data analytics companies.”, p. 9

[9] EDPB GuideLines 8/2020, “In order to clarify the respective roles and responsibilities of social media providers and targeters, it is important to take account of the relevant case law of the CJEU. The judgments in Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) and Fashion ID (C-40/17) are particularly relevant here”, p. 10.

[10] CGUE, Wirtschaftsakademie(C-210/16): “the natural or legal person […] which, alone or jointly with others, determines the purposes and means of the processing of personal data”. In particular, the administrator of the fan page can ask for — and thereby request the processing of — demographic data relating to its target audience, including trends in terms of age, sex, relationship and occupation, information on the lifestyles and centres of interest of the target audience and information on the purchases and online purchasing habits of visitors to its page, the categories of goods and services that appeal the most, and geographical data which tell the fan page administrator where to make special offers and where to organise events, and more generally enable it to target best the information it offers”.

[11] La Fashion ID “aveva inserito nel proprio sito il plug-in “mi piace” del social network Facebook permettendo, così, a quest’ultimo di acquisire i dati degli utenti che si collegavano al sito della società, anche se questi non utilizzavano il suddetto plug-in Ciò, ovviamente, permetteva alla società di ottenere un vantaggio commerciale derivante dalla più ampia pubblicità ” in Corte di Giustizia, Sentenza del 29/07/2019, sulla tutela del trattamento dei dati personali in Internet, in Federalismi, Qui disponibile: https://www.federalismi.it/nv14/articolo-documento.cfm?Artid=40390

[12] M. Iaselli, Privacy, cosa comporta il pulsante “Mi Piace” di FB in un sito e-commerce, in Altalex, 21/08/2019. Qui disponibile: https://www.altalex.com/documents/news/2019/08/21/privacy-pulsante-mi-piace-fb-sito-e-commerce

[13]EDPB, Guidelines 8/2020 on the targeting of social media users,

 A targeter might use information provided by the data subject to the targeter in order to target that individual specifically, for example by means of customer data (such as an email address list), to be matched with data already held on the social media platform, leading to all those users who match being targeted with advertising, p. 12

Qui disponibile: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_it

[14] EDPB, Guidelines 8/2020 on the targeting of social media users,

“Inferred data” or “derived data” are created by the data controller on the basis of the data provided by the data subject or as observed by the controller, p. 13. Qui disponibile: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_it

[15] Linee Guida 8/2020, p. 23

The WP29 has previously clarified that according to the GDPR, profiling is an automated processing of personal data which aims at evaluating personal aspects, in particular to analyse or make predictions about individuals, adding that “[t]he use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person”.79 Profiling may be lawful by reference to any of the legal grounds in Article 6(1) GDPR, subject to the validity of this legal basis”.

[16] Linee Guida 7/2020 on the concepts of controller and processor in the GDPR, considerato aggiornamento dell’Opinion 172010 de WP29. Qui disponibile: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it

[17] Art.6 par.1 GDPR: “il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalià
  2. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento

[18] Commento sub art. 6 GDPR, in GDPR e Normativa Privacy Commentario, a cura di G.M. Ricco, G. Scorza, E. Belisario, Wolters Kluwer, 2018, p. 74-75.

[19] Art.6 GDPR rubricato “Liceità del trattamento” e disciplina proprio i “presupposti di legittimazione del trattamento, selezionando gli interessi giuridici meritevoli di essere dedotti in bilanciamento con il diritto di protezione dei dati personali, in GDPR e Normativa Privacy-Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, Wolters Kluwer, 2018, p. 67.

[20]Art.26 GDPR, in GDPR e Normativa Privacy-Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, Wolters Kluwer, 2018, p. 259.

[21] Op. cit. p. 260.

[22] Art.5 GDPR rubricato “Principi applicabili al trattamento di dati personali” sancendo i principi di liceità, correttezza, trasparenza del trattamento

[23] Art. 9 par. 2 lett. e) GDPR: “Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

e) il trattamento riguarda dati personali resi manifestamente pubblici”.

L’EDPB evidenzia che la presenza di un singolo elemento non sempre è sufficiente per stabilire se si è in presenza di un dato manifestamente reso pubblico dall’interessato. Tuttavia potrebbe essere necessario individuare, per il responsabile del trattamento, una combinazione di elementi proprio a dimostrazione della manifestazione, da parte dell’interessato, di rendere i propri dati pubblici. È chiaro che una valutazione caso per caso è necessaria oltre che doverosa.  (The EDPB notes that the presence of a single element may not always be sufficient to establish that the data have been “manifestly” made public by the data subject. combination of the following or other elements may need to be considered for controllers to demonstrate that the data subject has clearly manifested the intention to make the data public, and a case-by-case assessment is needed).

[24] Si veda L. Brighenti-F. Cairoli, Il targeting sui social media: i paletti privacy dell’EDPB,  3/11/2020, in Agenda Digitale, qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/il-targeting-sui-social-media-i-paletti-privacy-delledpb/

Giulia Cavallari

Nata a Bologna nel 1992. Dopo aver conseguito la maturità classica prosegue gli studi presso l'Università di Bologna iscrivendosi alla Facoltà di Giurisprudenza. Laureata con una tesi in Diritto di Internet dal titolo "Il Regolamento generale sulla protezione dei dati e il consenso dei minori al trattamento dei dati personali" sotto la guida della Professoressa Finocchiaro. Nel novembre 2017 ha relazionato all'Internet Governance Forum- IGF Youth. E' in questo periodo che si avvicina e appassiona al diritto di internet e all'informatica giuridica sentendo la necessità di approfondire gli studi in materia.  Gli interessi principali spaziano dalla protezione dei dati personali alla cybersecurity e all'ambito delle nuove tecnologie al ruolo che il diritto di internet ha assunto e assumerà nei prossimi anni.

Lascia un commento