Privacy nei social media: i servizi Custom Audience e Look Alike di Facebook

Quotidianamente, chiunque sia iscritto ad un social network, in particolare Facebook, inserisce in rete un numero elevatissimo di dati personali. Dal momento della registrazione, in cui ci vengono rivolte domande generali per conoscere i nostri dati anagrafici, alla pubblicazione di foto e post, consentiamo ai colossi del web di trattare i nostri dati personali. Dati che, nella stragrande maggioranza se non totalità dei casi vengono rivenduti alle società di tutto il mondo per le finalità di marketing più disparate[1]. La raccolta dei dati permette di delineare un profilo dei gusti, scelte, carattere e preferenze della nostra persona e di assoggettarci ad analisi statistiche o di mercato o a ricevere campagne pubblicitarie mirate. Addirittura, i dati personali pubblicati sui siti di social network possono essere usati dai terzi per scopi pericolosi e lesivi, che possono comportare gravi rischi come il furto d’identità, il danno economico, la perdita di opportunità commerciali e di possibilità di impiego e, per finire, pericoli per l’incolumità fisica[2]. Ma in questo caso si rischia di fuoriuscire dall’argomento oggetto del presente articolo.

Siamo sicuri di sapere cosa fanno le società con i nostri dati? Sappiamo come Facebook guadagna grazie ai nostri dati personali?

I maggiori introiti di Facebook provengono dai servizi di “Behavioural Advertising”. Oggi analizziamo, in chiave privacy e GDPR compliance i due principali: il “Custom Audience” e il “Look Alike”.

Cos’è il Custom Audience?

Il Custom Audience è un servizio di elaborazione del CRM (Customer Relationship Management) che permette alle aziende di abbinare alla loro lista, composta da nomi e cognomi, indirizzi e-mail o numeri di telefono, delle persone reali che possiedono un profilo su Facebook[3]. Scopo di tale matching è, ovviamente, inviare pubblicità mirata. Tale lista del CRM solitamente è composta da iscritti alla newsletter che non hanno mai acquistato prodotti oppure da soggetti che hanno chiamato il call center per avere informazioni e poi non hanno acquistato o da utenti che hanno inserito nel carrello un prodotto che all’ultimo hanno deciso di non acquistare etc. La società, pertanto, gli invia tailored advertising al fine e nella speranza di trasformarli in clienti.

E il Look Alike?

Il secondo servizio, il Look Alike, mira sempre a trovare nuovi clienti per le aziende ma questa volta permette di generare un pubblico simile all’audience di partenza (il CRM delle aziende). Partendo dalla lista fornita dall’azienda, Facebook crea un pubblico con caratteristiche, interessi e comportamenti simili[4]. A tali soggetti Facebook invierà pubblicità mirata. In sostanza, mentre il primo servizio mira a trovare nuovi clienti sulla base di dati già posseduti dalle società, il secondo mira ad aumentare il database dei potenziali clienti di una società, identificando quei soggetti che hanno caratteristiche e gusti simili ai soggetti presenti sul CRM della società.

E la Privacy? Quali sono le basi giuridiche per effettuare questo trattamento di dati personali?

La società fondata da Mark Zuckerberg nelle “Condizioni generali di Facebook per Business[5]”dichiara che “ciascuna azienda si assume la responsabilità della propria conformità al GDPR, così come quella alle leggi in vigore applicabili”. Di conseguenza, sono le aziende a dover implementare i propri obblighi privacy (in qualità di titolari del trattamento) ai fini dell’invio di suddette campagne di Adv personalizzate. Però Facebook fa una distinzione: per il servizio di Custom Audience si definisce Responsabile del trattamento, mentre per il servizio Look Alike si definisce Titolare del trattamento dei dati personali. Le implicazioni di questa distinzione sono numerose. Per il servizio di Custom Audience, definendosi Responsabile del trattamento, Facebook permette alle società che raccolgono i dati (e quindi che agiscono in qualità di Titolari del trattamento) di non chiedere il consenso specifico per la trasmissione dei dati ad un soggetto terzo, essendo lecito il semplice trattamento, privo di consenso, effettuato da una persona giuridica per conto del Titolare. Il titolare, piuttosto, è obbligato a chiedere il consenso agli Interessati per eseguire l’attività di profilazione. Al contrario, per il servizio Look Alike, Facebook, definendosi Titolare del trattamento, fa sì che le società che raccolgono i dati non chiedano il consenso alla profilazione ma, piuttosto, al trasferimento dei dati personali a terzi soggetti (Facebook stessa ovviamente) per la finalità di profilazione.

Ma Facebook è GDPR compliant?

Tralasciando il fatto che non mi è mai stato chiesto il consenso alla profilazione o al trasferimento dei dati personali a Facebook ma ricevo quotidianamente pubblicità personalizzata sia su Facebook che su Instagram (che per chi non lo sapesse, insieme a Whatsapp appartiene al gruppo di Facebook), quello che mi chiedo è in cosa consista, per Facebook, la differenza tra il definirsi titolare del trattamento e responsabile del trattamento se il suo comportamento è caratterizzato dalla totale disapplicazione del GDPR in entrambi i casi.

Quando agisce in qualità di Titolare del trattamento, Facebook dovrebbe fornire l’informativa, redatta ai sensi dell’art. 13[6], prima di iniziare il trattamento, non limitandosi a inserirla all’interno della privacy policy. Ma soprattutto dovrebbe chiedere il consenso alla profilazione! E anche in questo caso sono certo di poter affermare che nessuno di noi abbia mai ricevuto una richiesta di consenso alla profilazione da Facebook.

Quando agisce in qualità di Responsabile del trattamento si palesano i maggiori contrasti con la disciplina dettata dal GDPR. Analizzando l’art. 28 del Regolamento[7], elencando gli oneri in ordine di probabilità che non vengano realizzati, possiamo vedere che:

1. su scelta del Titolare del trattamento, il Responsabile deve cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti;
2. il Responsabile deve trattare i dati personali soltanto su istruzione documentata del Titolare;
3. il Responsabile deve mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato;
4. il Responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del Titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche;
5. i trattamenti da parte del Responsabile devono essere disciplinati da un contratto o altro atto giuridico, che vincoli il responsabile e stipuli la materia disciplinata (durata del trattamento, natura e finalità, tipo di dati, categorie di interessati ecc.).

E’ palese che Facebook non rispetti e non rispetterà mai neanche una di queste prescrizioni. Non dimentichiamoci il recente caso  di Cambridge Analytica[8]. Una violazione di legge di tale portata mette, chiaramente, a rischio il controllo che ognuno di noi esercita sui propri dati, rendendoci merce di enorme valore economico e non soggetti dotati di diritti.

Conclusioni

Il Custom Audience è un servizio client oriented assolutamente vantaggioso e gradito dall’utente, in quanto elimina la pubblicità superflua e fa sì che riceviamo solo pubblicità attinente ai propri interessi. Tale servizio è, però, vantaggioso solo se viene realizzato in conformità al Regolamento Europeo sul trattamento dei dati personali, cosa che invece, purtroppo, come mostrato in precedenza, non accade. Il tutto a discapito della sicurezza e della protezione dei nostri dati personali.

E’, pertanto, consigliabile porre maggiore attenzione nella lettura delle informative sul trattamento dei dati personali, verificare i destinatari o le categorie di destinatari dei nostri dati personali e le relative finalità per cui ricevono i nostri dati, riflettere sulle conseguenze dei consensi rilasciati e, soprattutto, esercitare i propri diritti ogniqualvolta si riscontri una violazione della disciplina sulla Privacy, così da indurre, necessariamente, Facebook a conformarsi, vista l’elevatissima portata delle sanzioni[9].

[1] G. Cavallari, Il caso della responsabilità del titolare di una fanpage: la Corte di Giustizia si pronuncia, Settembre 2018, disponibile qui: https://www.iusinitinere.it/il-caso-della-responsabilita-del-titolare-di-una-fanpage-la-sentenza-della-corte-di-giustizia-causa-c-210-16-12798

[2] Art. 29 Working Party, Parere 5/2009 sui social network on-line, Giugno 2009, disponibile qui: https://www.garanteprivacy.it/documents/10160/10704/WP+163.+Opinion+5+2009+on+online+social+networking.pdf

[3] La pagina di Facebook che illustra il servizio di Custom Audience è disponibile qui: https://www.facebook.com/business/help/341425252616329

[4] La pagina di Facebook che illustra il servizio di Look Alike è disponibile qui: https://www.facebook.com/business/help/164749007013531

[5] Le Condizioni generali di Facebook per Business sono disponibili qui: https://www.facebook.com/business/gdpr#Facebook-in-qualit%C3%A0-di-titolare-del-trattamento-dei-dati-e-Facebook-in-qualit%C3%A0-di-responsabile-del-trattamento-dei-dati

[6] M. Raimondi, L’informativa Privacy: cos’è e quali sono gli errori da evitare?, Agosto 2018, disponibile qui: https://www.iusinitinere.it/informativa-privacy-cos-e-quali-errori-da-evitare-12085

[7] Garante per la Protezione dei Dati Personali, Regolamento Generale sulla Protezione dei Dati 2016/679, disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018

[8] G. Cavallari, Facebook e Cambridge Analytica: tra preoccupazioni e promesse, Maggio 2018, disponibile qui: https://www.iusinitinere.it/facebook-e-cambridge-analytica-tra-preoccupazioni-e-promesse-10519

[9] S. Cedrola, La disciplina delle sanzioni previste dal GDPR, Marzo 2018, disponibile qui: https://www.iusinitinere.it/disciplina-sanzioni-previste-dal-gdpr-8445