Quale ruolo privacy e (soprattutto) quali responsabilità e rischi per Società che effettuano attività di targeted advertising sui Social Media?
Moltissime aziende, così come molti movimenti politici si sono da tempo resi conto dell’enorme potenziale delle campagne pubblicitarie effettuate attraverso i Social Media.
Il motivo della intrinseca efficacia di tali campagne è evidente: attraverso i social network è possibile acquisire un gigantesco numero di informazioni dei possibili “target” ed è quindi più facile intuirne desideri, interessi, opinioni politiche, persino il tipo di linguaggio e creare così dei messaggi personalizzati, altamente fruttuosi nel contesto della pubblicità.
L’attività pubblicitaria sui social media però, proprio per quanto detto sopra, si distanzia molto dall’attività pubblicitaria ordinaria e, implicando delle attività di trattamento dati, oggi pone notevoli riflessioni da parte dei c.d. “targeter” (i.e. le aziende che intendono pubblicizzarsi attraverso i social media) da un punto di vista di compliance con la normativa in materia di protezione dei dati personali.
L’aspetto che rispetto a questo tipo di adempimenti da sempre ha creato maggiori dibattiti è certamente quello della corretta qualificazione giuridica dei ruoli data protection dei vari soggetti coinvolti, che talvolta non sono pochi.
Nei casi più semplici, infatti, avremmo quantomeno due soggetti, se non tre:
- l’azienda “targeter”, che intende pubblicizzare il proprio prodotto o servizio,
- il social media provider ed, eventualmente,
- agenzie pubblicitarie, società di analisi dei dati che appartengono alla filiera pubblicitaria.
È evidente che, partendo con una corretta impostazione dei ruoli, a cascata si garantisce maggiormente il rispetto degli adempimenti conseguenti.
Tuttavia la corretta definizione dei ruoli non è cosa facile ed è per questo che recentemente è intervenuto il Comitato Europeo per la protezione dei dati personali (EDPB, European Data Protection Board) che, emanando alcune Linee Guida sul targeting dei social media users(1), ha cercato di fare chiarezza su come tale qualificazione dovesse essere operata e ha precisato che tipo di rischi tale pratica comporta per i diritti e le libertà delle persone, evidenziando al contempo in quali responsabilità potrebbero incorrere le aziende targeter nello svolgimento delle predette attività.
Nel fare questo anzitutto l’EDPB assume una posizione abbastanza netta, precisando da subito che sia il targeter che il fornitore di social media dovrebbero considerarsi contitolari del trattamento, partecipando entrambi alla determinazione dello scopo e dei mezzi di trattamento.
- Per quanto riguarda lo scopo, secondo il Comitato, lo stesso sarebbe determinato congiuntamente sostanziandosi nella creazione ed indirizzamento di uno o più annunci specifici a gruppi omogenei di individui.
- Per quanto riguarda i mezzi, invece, secondo il Comitato, sarebbero determinati congiuntamente, attraverso la creazione del targeting, appunto. Il targeter parteciperebbe attivamente scegliendo di utilizzare i servizi offerti dal fornitore di social media e richiedendo di indirizzare messaggi specifici ad un pubblico in base a determinati criteri (ad esempio fascia di età, sesso, stato della relazione, tempistica di visualizzazione)“in tal modo – specifica il Comitato – il targeter definisce i criteri in base ai quali si svolge il targeting e designa le categorie di persone di cui i dati personali devono essere utilizzati. Il fornitore di social media, d’altra parte, ha deciso di elaborare i dati personali dei suoi utenti in modo tale da sviluppare i criteri di targeting, che mette a disposizione del targeter”.
La conclusione cui giunge l’EDPB lascia non poche perplessità a tutti quegli operatori di settore che hanno sempre sostenuto che i targeter non potessero qualificarsi come Titolari del trattamento, non potendo:
a) concretamente “accedere” ai dati personali degli users;
b) conoscere gli algoritmi che sono alla base delle attività di targeting;
c) determinare gli strumenti tecnici e le misure di sicurezza connesse alle attività di targeting.
Sul punto, il Comitato fuga ogni possibile dubbio rispetto alle conseguenze cui portano tali ultime circostanze, precisando che “l’analisi di cui sopra rimane la stessa anche se il targeter specifica solo i parametri del suo pubblico previsto e non ha accesso ai dati personali degli utenti interessati. Infatti, la responsabilità congiunta di più attori per lo stesso trattamento non richiede a ciascuno di essi di avere accesso ai dati personali in questione”.
Pertanto il Comitato afferma che l’accesso effettivo (o la mancanza di esso) ai dati personali non è un pre-requisito all’esistenza di una responsabilità congiunta tra targeter e social media provider, che comunque deve essere ritenuta sussistente nel caso di attività di targeting sui social media.
La responsabilità congiunta verrebbe meno, secondo l’analisi svolta dal comitato, solo rispetto alle operazioni di trattamento di dati personali che avvengono in altre fasi, come ad esempio prima della selezione dei criteri di targeting o dopo che il targeting e l’attività pubblicitaria sono stati completati.
Nonostante l’attenzione delle Linee Guida è focalizzata sulla distribuzione dei ruoli e sugli obblighi data protection sui social media provider e sui targeter, occorre tenere presente che l’EDPB precisa chiaramente che le considerazioni svolte, possono essere utilizzate analogicamente agli altri attori coinvolti nell’ecosistema pubblicitario online, che talvolta, possono svolgere un ruolo importante nel targeting degli utenti dei social media. Rispetto a questi ultimi si dovrà, secondo il comitato, ragionare per analogia a seconda del ruolo di ciascun attore nel processo di targeting.
Altro aspetto interessante affrontato dal Comitato riguarda i rischi per i diritti e le libertà delle persone coinvolte dall’attività di targeting (gli “users”).
Infatti, solo attraverso l’analisi dei rischi sarà possibile per i titolari individuare le misure tecniche e organizzative adeguate al livello di rischio e cercare di attenuarlo, onde evitare di incorrere nelle conseguenti responsabilità.
Ebbene, rispetto a questo tema il Comitato rappresenta chiaramente nelle Linee Guida che i rischi connessi a tale attività di trattamento si legano alla circostanza che dati inizialmente raccolti per uno scopo, possano successivamente essere utilizzati per scopi ulteriori e in modi che l’individuo non poteva ragionevolmente aspettarsi all’inizio, minando così la capacità dell’individuo di esercitare il controllo sui propri dati personali e creando, al contempo, un sostanziale effetto di perdita di controllo e sfiducia rispetto all’effettiva tutela dei dati personali.
Inoltre, attraverso la targhettizzazione, si possono creare effetti molto negativi per le persone che possono trovarsi ad essere discriminati ed esclusi a causa dei criteri scelti dai targeter. Si pensi, ad esempio, quando tali strumenti vengono utilizzati per offrire posti di lavoro, servizi finanziari, prestiti o mutui. L’aspetto che il Comitato evidenzia in particolare è che tali effetti discriminatori possono verificarsi pur in assenza di trattamenti di dati particolari (di cui all’art. 9 GDPR).
Altro rischio affrontato dall’EDPB è quello del possibile effetto manipolatorio sugli utenti, soprattutto se minorenni e, quindi, maggiormente influenzabili.
Si pensi infatti che l’approccio mirato che il targeter vorrà adottare a seguito dell’analisi dei suoi utenti (ad esempio recapitando messaggi personalizzati), potrebbe sfruttare o addirittura accentuare determinate vulnerabilità, valori personali o preoccupazioni dell’utente.
Per spiegare meglio questo tipo di situazione il Comitato, citando alcuni noti casi di campagne elettorali che hanno visto il coinvolgimento dei Social Media ha affermato che “un’analisi dei contenuti condivisi attraverso i social media può rivelare informazioni sullo stato emotivo (ad esempio attraverso un’analisi dell’uso di alcune parole chiave utilizzate)”. “Tali informazioni – continua l’EDPB – potrebbero poi essere utilizzate per indirizzare l’individuo con messaggi specifici e in momenti specifici a cui ci si aspetta che sia più ricettivo, influenzando surrettiziamente il suo processo di pensiero” concludendo affermando che “Quando i messaggi di disinformazione polarizzanti o non veritieri sono rivolti a individui specifici, senza contestualizzazione o esposizione limitata ad altri punti di vista, l’uso di meccanismi di targeting può avere l’effetto di minare il processo elettorale democratico”.
Si tratta a ben vedere di un colpo durissimo inferto dal Comitato al mondo dei social media providers e dei targeter, che dovranno da oggi in poi tenere gli occhi ben aperti sulle modalità di individuazione dei target, in modo da non connettere a tale attività i numerosi e pervasivi rischi per i diritti e le libertà degli individui.
Ricordiamo ai lettori che il Comitato pubblica le Linee Guida, come quelle in discorso, chiedendo opinioni e feedback entro un certo termine che viene stabilito di volta in volta. Questa procedura, delineata nelle sue linee essenziali dal GDPR (art. 70) e dal Regolamento interno (art. 30) prevede che la consultazione sia finalizzata ad ottenere opinioni e preoccupazioni da parte degli operatori e può portare alla pubblicazione di ulteriori specifiche o chiarimenti, ma non ad un sostanziale cambio di orientamento del Comitato, che pertanto deve ritenersi sin d’ora chiaramente espresso.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) EDPB, Guidelines 08/2020 on the targeting of Social Media Users, 2 September 2020