Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

i limiti

Blockchain e digital advertising: ecco come tutelare i dati dei consumatori

Il digital advertising è un’applicazione promettente della blockchain. Gli operatori del settore pubblicitario devono tuttavia confrontarsi con problemi legati alla profilazione e al trattamento dei dati a fini di marketing. Vediamo quali sono

18 Lug 2018

Gerolamo Pellicanò

avvocato, Of counsel CBA

Barbara Sartori

avvocato, partner CBA


Negli ultimi anni sono via via cresciute le piattaforme di digital advertising basate su blockchain, che puntano a riunire sotto lo stesso ombrello vari player della filiera pubblicitaria, mettendo a fattor comune strumenti di tracciamento e analisi, implementando procedure di know-your-customer e inserendo, tramite smart contract, pagamenti automatici dei corrispettivi pattuiti al verificarsi di determinati risultati in termini di diffusione del messaggio pubblicitario e raggiungimento dei target pubblico previamente concordati.

Gestione delle adv OTT su blockchain

È il caso, ad esempio, di MadHive che, in collaborazione con Premion, ha sviluppato una piattaforma per la gestione delle adv OTT fondata sulla blockchain: il sistema, inizialmente sviluppato per riconciliare gli inserzionisti con il publisher, consente di personalizzare le OTT sulla base degli interessi del consumatore, ottimizzandone l’impatto sul pubblico target. Successivamente, visto il successo dell’iniziativa, Premion e MadHive assieme a molte altre aziende (tra cui Ibm e Tegna) hanno fondato AdLedger, un consorzio il cui scopo è creare un protocollo condiviso fondato sulla blockchain che consenta di rivoluzionare l’industria della digital adv in termini di trasparenza efficienza.

Le iniziative fondate sulla blockchain non si limitano a questo ma sono varie e operano su differenti livelli.

Distribuzione decentralizzata, influencer marketing e Borsa

Ad esempio, nel settore video, troviamo anche Native Video Box (NVB), una piattaforma di distribuzione decentralizzata che colloca contenuti video con licenza sui siti internet di editoria on-line, massimizzandone le visualizzazioni.

Vi è poi l’esempio di Social Media.Market (SM.M) che applica la soluzione blockchain al settore dell’influencer marketing, ossia quella strategia di marketing che si avvale di testimonial dotati di ampio seguito sui social network e sugli altri internet media, al fine di raggiungere in modo più convincente i potenziali clienti. La strategia quindi sfrutta il rapporto che si è instaurato tra il pubblico dei fan e l’influencer per catalizzare l’interesse per un brand o un prodotto.

Altra iniziativa d’avanguardia, operante nel settore B2B è NYIAX: grazie al supporto di Nasdaq, già da questa estate sarà operativa una trading venue – strutturata come uno stock market – in cui gli unici asset ad essere scambiati saranno servizi pubblicitari e le relative trade avverranno grazie a smart contract fondati sulla blockchain. Per la prima volta il mercato del digital marketing avrà quindi una sua Borsa con cui tutti gli operatori dovranno confrontarsi, incrementando concorrenza e trasparenza dell’industria.

Profilazione e applicativi di data management

Nonostante i mutamenti di paradigma, anche nelle campagne pubblicitarie su blockchain manterrà un ruolo centrale la raccolta di informazioni dettagliate su gusti, preferenze e abitudini del soggetto-target (profilazione), sul presupposto che quanto più una campagna di marketing è mirata, tanto più è efficace. Sul tema l’industria sostiene che la creazione di applicativi di data management fondati sulla blockchain potrebbe rivoluzionare l’approccio alla tutela dei dati del consumatore. Si tratterebbe di soluzioni privacy by design grazie alle quali i dati coinvolti sarebbero protetti dalla crittografia blockchain ma allo stesso tempo liberamente consultabili all’interno di una permissioned ledger solo dai soggetti autorizzati per elaborare le proprie strategie di marketing. In altre parole, i dati potrebbero essere impiegati commercialmente riducendo significativamente il rischio di abusi. Inoltre il sistema consentirebbe di registrare le interazioni tra publisher e target in modo inoppugnabile all’advertiser: eliminata quindi l’opacità, per le parti diventerebbe più facile raggiungere un accordo economico.

Un sistema di ricompense per i consumatori

L’industria immagina poi uno strumento blockchain-based in grado di consentire al target di decidere in modo “centralizzato” se, quando e come concedere l’utilizzo dei propri dati: un po’ come se il target-persona fisica avesse a disposizione un interruttore on/off del flusso di dati che lo riguarda, con cui indicare preventivamente le finalità per le quali acconsente il trattamento.

L’idea è accattivante ma potenzialmente sbilanciata a favore del target che potrebbe non avere alcun interesse nel visualizzare messaggi promozionali: per questo vi è chi pensa ad un “sistema a ricompense” in cui il target scambi la propria disponibilità a visualizzare le adv con offerte personalizzate particolarmente vantaggiose a fruibilità personale. L’idea consisterebbe in una versione tecnologicamente avanzata delle tradizionali fidelity card.

I limiti al trattamento dati a fini di marketing

In generale si osserva che il trattamento dei dati personali a fini di marketing richiede il consenso preventivo dei target, nel caso in cui questo è richiesto ai sensi dell’art. 6 del GDPR, posto che, fra l’altro, ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applicano le disposizioni del Codice della privacy, secondo le quali l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (cosiddetto opt-in).

Analogamente, il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché dimostrabile.

Precisa l’art. 7 del GDPR che, “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.”

Inoltre, “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Infine, “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Giova ricordare che, secondo quanto precisato dal Garante per la protezione dei dati personali (“Linee guida in materia di attività promozionale e contrasto allo spam” in data 4 luglio 2013) che si deve tenere tuttora in considerazione, senza il consenso preventivo non sarebbe possibile inviare comunicazioni promozionali con strumenti automatizzati o equiparati, neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque.

Senza il consenso preventivo degli interessati, non è neppure lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell'”indice nazionale degli indirizzi pec delle imprese e dei professionisti” istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica.

Il corretto regime da applicare alla blockchain

Qual è quindi il corretto regime da applicare alla blockchain? Quale che sia la risposta al quesito, sembra certo che i partecipanti alle transazioni non possono certo godere di una tutela minore rispetto a quella assicurata dagli elenchi pubblici o dall’indice nazionale citato poc’anzi.

Inoltre, si deve osservare per completezza che il principio del consenso per il trattamento dei dati vige anche nella disciplina relativa alla protezione dei consumatori nei contratti a distanza, secondo la quale l’impiego del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax da parte di un professionista richiede il consenso preventivo del consumatore (v. art. 58 d.lgs. n. 206/2005, c.d. Codice del consumo).

Anche in questo caso, considerata la natura della catena, quale è il soggetto tenuto a questi adempimenti? Chi e come deve procedere alla documentazione del consenso e alla sua revoca? Come e da chi dovrebbero essere onorati i diritti degli interessati descritti negli articoli da 15 a 24 del GDPR? Come si vede l’individuazione del soggetto titolare del trattamento, secondo i criteri sopra indicati, assume un’importanza centrale anche nella progettazione di soluzioni fondate sulla blockchain.

Una ulteriore riflessione merita infine la eventuale profilazione a fini di marketing dei soggetti che partecipano alle transazioni, in modo da indirizzare digital advertising mirato secondo gli aspetti personali che sono evidenziati dalle loro condotte nella stessa blockchain.

La profilazione comporta una valutazione sistematica e globale riferita a comportamenti di persone fisiche e, utilizzando un trattamento automatizzato, è considerata invasiva e rischiosa per i diritti e le libertà delle persone fisiche. Il GDPR dispone alcune cautele, fra le quali una valutazione d’impatto preventiva (art. 35) e l’obbligo di designare un Data Protection Officer (DPO), se effettuata su larga scala (art. 37). In tal caso, quindi, il mero consenso libero, informato, specifico alla profilazione dell’interessato non sarebbe di per sé sufficiente ad assicurare la liceità del trattamento.

Un identity management system per bilanciare business e privacy

Quindi, la prospettiva è la creazione di un identity management system in grado di bilanciare le istanze del mercato con la doverosa tutela della privacy prevista nel GDPR, anche se alcune criticità, come abbiamo visto, permangono sotto vari profili.

Gli sviluppi delineati sono molto promettenti tuttavia gli investimenti, al momento, si concentrano nel settore B2B. Il fronte B2C, invece, è più problematico in quanto, a differenza del mercato B2B, deve affrontare le criticità legate al GDPR.

La soluzione di tali aspetti è cruciale per ridurre il “compliance risk” che attualmente costituisce un freno considerevole agli investimenti nel settore.

Le riflessioni che si è ritenuto necessario esporre intendono contribuire a mettere a fuoco alcune problematiche con le quali gli operatori del settore pubblicitario devono ineludibilmente confrontarsi quando utilizzano a fini di digital advertising le molteplici opportunità offerte dalla tecnologia blockchain.

L’esperienza di quanto è avvenuto in questi ultimi anni di rapidissima e inarrestabile crescita della digitalizzazione ci deve tuttavia confortare. A fronte dei nuovi sviluppi tecnologici il diritto in una prima fase sembra smarrito, perché non appare in condizione di attribuire la giusta categorizzazione alle nuove strumentazioni. Eppure il diritto, come fonte di regolamentazione di una società viva, ha dimostrato capacità mirabili di adattamento.

Hanno collaborato Enrico Bettella e Anna Iorio, CBA

Articolo 1 di 4