privacy

Microtargeting: cos’è e quali sono gli impatti per la protezione dei dati personali

Gli impatti relativi alla protezione dei dati personali legati al microtargeting sono molto elevati. Vediamo in cosa consiste questa forma di pubblicità online profilata e cosa devono sapere i responsabili del trattamento per assicurare il pieno rispetto delle regole

23 Mar 2020
Antonio Perrini

Avvocato - Privacy & Data Protection


Quante volte è capitato che, navigando sui siti web o all’interno delle principali piattaforme social, si vedano comparire annunci pubblicitari, banner mirati e offerte che riguardano proprio contenuti simili a quelli per i quali abbiamo effettuato una ricerca online oppure ai quali abbiamo messo un “like” o abbiamo semplicemente ritwittato?

Cos’è il microtargeting

Tale fenomeno accade quotidianamente e riguarda tutti gli utenti che interagiscono sulla rete. Stiamo parlando del microtargeting, una forma di pubblicità online profilata che analizza i dati personali – in questo caso le specifiche ricerche online dell’utente, i dati di navigazione o il comportamento dell’utente online – al fine di identificare gli interessi di quest’ultimo con lo scopo di influenzare le sue azioni, portandolo, ad esempio, a cliccare su un determinato banner perché di suo interesse. Il vantaggio legato a tale tipo di tecnica di marketing è palese: gli inserzionisti potranno “colpire” con i propri messaggi pubblicitari utenti e fasce di consumatori che sono, con una percentuale molto elevata, effettivamente interessati a quel tipo di prodotto/servizio, rinforzando il messaggio promozionale e sollecitando più volte il bisogno del target.

Non solo. Gli inserzionisti potranno procedere a segmentare la propria clientela con precisione sulla base dei dati comportamentali degli utenti, con l’obbiettivo di creare dei cluster omogenei di consumatori sulla base del loro comportamento e delle loro preferenze.

Il microtargeting è proprio il processo di analisi che definisce i “cluster” delle diverse tipologie di clienti sulla base dei dati analizzati. Il micromarketing è invece l’insieme degli strumenti che possono essere adoperati successivamente dagli inserzionisti per sfruttare l’analisi dei dati effettuati, ad esempio tramite re-marketing e re-targeting. Tale forma di pubblicità (anche se il termine più corretto, a parere di chi scrive, sarebbe quello di “monitoraggio”) ha avuto un forte impatto in campo politico-elettorale (soprattutto in seguito agli avvenimenti legati alla nota vicenda di Cambridge Analytica), impatto così importante che, il Garante Europeo prima, e l’Autorità Garante per la protezione dei dati personali nazionale dopo, allarmate, hanno dedicato specifici provvedimenti sul punto per cercare di chiarire il perimetro di tale fenomeno legato alle possibilità di influenzare le scelte politiche dei cittadini. Questo piccolo contributo non ha l’obbiettivo di approfondire tali vicende, sulle quali molti illustri autori hanno già espresso commenti autorevoli e opinioni. Questo contributo ha invece lo scopo di illustrare quali siano gli accorgimenti da adottare nel concreto, sia da parte degli utenti che navigano online, sia da parte degli inserzionisti, sotto il punto di vista della normativa data protection, prima di procedere ad effettuare questo tipo di trattamenti, che senza dubbio alcuno possono considerati come altamente invasivi della sfera privata dell’individuo.

Gli strumenti del microtargeting

Il microtargeting funziona grazie all’uso di strumenti elettronici, come ad esempio Cookie, Web Beacon, Social Plugin, Tracking Pixel, Tagging script, SDK mobili e pixel di monitoraggio. Questi strumenti elettronici funzionano in maniera abbastanza semplice: vengono installati all’interno dei dispositivi degli utenti e tengono traccia delle abitudini di navigazione degli stessi (ad esempio, su quale parte della pagina web l’utente effettua un click e con quale ripetitività), dei like e delle interazioni con i diversi post delle fan page. Il risultato offerto da tali strumenti viene poi utilizzato per creare un profilo preciso di quel determinato utente. Questo profilo verrà poi successivamente utilizzato per personalizzare gli annunci pubblicitari in base agli interessi che verranno mostrati da quell’utente durante la navigazione. I gestori delle diverse piattaforme social media possono includere questi strumenti elettronici nei loro ambienti e su altri siti Web interessati alle interazioni e al coinvolgimento del pubblico, rendendo di fatto possibile il monitoraggio sia da parte dei gestori dei social media stessi, sia da parte di terzi che operano sui social media (ad esempio, il proprietario della pagina sponsorizzata).

Un esempio renderà sicuramente più chiaro il funzionamento di tale tecnica di marketing: un utente cerca un volo sul portale di una compagnia aerea. Non trovando offerte che combaciano con i propri interessi, non procede all’acquisto del biglietto aereo, avendo però fornito una serie di informazioni precise come destinazione e data e ora di partenza e di ritorno.

Nei giorni successivi (ma non è escluso che tale trattamento possa protrarsi anche per periodi di tempo più lunghi) l’utente visualizzerà con una certa continuità, su pagine web diverse da quella nella quale ha effettuato la ricerca, annunci pubblicitari relativi a offerte per voli aerei con la medesima destinazione e medesimo periodo temporale di interesse. Ma non è certo finita qui. L’utente infatti vedrà comparire tutta una serie di servizi accessori che non aveva esplicitamente cercato, come ad esempio offerte per noleggiare un veicolo presso l’aeroporto di destinazione, offerte relative agli alloggi e addirittura, in alcuni casi, di sconti per la visita di musei e attrazioni locali. Molto spesso, pecca della tecnologia (o forse no) compaiono anche offerte che, ad un primo esame, non sembrano essere così legate al risultato dell’attività dell’utente, e che riguardano magari servizi accessori che altri utenti hanno acquistato a seguito di quella ricerca (ad esempio una particolare copertura assicurativa).

Profili data protection legati al microtargeting

I trattamenti in questione sono molto invasivi rispetto alla sfera privata dell’individuo e permettono al Titolare del trattamento (il gestore della pagina web oppure della piattaforma social in questione) di raccogliere una serie di informazioni molto precise su un determinato soggetto. Si aggiunga poi che, alcuni siti web, riferibili anche a importanti operatori nel settore trasporti, hanno impostato i propri portali in modo che venga riconosciuto il che il browser dell’utente sia impostato con la funzione di “navigazione anonima”, funzione che non consente il salvataggio dei cookie sul dispositivo. In tali casi viene inibita per l’utente la possibilità di effettuare le ricerche.

Chiariti i concetti base legati al funzionamento del microtargeting, appare evidente che l’utilizzo di tale tecnica comporta degli impatti elevati in relazione al trattamento dei dati degli utenti finali. Tale impatto non è certo passato inosservato ed è stato oggetto di specifica attenzione, è infatti possibile trovarne traccia:

  • nella formulazione dell’articolo 35 del Regolamento UE 2016/679 (“GDPR”), dedicato alla valutazione di impatto sulla protezione dei dati personali (DPIA). Tale norma prevede che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.”
  • all’interno del provvedimento dell’Autorità Garante per la protezione dei dati personali dell’11 ottobre 2018, tramite il quale l’Autorità ha proceduto a rendere pubblico un elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, è possibile trovare un riferimento ancora più specifico al microtargeting: dalla consultazione di questo elenco, si evince che devono essere sottoposti a valutazione di impatto i “Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato) e “trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.”
  • Inoltre occorre indicare che linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del GDPR (WP 248, rev. 01) adottate il 4 aprile 2017, versione emendata adottata il 4 ottobre 2017, indicano nove diversi criteri che il Titolare del trattamento deve tenere in considerazione al fine di valutare se uno specifico trattamento possa presentare uno rischio elevato per i diritti e le libertà delle persone fisiche. Tra questi criteri è compreso il trattamento che si basa sull’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, in quanto l’uso di una nuova tecnologia può comportare la necessità di realizzare una valutazione d’impatto sulla protezione dei dati. Tale specifico criterio appare integrato nella tipologia di trattamento qui oggetto di analisi. Tale valutazione è dovuta al fatto che il ricorso a tale tipo di tecnologia può̀ senza dubbio comportare nuove forme di raccolta e di utilizzo dei dati, che possono costituire un rischio elevato per i diritti e le libertà delle persone. Una valutazione d’impatto sulla protezione dei dati aiuterà̀ il titolare del trattamento a comprendere e trattare tali rischi.

Dunque, il primo adempimento da annotare come necessario in relazione alla tematica relativa alla protezione dei dati personali nelle iniziative legate al microtargeting, è proprio lo svolgimento di una valutazione di impatto. Il cuore di tale assessment si riassumerà nella valutazione relativa alla necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite, oltre che disciplinare con attenzione le basi giuridiche che autorizzano tali trattamenti, le misure di sicurezza applicate a tali dati, l’analisi relativa alla probabilità e gravità dei rischi e il periodo di conservazione dei dati raccolti. In questa sede inoltre appare chiaro il richiamo alle norme del GDPR che disciplinano la protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Data Protection by default e Data Protection by design – articolo 25 del GDPR). Tali principi si traducono nella necessità per il titolare di procedere a valutare, integrare ed attuare i principi relativi alla protezione dei dati nelle attività di trattamento fin dalla fase di progettazione del servizio (e sino alla fine del ciclo di vita dei dati) facendo sì che il trattamento riduca al minimo necessario la quantità e la tipologia di dati trattati per raggiungere la finalità di trattamento. Tale principio non è stato introdotto ex novo dal GDPR (si tratta infatti di un corollario al principio di minimizzazione dei dati) che è stato positivizzato e reso un requisito legale a sé stante con la piena applicazione del GDPR. La protezione dei dati fin dalla progettazione consiste nel considerare in anticipo la protezione dei dati e i problemi di privacy in tutte le attività effettuate dal Titolare del trattamento.

In relazione all’uso di nuove tecnologie, altro requisito citato dall’articolo 35 e indice della necessità di procedere allo svolgimento della valutazione di impatto, occorre ricordare, come già specificato sopra, che il funzionamento tecnico del microtargeting può basarsi anche sull’installazione all’interno dei dispostivi degli utenti di cookie, beacon LTE etc. Tali strumenti sono utilizzati per raccogliere informazioni associate al browser, al dispositivo mobile utilizzato dall’utente e al suo comportamento durante la navigazione.

Ma quali attività sono in grado di monitorare tali strumenti? L’installazione di queste “porzioni di codice”, eseguite all’interno dell’app o del browser utilizzato dall’utente, consentono di raccogliere una serie di parametri molto precisi, ad esempio sono in grado di monitorare con un alto grado di dettaglio l’interazione utente-device: nel concreto tali strumenti consentono di generare un ID dispositivo per ogni dispositivo con il quale l’utente naviga (tramite banner o tramite applicazione). L’ID univoco del dispositivo viene memorizzato localmente utilizzando un cookie. Le informazioni che saranno visibili al soggetto che ha installato tali “porzioni di codice” nel device dell’utente sono il tipo di browser utilizzato da un utente e le sue impostazioni, le informazioni sul sistema operativo del dispositivo, le informazioni sui cookie ID e altri ID assegnati a un dispositivo, i MAC address, gli indirizzi IP dai quali un dispositivo interagisce con il sito web o con l’applicazione del cliente, ma anche informazioni sull’interazione e l’attività di un utente su pagine web e applicazioni, compreso il momento dell’interazione o attività, gli indirizzi internet coinvolti e i termini di ricerca inseriti in un motore di ricerca, le informazioni sulla posizione geografica approssimativa (città, regione, codice postale) del dispositivo quando accede a un sito web o informazioni sull’indirizzo IP o dati GPS relativi all’utente.

Tali informazioni in relazione ai trattamenti effettuati, insieme a tutte quelle richieste dall’articolo 13 del GDPR, dovranno essere messe a disposizione dell’utente all’interno dell’informativa relativa al trattamento dei dati personali redatta dal titolare del trattamento. La redazione di una corretta informativa sul trattamento dei dati personali rappresenta dunque il secondo adempimento che il Titolare del trattamento dovrà procedere ad effettuare per disciplinare tali trattamenti prima che questi abbiano inizio.

Proprio sul tema delle informative legate ai servizi online e alle App vale la pena di ricordare che, il Gruppo ex Art. 29 – oggi Comitato Europeo per la protezione dei dati personali (EDPB) – nelle “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” (doc. WP260 rev.01) adottate il 29 novembre 2017, versione emendata adottata l’11 aprile 2018 ha specificato che le informazioni relative al trattamento dei dati personali “per le app […] dovrebbero essere messe a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a più di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy/ Protezione dei dati” nella funzione di menù dell’app). Inoltre, l’informativa sulla privacy dovrebbe essere specifica alla app e non meramente l’informativa generica dell’azienda che è proprietaria dell’app o che la mette a disposizione pubblicamente.

Conclusioni

Alla luce di questa breve analisi, è possibile concludere che gli impatti relativi alla protezione dei dati personali legati al microtargeting sono molto elevati. Tale breve analisi non ha in alcun modo lo scopo di “demonizzare” tali strumenti, né quello di sostenere, come troppo spesso succede, che le regole della disciplina data protection possano limitare la libertà di iniziativa economica delle imprese o la competività dei servizi offerti sul mercato. Tali strumenti presentano degli indubbi vantaggi anche per l’utente finale, che può ricevere messaggi pubblicitari e offerte sulla base dei bisogni che ha espresso e degli interessi che ha mostrato. Naturale che dall’altra parte, i titolari del trattamento dovranno prestare particolare attenzione nella fase di studio, analisi preliminare ed implementazione di queste iniziative, in modo da assicurare il rispetto delle regole (corretta scelta delle basi giuridiche che autorizzano il trattamento, redazione delle informative destinate agli utenti finali, implementazione di misure tecniche ed organizzative adeguate al rischio e corretto svolgimento della valutazione di impatto sulla protezione dei dati personali). La trasparenza e Il rispetto della riservatezza dell’utente e dei propri clienti sono probabilmente il miglior prodotto e miglior forma di pubblicità che può essere offerto ai propri clienti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4