advertising e privacy

Profilazione per finalità pubblicitarie: norme e principi a tutela dei nostri dati

La profilazione è una tecnologia tanto utile quanto dannosa, molto usata nella pubblicità online per inviare inserzioni su misura dell’utente. Affinché non produca effetti nefasti è necessario che sia sviluppata e applicata secondo i principi che presiedono il corretto trattamento di dati personali. Ecco quali

29 Mar 2022
Guido D'Ippolito

Dottore di ricerca in "Diritto dell'economia e dei consumatori"

Tra le attività a cui più fa ricorso il mercato, la profilazione è quella più rivoluzionaria perché è uno strumento per innumerevoli fini, produttivo di vantaggi, sia per gli utenti che per le imprese, ma anche di rischi. I danni di una scorretta profilazione possono essere enormi: dal mancato accesso a un bene o servizio, fino alla creazione, perpetuazione e amplificazione di discriminazioni sociali.

I nodi privacy del programmatic advertising: come essere a norma

I rischi di una profilazione senza regole

La profilazione è un trattamento che, per sua definizione, implica un aspetto di analisi e predizione. Gli algoritmi di profilazione cercano il futuro degli utenti nel loro passato, ne tracciano e indicano preferenze, interessi e azioni future sulla base di schemi comportamentali già posti in essere. Si tratta quindi di un processo delicato, che implica la raccolta e il trattamento di grandi quantità di informazioni, da svolgere nel rispetto di alcuni principi che mettano al centro la persona prima degli interessi di mercato.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Come raccontato dal Glenn Greenwald al TEDGlobal 2014, uno dei primi giornalisti che si è occupato delle rivelazioni di Edward Snowden, il rischio più importante di un enorme raccolta di informazioni sulle persone è il fatto che anche solo il sospetto di essere monitorati spinge le stesse a modificare, alterare o adattare il proprio comportamento. Quasi un’autocensura o la preoccupazione di non tenere comportamenti o fare ricerche delicate o poco usuali. Cosa ben diversa dal commettere illeciti, motivo per cui il motto “non ho nulla da nascondere” con cui si cerca solitamente di stroncare ogni riflessione sul tema perde ogni rilevanza laddove ognuno di noi ha una dimensione intima che, semplicemente, non vuole condividere con terzi ne immagina o desidera possa essergli rivolta contro.

La capacità predittiva degli algoritmi

La capacità predittiva degli algoritmi è tale da farci pensare a una forma di preveggenza laddove, sintetizzando brutalmente, più che “prevedere” il futuro l’algoritmo può fare due cose: la prima è sostanzialmente una scommessa dettata dalla statistica, investire sulla probabilità che l’utente possa tenere un certo comportamento; la seconda è spingerlo a campire l’azione desiderata invogliandolo inconsapevolmente, guidandolo, spingendo o manipolandone il comportamento.

La profilazione si atteggia così sempre più ad “oracolo” della mitologia greca. Come questo, anche gli algoritmi di profilazione sembrano prospettare un fato ineluttabile a cui nessuno si può sottrarre. Come l’oracolo anche i moderni algoritmi producono vaticini che l’utente non sempre comprende o interpreta correttamente. È questo sicuramente un problema. Non avere contezza del funzionamento di tali algoritmi, per i mille motivi spesso dibattuti, porta ad essere dominati dall’algoritmo piuttosto che padroni. Conseguentemente, l’attività predittiva che dovrebbe limitarsi a raccomandare, suggerire, agevolare la scelta dell’utente, rischia di sovrapporsi totalmente alla sua volontà, sostituendosi al processo valutativo e imponendo le sue conclusioni a un uomo che sempre meno avrà il “coraggio” di contraddire l’algoritmo/oracolo e sempre meno sarà capace di ripeterne le valutazioni.

Il tema è largamente trattato in letteratura, dalle “armi di distruzione matematica” di Cathy O’Neil, fino alle “nuove leggi della robotica” di Frank Pasquale, passando per Y.N. Harari e S. Zuboff.

Regole e principi a tutela dei nostri dati personali

Si pone la necessità che anche i processi di profilazione siano pensati e strutturati nel rispetto di regole e principi.

Tra le norme che più direttamente toccano questi temi, la protezione dei dati personali è probabilmente quella che più si pone come obiettivo la garanzia e la tutela degli spazi di libertà della persona. Proprio il Regolamento UE 2016/679 (GDPR) detta una disciplina della profilazione che diventa sempre più stringente tanto più la profilazione diventa invasiva, fino all’applicazione dell’art. 22 sui trattamenti automatizzati che producono impatti significativi sulla persona. Norma, quest’ultima, che ben potrebbe essere candidata a fondamento della regolamentazione di trattamenti complessi e basati su sistemi di intelligenza artificiale e che potrebbe esprimere il suo potenziale ancora inespresso in applicazione congiunta con la futura regolamentazione europea sulla governance dei dati e dell’intelligenza artificiale.

L’applicazione del Gdpr al programmatic advertising

Come noto, la profilazione è abbondantemente utilizzata nel settore pubblicitario online, nell’ambito del programmatic advertising, al fine di realizzare quella più profittevole ed efficiente forma di pubblicità che è la pubblicità personalizzata, targettizzata o comportamentale.

È un settore complesso, che persegue un interesse lecito e per molti versi utile alle imprese, specie quelle di piccole dimensioni, ma anche agli utenti. È però un settore fondato su un intenso sfruttamento e circolazione di dati personali sui quali l’utente ha un controllo quasi nullo. A questo si associano i rischi già accennati sulla profilazione eseguita in modo scorretto, compresa la possibile alterazione e manipolazione del comportamento degli utenti o il riutilizzo dei dati, anche sensibili, per finalità ulteriori quale ben può essere – e la storia di Cambridge Analytica e non solo ce l’ha confermato – la propaganda anche politica.

L’applicazione del Regolamento alla pubblicità personalizzata è infatti un tema dibattuto e affrontato dalle autorità di protezione dati europee.

A partire dalla base giuridica del trattamento che, almeno quando il titolare fa uso di cookie o altri marcatori, è il consenso. Al di fuori dell’utilizzo dei cookie però la situazione non sembra cambiare molto. Sostanziale unanimità di vedute da parte delle autorità europee, anche raccolte in senso allo European Data Protection Board, si registra verso l’impossibilità di basare sul contratto il trattamento di profilazione per finalità pubblicitarie in quanto tale attività non è considerata strettamente “necessaria” al servizio richiesto dell’utente. Stesso dicasi per la possibilità di ricorrere al legittimo interesse del titolare. Quest’ultima non è considerata l’adeguata base giuridica in tutti quei casi in cui si è dinanzi un trattamento complesso, particolarmente invasivo, opaco, poco conosciuto o non corrispondente alle legittime aspettative dell’utente.

Il ruolo dell’informazione

Ulteriormente indagato è il ruolo dell’informazione, sia dal punto di vista della protezione dei dati personali che di tutela del consumatore.

Ma tanti altri sono gli aspetti che necessiterebbero di approfondimento, dall’applicazione dei principi di privacy by design e by default (recentemente valorizzati e rafforzati dalle nuove linee guida sui cookie del Garante italiano) fino al rispetto di principi come la minimizzazione, la limitazione delle finalità e della conservazione dei dati. Temi su cui gli stessi operatori del mercato si stanno attivando ed infatti ormai note sono le possibilità data da Apple di consentire agli utenti di bloccare il tracciamento tramite app, come i tentativi di Google di sviluppare una tecnologia pubblicitaria più rispettosa della privacy: prima con il sistema “FLoC” ora con i “Topics”. Importante, inoltre, è il tema della sicurezza dei dati e, per esempio, che un diniego alla profilazione per finalità pubblicitarie non sia modificato in un consenso senza lasciare traccia.

Programmatic advertising e circolazione dei dati degli utenti

Aspetto meno indagato è quello della circolazione dei dati degli utenti (insieme all’eventuale espressione del consenso al loro trattamento) nell’ambito del programmatic advertising.

Stupisce infatti quanti siano i soggetti che trattano i nostri dati per l’invio di un’inserzione pubblicitaria: editori, Supply Side Platform, AD Exchange e agenzie pubblicitarie, Demand Side Platform, Inserzionisti, Data Managment Platform, Consente Managment Platform, ecc.

Sicché, prima di interrogarci sull’applicazione di questo o quell’istituto normativo, si ha la necessità di ricostruire in concreto i ruoli dei soggetti coinvolti e la loro qualificazione giuridica. Sulla scorta della recente giurisprudenza della Corte di Giustizia e delle linee guida sul targeting dell’EDPB, l’autorità belga, nella recente pronuncia contro IAB Europe, ha ricostruito il settore e fatto applicazione dell’istituto della contitolarità del trattamento. Non solo ha qualificato IAB quale titolare con riferimento al trattamento posto in essere col Transparency and Consent Framework (TCF), nel sistema di Real-Time Bidding, ma lo ha riconosciuto contitolare con riferimento all’attività degli altri soggetti coinvolti nel trattamento generale.

Elemento questo di estrema importanza in tutti i trattamenti complessi laddove porta ad attribuire responsabilità, sebbene gradualmente ripartire in base all’attività concretamente svolta, a tutti i soggetti della filiera del settore pubblicitario.

Siamo quindi dinanzi una tecnologia ampiamente utilizzata, la profilazione, tanto utile quanto dannosa, intensamente adottata nel settore pubblicitario online al fine di inviare un’inserzione ritagliata su misura dell’utente. Ma affinché tale importante tecnologia non produca effetti nefasti è necessario che sia sviluppata e applicata secondo i principi che presiedono il corretto trattamento di dati personali. In altre parole, solo nel rispetto di questi principi si potranno minimizzare i rischi e rendere accettabili tali trattamenti.

Come garantire il rispetto dei diritti

Come garantire, quindi, il corretto rispetto dei diritti delle persone senza sacrificare le pur legittime esigenze del mercato? Tanto è stato proposto, qualcosa è stato fatto ma, allo stato attuale, cosa si può fare dal punto di vista normativo?

Probabilmente, il modo migliore per tener conto delle tematiche qui velocemente accennate e, allo stesso tempo, valorizzare l’esperienza e le esigenze di efficacia e di profitto del mercato, è fare ricorso alla redazione di codici di condotta di cui agli artt. 40 e ss del GDPR.

È probabilmente questo il modo migliore per giungere ad una sintesi degli interessi in gioco tramite una normativa tecnica e flessibile, promossa dagli stessi operatori del mercato e vigilata dalle autorità di controllo o a ciò preposte.

Sembrerebbe questo il modo per bilanciare gli interessi del mercato e delle persone nonché garantire l’applicazione delle norme del GDPR. Ed è solo tramite l’applicazione dei principi che presiedono a un corretto trattamento dei dati personali che si eviterà il rischio che gli algoritmi di profilazione si trasformino in quegli oracoli che ci prescriveranno un destino ineluttabile. Solo nel rispetto delle norme e dei diritti delle persone, come con lungimiranza affermava Stefano Rodotà, la tecnologia tornerà ad essere un sistema di ausilio e libertà dell’uomo, suggerendo o raccomandando una soluzione senza privare di effettiva la sua scelta.

Per chi volesse approfondire, ho analizzato la normativa e i principi applicabili alla profilazione in generale e nello specifico nel settore pubblicitario online nel libro: “Profilazione e pubblicità targettizzata online. Real-Time Bidding e behavioural advertising” per i tipi di Edizioni Scientifiche Italiane.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4