Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA E PRIVACY

Proximity marketing ad alto impatto GDPR, tutti gli obblighi da rispettare

Il “marketing di prossimità” sta conquistando il mondo delle imprese. Che possono coinvolgere con contenuti mirati target localizzati in specifiche aree. Ma la logica data driven comporta una serie di adempimenti giuridici per il trattamento dati. I provvedimenti del Garante e le strategie da seguire

13 Dic 2019
Antonio Perrini

Avvocato - Privacy & Data Protection


Il proximity marketing (o, nella versione italiana del termine, “marketing di prossimità”) rappresenta una delle tecniche più utilizzate dalle società per promuovere prodotti e servizi. Ma gli impatti relativi alla protezione dei dati personali sono molto elevati. I titolari del trattamento dovranno prestare particolare attenzione, oltre che all’implementazione di misure tecniche ed organizzative adeguate al rischio, anche al corretto svolgimento della valutazione di impatto sulla protezione dei dati personali e alla corretta redazione delle informative destinate agli utenti finali. Un’analisi del quadro e gli obblighi previsti.

Il vantaggio principale legato all’uso di tale tecnica coincide con la possibilità di agire in maniera mirata sugli utenti che si trovano su una precisa area geografica, sfruttando in maniera strategica la loro posizione (come ad ad esempio nel caso in cui l’obbiettivo sia quello di “colpire” e intercettare tutti gli utenti che si trovano in prossimità di un determinato negozio).

La finalità principale di chi sceglie di utilizzare tale tecnica di marketing è quella di convincere l’utente localizzato nell’area target prescelta a recarsi presso un determinato punto prestabilito (un negozio fisico, un evento, un museo..) al fine di per poter usufruire di determinate offerte o promozioni.

Marketing di prossimità, ecco come funziona

Il funzionamento del proximity marketing può coinvolgere diversi strumenti sotto il punto di vista tecnologico (banner profilanti, telecamere, ricevitori wi-fi e bluetooth in grado di collegarsi con i device dell’utente…) ed esistono numerose piattaforme tecnologiche in grado di fornire tali tipi di servizi. Ad esempio, l’organizzatore della campagna può scegliere di programmare l’invio di una serie di banner pubblicitari agli utenti quando questi ultimi si trovano nella zona target e accedono a internet tramite i propri dispositivi, scegliere di servirsi di una specifica app che l’utente installa sul proprio dispositivo e tramite la quale quest’ultimo riceve notifiche, o addirittura installare specifici ricevitori in determinati luoghi “strategici” in grado di agganciarsi, in automatico e senza che l’utente se ne renda conto, ai device degli utenti che transitano in prossimità di quella zona.

Vi sono anche casi in cui tali iniziative sono rese più “appetibili” dagli organizzatori della campagna associando alle stesse specifiche esperienze di “gaming”, in modo da invogliare l’utente a parteciparvi. Il panorama è abbastanza vario, ma, al di là delle diverse tecniche utilizzabili e dei diversi strumenti a disposizione, in tutti i casi il funzionamento del proximity marketing si basa sulla rilevazione e monitoraggio della posizione e del comportamento dell’utente su una determinata zona fisica. Tale caratteristica rende particolarmente interessante tale argomento sotto il punto di vista della normativa in materia di protezione dei dati personali.

La data protection nel marketing di prossimità

Chiariti i concetti base legati al funzionamento del proximity marketing, appare evidente che l’utilizzo di tale strumento comporta degli impatti elevati in relazione al trattamento dei dati degli utenti finali che usufruiscono di tali servizi. Tale impatto non è certo passato inosservato ed è stato oggetto di specifica attenzione, è infatti possibile trovarne traccia:

  • nella formulazione dell’articolo 35 del Regolamento UE 2016/679 (“GDPR”), dedicato alla valutazione di impatto sulla protezione dei dati personali (DPIA). Tale norma prevede che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.”
  • all’interno del provvedimento dell’Autorità Garante per la protezione dei dati personali dell’11 ottobre 2018, tramite il quale l’Autorità ha proceduto a rendere pubblico un elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, è possibile trovare un riferimento ancora più specifico al marketing di prossimità: dalla consultazione di questo elenco, si evince che devono essere sottoposti a valutazione di impatto i “trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità̀ che il trattamento “possa presentare un rischio elevato” ai fini del GDPR (WP 248, rev. 01) adottate il 4 aprile 2017, versione emendata adottata il 4 ottobre 2017.

Marketing di prossimità, criteri per il trattamento

Le citate linee guida indicano nove diversi criteri che il Titolare del trattamento deve tenere in considerazione al fine di valutare se uno specifico trattamento possa presentare uno rischio elevato per i diritti e le libertà delle persone fisiche. Tra questi criteri è compreso il trattamento che si basa sull’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, in quanto l’uso di una nuova tecnologia può̀ comportare la necessità di realizzare una valutazione d’impatto sulla protezione dei dati. Tale specifico criterio appare integrato nella tipologia di trattamento qui oggetto di analisi. Tale valutazione è dovuta al fatto che il ricorso a tale tipo di tecnologia può̀ senza dubbio comportare nuove forme di raccolta e di utilizzo dei dati, che possono costituire un rischio elevato per i diritti e le libertà delle persone. Una valutazione d’impatto sulla protezione dei dati aiuterà̀ il titolare del trattamento a comprendere e trattare tali rischi.                         

Dunque, il primo adempimento da annotare come necessario in relazione alla tematica relativa alla protezione dei dati personali nelle iniziative legate al proximity marketing, è proprio lo svolgimento di una valutazione di impatto. Il cuore di tale assessment si riassumerà nella valutazione relativa alla necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite, oltre che disciplinare con attenzione le basi giuridiche che autorizzano tali trattamenti, le misure di sicurezza applicate a tali dati e il periodo di conservazione dei dati raccolti. In questa sede inoltre appare chiaro il richiamo alle norme del GDPR che disciplinano la protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (c.d. Data Protection by default e Data Protection by design – articolo 25 del GDPR).

Privacy, ridurre al minimo i dati raccolti

Tali principi si traducono nella necessità per il titolare di procedere a valutare, integrare ed attuare i principi relativi alla protezione dei dati nelle attività di trattamento fin dalla fase di progettazione del servizio (e sino alla fine del ciclo di vita dei dati) facendo sì che il trattamento riduca al minimo necessario la quantità e la tipologia di dati trattati per raggiungere la finalità di trattamento. Tale principio non è stato introdotto ex novo dal GDPR (si tratta infatti di un corollario al principio di minimizzazione dei dati) che è stato positivizzato e reso un requisito legale a sé stante con la piena applicazione del GDPR. La protezione dei dati fin dalla progettazione consiste nel considerare in anticipo la protezione dei dati e i problemi di privacy in tutte le attività effettuate dal Titolare del trattamento.

In relazione all’uso di nuove tecnologie, altro requisito citato dall’articolo 35 e indice della necessità di procedere allo svolgimento della valutazione di impatto, occorre specificare che il funzionamento tecnico dei servizi di proximity marketing può basarsi anche sull’installazione all’interno dei dispostivi degli utenti di cookie, beacon LTE, tagging script, SDK mobili e pixel di monitoraggio. Tali strumenti sono utilizzati per raccogliere informazioni associate al browser o al dispositivo mobile utilizzato dall’utente.

Proximity marketing: le tecnologie

Ma quali attività sono in grado di monitorare tali strumenti? L’installazione di queste “porzioni di codice”, eseguite all’interno dell’app o del browser utilizzato dall’utente, consentono di raccogliere una serie di parametri molto precisi, ad esempio sono in grado di monitorare con un alto grado di dettaglio l’interazione utente-device: nel concreto le piattaforme che erogano tali servizi generano un ID dispositivo per ogni dispositivo che interagisce con la pubblicità (tramite banner o tramite applicazione). L’ID univoco del dispositivo viene memorizzato localmente utilizzando un cookie.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Le informazioni che saranno visibili al soggetto che ha installato tali “porzioni di codice” nel device dell’utente sono il tipo di browser utilizzato da un utente e le sue impostazioni, le informazioni sul sistema operativo del dispositivo, le informazioni sui cookie ID e altri ID assegnati a un dispositivo, i MAC address, gli indirizzi IP dai quali un dispositivo interagisce con il sito web o con l’applicazione del cliente, ma anche informazioni sull’interazione e l’attività di un utente su pagine web e applicazioni, compreso il momento dell’interazione o attività, gli indirizzi internet coinvolti e i termini di ricerca inseriti in un motore di ricerca, le informazioni sulla posizione geografica approssimativa (città, regione, codice postale) del dispositivo quando accede a un sito web o informazioni sull’indirizzo IP o dati GPS relativi all’Utente.

Dati dell’utente: l’informativa corretta

Tali informazioni in relazioni ai trattamenti effettuati, insieme a tutte quelle richieste dall’articolo 13 del GDPR, dovranno essere messe a disposizione dell’utente all’interno dell’informativa relativa al trattamento dei dati personali redatta dal titolare del trattamento. La redazione di una corretta informativa sul trattamento dei dati personali rappresenta dunque il secondo adempimento che il Titolare del trattamento dovrà procedere ad effettuare per disciplinare tali trattamenti prima che questi abbiano inizio.

Proprio sul tema delle informative legate ai servizi online e alle App vale la pena di ricordare che, il Gruppo ex Art. 29 – oggi Comitato Europeo per la protezione dei dati personali (EDPB) – nelle “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” (doc. WP260 rev.01) adottate il 29 novembre 2017, versione emendata adottata l’11 aprile 2018 ha specificato che le informazioni relative al trattamento dei dati personali “per le app […] dovrebbero essere messe a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a più di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy/ Protezione dei dati” nella funzione di menù dell’app). Inoltre, l’informativa sulla privacy dovrebbe essere specifica alla app e non meramente l’informativa generica dell’azienda che è proprietaria dell’app o che la mette a disposizione pubblicamente.

Tracking, provvedimenti del Garante

L’Autorità Garante ha avuto modo di affrontare le tematiche legate ai tracciamenti di prossimità degli utenti in alcuni provvedimenti. Tra questi ne spiccano due:

  1. la verifica preliminare dell’Autorità Garante del 22 maggio 2018 [doc. web n. 9022068]) riguardante la raccolta, analisi ed elaborazione di dati, attraverso l’installazione di apparecchiature, per finalità di marketing e ricerche di mercato.
  2. Verifica preliminare. Sistemi di rilevazione di persone ai fini di marketing – 21 gennaio 2016 [doc. web n. 4806740]

Prima di procedere ad esaminare il contenuto dei provvedimenti citati, occorre ricordare che fino al 4 settembre 2018, data in cui è stato pubblicato all’interno della Gazzetta Ufficiale il D.lgs. 101/2018, contenente le disposizioni per l’adeguamento del codice nazionale in materia di protezione dei dati personali alle disposizioni del GDPR (provvedimento entrato in vigore il 19 settembre 2018, terminato il periodo di vacatio legis) i titolari del trattamento avevano due obblighi in relazione ai trattamenti che presentassero rischi per i diritti e le libertà degli interessati, contenuti all’interno degli articoli 17 (verifica preliminare o “prior checking”) e 37 (notificazione del trattamento).

Entrambi gli adempimenti sono stati oggetto di abrogazione in favore della DPIA. L’articolo 17 imponeva al Titolare che procedesse a trattamenti che presentassero rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, di sottoporre tali trattamenti a verifica preliminare, e cioè ad una autorizzazione preventiva emanata dall’Autorità Garante che contenesse le misure e gli accorgimenti necessari da applicare a quel determinato tipo di trattamento, al fine di eliminare o attenuare il rischio intrinseco di quel determinato tipo di trattamento.

L’articolo 37 invece elencava un novero di trattamenti che necessitavano, prima del loro inizio, di essere notificati all’autorità Garante. Tale notifica rappresentava un mero adempimento amministrativo con il quale il trattamento ad alto rischio veniva segnalato all’Autorità.

All’interno di tale elenco comparivano anche ai trattamenti relativi ai dati di geolocalizzazione su una rete di comunicazione elettronica. Entrambi gli adempimenti contenuti negli articoli citati sono stati sostituiti dallo svolgimento della DPIA. Si tratta dunque di una auto-valutazione effettuata internamente dal Titolare senza alcun confronto diretto o autorizzazione preventiva da parte dell’Autorità di controllo (fatta esclusione per quanto riguarda strumento della richiesta di consultazione preventiva prevista all’articolo 36 del GDPR, altro strumento di accountability previsto dal Regolamento Europeo e che si attiva nel momento in cui il risultato della DPIA non è stato in grado di eliminare i rischi individuati).

Effettuata questa breve premessa, è possibile procedere ad esaminare i due provvedimenti.

Tracciamento: solo se c’è il consenso

In relazione al provvedimento sub (i), una società richiedeva la possibilità di offrire ai propri clienti servizi di raccolta, analisi ed elaborazione di dati attraverso l’installazione di apparecchiature e di specifici device da posizionarsi sul soffitto di un locale o in prossimità della vetrina di un negozio. Ciò allo scopo di consentire la rilevazione, con riguardo al transito ed alla sosta delle persone, sia di immagini (tramite una videocamera) che di comportamenti delle stesse, sia della presenza dei relativi dispositivi mobili, per finalità di marketing e ricerche di mercato.

Tale provvedimento risulta di particolare interesse in quanto all’interno dello stesso l’Autorità ha fornito una serie di indicazioni molto precise.

Una delle indicazioni più interessanti fornite è in relazione alla base giuridica che occorre utilizzare per tali tipi di trattamenti, e cioè il consenso dell’interessato. Tale valutazione viene effettuata sulla scorta di quanto indicato all’interno dell’articolo 122 del Codice: proprio in riferimento all’installazione di cookie o delle tecnologie similari sopra indicate nell’apparecchio terminale di un utente o in caso di accesso a informazioni già archiviate nel device dell’Utente, tali prassi sono consentite unicamente a condizione che l’utente abbia espresso il proprio consenso, preceduto da una dettagliata informativa.

A conferma di tale linea interpretativa, il provvedimento in esame riprende quanto indicato all’interno del parere n. 1/2017, adottato il 4 aprile 2017, dall’allora Gruppo ex art. 29 (oggi Comitato Europeo per la protezione dei dati) relativo alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche (2002/58/CE). Dalla lettura di tale documento si evince che il tracciamento dell’ubicazione delle apparecchiature terminali per tenere traccia degli spostamenti fisici delle persone (ad esempio tracciamento “WiFi” o tracciamento “Bluetooth”) non potrebbe essere effettuato, tenendo conto delle circostanze e delle finalità della raccolta dei dati (posto che “gli indirizzi Mac sono dati personali e lo restano anche dopo l’adozione di misure di sicurezza quali l’hashing”), senza il consenso dell’interessato, ovvero previa anonimizzazione dei dati raccolti”.

“Peraltro – si legge ancora nel documento – nel parere è specificamente richiamata, tra le ipotesi in cui sarebbe necessario ottenere il consenso degli interessati, quella della raccolta e conservazione di indirizzi Mac, indirettamente identificabili (WiFi o Bluetooth) dei dispostivi, così come del calcolo dell’ubicazione dell’utente “al fine di tenere traccia della sua posizione nel corso del tempo, ad esempio nel contesto di più negozi”. Nondimeno, nell’ambito di spazi pubblici, è pure espressamente rilevato che “gli utenti fanno affidamento legittimamente sul fatto di non essere identificati o tracciati e invece si raccolgono gli indirizzi MAC dei passanti”. Il provvedimento in esame dunque indica, quale corretta base giuridica sulla quale fondare i trattamenti, il consenso dell’interessato. Ma è l’unica base giuridica a disposizione per il titolare del trattamento?

Consenso vs legittimo interesse

Una delle novità di maggiore impatto introdotte con la piena applicazione del GDPR è stata l’introduzione del legittimo interesse quale base giuridica che consenta al titolare di procedere ad effettuare uno specifico trattamento. Sotto il vigore della precedente versione del Codice in materia di protezione dei dati personali, all’art. 24 (1) (g) era presente l’istituto del bilanciamento di interessi. Tale strumento ha avuto una applicazione assai limitata, essendo richiesto, per potersene avvalere, di una valutazione preliminare positiva dell’Autorità Garante, previa richiesta da parte del Titolare: in tal modo veniva di fatto compressa la portata di tale strumento, legandolo sempre e comunque ad una autorizzazione dell’Autorità.

Con l’avvento del GDPR, la portata di tale opzione dovrebbe essere invece rafforzata, consentendo di fatto ai titolari del trattamento di avvalersi realmente e in modo pieno di tale base giuridica. Come noto, infatti, il legittimo interesse rappresenta una delle sei basi giuridiche che rende lecito il trattamento dei dati personali (cfr. articolo 6 (1) (f) del GDPR). Questa rappresenta la più flessibile ed elastica delle basi giuridiche, in quanto può essere adottata (e giustificata) tramite l’espletazione di una valutazione interna del titolare (c.d. LIA – Legitimate interests assessment) che specifichi perché quel dato titolare possa procedere a effettuare quel certo trattamento, bilanciando i propri interessi (o quelli di terzi) rispetto alle libertà e ai diritti fondamentali delle persone fisiche, possibilità che esprime al meglio il principio di responsabilizzazione (c.d. accountability) che permea il testo dell’intero GDPR.

I vantaggi del “legittimo interesse”

Uno dei grandi vantaggi dell’applicazione di tale base giuridica consiste nella possibilità di avviare uno specifico trattamento senza la necessità di richiedere il consenso al soggetto interessato (variabile che rende sempre incerta la possibilità di porre in essere un determinato trattamento). Può essere sfruttata tale base giuridica per i trattamenti legati al marketing di prossimità? Dalla analisi del provvedimento sub (ii) [doc. web n. 4806740] a differenza del primo caso, appare possibile procedere a sfruttare tale base giuridica.

Il secondo caso qui oggetto di analisi è relativo all’installazione di impianti per la rilevazione di persone a fini di marketing presso la filiale di un istituto di credito. Il progetto in questione era caratterizzato da un sistema di rilevazione del transito e della sosta di clienti e/o non clienti, costituito da tre componenti distinte che insieme avrebbero la funzione di elaborare profili di comportamento relativi alle abitudini, alle preferenze ed alle scelte di consumo delle persone che accedono alla filiale, in riferimento sia ai prodotti offerti, sia ai servizi maggiormente utilizzati.

I tre sistemi di “analisi video” sfruttati dall’istituto di credito erano:

  • uno strumento software installato su due telecamere in grado di rilevare, attraverso una gradazione di colori, le varie aree della filiale ove le persone transitano e sostano con maggiore frequenza e densità.
  • Una applicazione installata su una telecamera posta verticalmente sopra l’accesso che si intende presidiare, al fine di effettuare un conteggio puntuale dei transiti in entrata ed in uscita, senza riprendere (almeno nelle condizioni ordinarie) il volto dei passanti e senza effettuare alcuna elaborazione biometrica.
  • Una seconda applicazione basata su una tecnologia che permette di ottenere una reportistica numerica, in relazione però ai volti che si rivolgono alle vetrine della filiale dell’istituto di credito e al totem interno. In questo caso, le due telecamere sarebbero posizionate sopra i monitor che proiettano un determinato messaggio pubblicitario, rispettivamente all’interno e all’esterno della filiale, permettendo di rilevare i volti delle persone che stazionano di fronte a detti schermi ed il relativo tempo di permanenza.
WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

I due trattamenti esaminati, con modalità e mezzi tecnologici differenti, hanno entrambi lo scopo di monitorare il numero di soggetti che transitano in un certo luogo, ma si fondano su due basi giuridiche differenti.

Verifica preliminare dell’Autorità Garante del 22 maggio 2018 [doc. web n. 9022068]Verifica preliminare. Sistemi di rilevazione di persone ai fini di marketing – 21 gennaio 2016 [doc. web n. 4806740]
Nel caso del provvedimento esaminato, il ricorso al “bilanciamento di interessi” era stato bocciato dall’Autorità, anche nell’ipotesi in cui il trattamento fosse stato limitato esclusivamente al semplice controllo statistico di conteggio del numero di persone che transitavano in tale zona.

L’Autorità ha infatti sostenuto che non ne è stato in alcun modo rappresentato il legittimo interesse, così da consentire il bilanciamento di interessi che la citata norma richiama, delineando i casi nei quali il trattamento può essere effettuato appunto senza consenso degli interessati.

Da quanto emerge dalla documentazione tecnica presentata, il passaggio di persone e oggetti attraverso linee virtuali tracciate nei luoghi del campo di ripresa, nonostante l’asserita funzionalità di conteggio, si profila piuttosto come un vero e proprio tracciamento di mobilità stante la possibilità di seguire, proprio attraverso le telecamere, la traiettoria delle immagini nell’area monitorata o i movimenti dei dispositivi mobili detenuti dalle persone.

Per quanto concerne il requisito del consenso, analogamente a quanto disposto nel provvedimento generale sulla videosorveglianza dell´8 aprile 2010 con riguardo alle finalità di sicurezza e di tutela del patrimonio, può essere individuato un requisito alternativo nell´istituto del bilanciamento di interessi, ai sensi dell´art. 24, comma 1, lett. g) del Codice, quando la rilevazione delle immagini sia effettuata dall’Istituto di credito alle condizioni e nei limiti precisati in questo stesso provvedimento con riferimento alle rappresentate finalità di marketing.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4