Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media

L’ European Data Protection Board (EDPB) ha approvato recentemente le Linee guida dell’EDPB n.8/2020 rispondendo alla necessità di disciplinare il targeting degli utenti sui social media oramai divenuto uno dei principali strumenti di business per le aziende. 
Come noto, le Linee Guida partono da un importante punto di partenza che è rappresentato dal richiamo a tre importanti pronunce della Corte di Giustizia dell’Unione Europea (“CGUE”), cioè le sentenze Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) e Fashion ID (C-40/17), riguardanti la corretta individuazione dei ruoli e delle responsabilità in ambito privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti. 
Rispetto ai contenuti di queste pronunce le Linee si pongono in linea di continuità, richiamando l’individuazione di un possibile rapporto di contitolarità ex Art. 26 GDPR tra i social media providers e targeters. 
Uno degli aspetti più interessanti è l’individuazione dei protagonisti dei processi di targeting. 

Innanzitutto i fornitori di social media (“social media providers”) che sono quegli operatori che offrono un servizio online che permette lo sviluppo di reti e comunità di utenti, tra i quali si condividono informazioni e contenuti, determinandone le funzionalità del servizio. 
Tale attività implica, a sua volta, la scelta – da parte dei providers- dei dati trattati e la determinazione dello scopo, delle condizioni, così come delle modalità di trattamento dei dati personali. Tutto ciò permette la fornitura del servizio di social media, ma anche la fornitura di servizi come il targeting di cui possono beneficiare i partner commerciali che operano sulla piattaforma di social media o in collaborazione con essa. 
Gli utenti, che sono coloro che fanno uso dei social media a diverso titolo e per diversi scopi. Va notato che il termine “utente” è tipicamente usato per riferirsi a molteplici situazioni, ma indipendentemente dal ruolo specifico (sia che siano registrati o se siano meri spettatori) , gli individui oggetto delle attività di targeting dovranno essere comunque considerati “interessati” ai sensi dell’articolo 4(1) GDPR poiché essi sono direttamente o indirettamente identificati o identificabili. 
Infine, i “targeter” ovvero le persone fisiche o giuridiche che utilizzano i servizi dei social media al fine di indirizzare messaggi specifici ad un insieme di utenti dei social media sulla base di parametri o criteri specifici. La linea di discrimine tra i targeters e gli altri utenti dei social media è che i primi selezionano i loro messaggi e/o il loro pubblico di riferimento in base alle caratteristiche, agli interessi o alle preferenze percepite degli interessati, una pratica che a volte viene anche definita come “micro-targeting”. 

Le Linee Guida analizzano poi i principali meccanismi di targeting sulla base della distinzione delle fonti da cui vengono acquisiti i dati personali degli utenti, distinguendo le seguenti casistiche. 

PROVIDED DATA  
In tale caso il targeting viene effettuato sulla base di dati personali forniti direttamente dall’utente al social media provider e/o al targeter. 
OBSERVED DATA  
Sono quei dati forniti dall’interessato in virtù dell’utilizzo di un servizio o di un dispositivo (ad esempio i “mi piace” ). Tali dati possono essere acquisiti attraverso il servizio di social media stesso o anche attraverso la raccolta di dati su siti esterni in virtù dell’installazione di social plug-in o di pixel (e.g. pixel-based targeting, geoblocking etc.). 
INFERRED DATA” O “DERIVED DATA 
Sono quei dati che derivano dall’osservazione del comportamento dell’utente sui social o sul web (ad esempio tutti quei dati relativi al comportamento di navigazione web e/o alle connessioni di rete dell’utente). 
L’EDPB fornendo degli esempi concreti relativi all’utilizzo delle categorie di dati personali per finalità di targeting, individua per ogni singolo caso proposto le basi giuridiche da utilizzare. 

In generale, le basi giuridiche necessarie per autorizzare il trattamento di dati vadano individuate, caso per caso, nel consenso dell’interessato ex Art. 6(a) GDPR oppure, al ricorrere di determinate condizioni nell’interesse legittimo del titolare ex art. 6(f) GDPR che dovrà essere raccolto con estremo rispetto dei diritti dell’interessato e solo in casi eccezionali. 
Per quanto riguarda le ipotesi di profilazione dell’utente tramite monitoraggio, processo decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato. 
In ogni caso, viene chiarito dalle Linee Guida i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi. Pertanto, il semplice uso della parola “advertising” nell’informativa non potrà essere ritenuto sufficiente per giustificare attività di targeting. Su tale aspetto l’EDPB sottolinea la necessità del principio di trasparenza da realizzarsi a seconda delle varie tipologie di attività di trattamento attraverso un linguaggio il più possibile semplice e chiaro ed in modo conciso, ma soprattutto ed in una forma comprensibile e facilmente accessibile. 

Come già anticipato, su tale punto, L’EDPB è in linea di continuità con le sentenze della CGUE in materia di contitolarità tra fornitori dei social media ed altri soggetti coinvolti. Pertanto, nelle Linee Guida viene previsto che l’accordo ex Art. 26 GDPR tra social media providers e targeters debba prevedere tutte le operazioni di trattamento per le quali essi sono congiuntamente responsabili e, altresì, contemplare informazioni sufficientemente dettagliate riguardo alle specifiche operazioni di trattamento dei dati che hanno luogo, comprese quelle di cui agli Artt.5(1) e 5(2) GDPR. 

Naturalmente da un punto di vista pratico un progetto di social media targeting dovrà essere valutato alla luce degli elementi riportati nelle Linee Guida. 

Facebook
Twitter
LinkedIn
WhatsApp

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?