Il Comitato europeo per la protezione dei dati (EDPB) lo scorso 2 settembre ha adottato le Linee guida 8/2020 sul targeting degli utenti dei social media. Nello specifico, il significativo aumento dell’uso dei social media e la crescente sofisticazione dei meccanismi dei servizi di targeting, giunti ad analizzare e combinare dati personali provenienti da diverse fonti, ha spinto l’EDPB a riconsiderare i profili di rischio che ne derivano a danno dei diritti fondamentali e delle libertà delle persone e a delineare i ruoli e le relative responsabilità dei soggetti coinvolti nel processo del targeting.
La giurisprudenza della Corte di giustizia dell’Unione europea (“CGUE”), le disposizioni del Regolamento UE 2016/679 (“GDPR”) in materia di contitolarità nel trattamento, i pareri resi in passato dal Gruppo di lavoro articolo 29 (in particolare il WP248) e quelli del Garante europeo della protezione dei dati (in particolare il n. 3/2018) hanno costituito un punto di partenza nell’analisi dell’EDPB.
Definizione di attività di targeting
L’attività di targeting viene definita come:
– l’atto di dirigere qualcosa a un particolare gruppo di persone, o come
– l’atto di tentare di fare appello a una persona o a un gruppo di persone o di influenzarli in qualche modo.
Applicando tali definizioni al settore dei social media, il servizio di targeting è un processo complesso che consiste nel comunicare specifici messaggi promozionali (nella forma di “contenuti” di vario genere e annunci pubblicitari) agli utenti dei social media, selezionati sulla base di determinati criteri e a seguito di una serie di operazioni di analisi, elaborazione, deduzione e aggregazione, al fine di influenzarli o indirizzarli verso una precisa scelta sia essa di natura commerciale o politica o di altro tipo.
Il targeting viene prestato da molti social media provider che fanno di questo servizio buona parte del loro modello di business, dal momento che il successo della campagna di targeting rappresenta il maggiore ritorno sugli investimenti. Alla luce di questo, assume centrale importanza il cosiddetto tasso di ricezione degli utenti che sarà maggiore quanto più la persona è monitorata ed il messaggio più precisamente mirato alla persona “giusta”.
I soggetti coinvolti nel processo di targeting sono: gli utenti dei social media, i fornitori della piattaforma social, i cosiddetti inserzionisti ed eventuali altri soggetti che intervengono per fornire, per esempio, servizi di marketing o gestione dei dati.
Social media provider, utenti e inserzionisti
Gli utenti dei social media sono rappresentati da coloro che fruiscono dei servizi offerti dalla piattaforma social, a prescindere dal fatto che siano utenti registrati o che abbiano o meno creato un profilo personale sul proprio account. Essi assumono il ruolo di interessati ai sensi dell’articolo 4, paragrafo 1, del GDPR.
I social media provider sono coloro i quali offrono un servizio online che consente, mediante un’unica piattaforma, lo sviluppo di reti e comunità di utenti che condividono informazioni e contenuti di vario genere. Tale servizio è affiancato dall’offerta di altri servizi quali il targeting che coinvolge i partner commerciali che operano sulla medesima piattaforma o in combinazione con essa. I social media provider hanno l’opportunità di raccogliere una grande quantità e tipologia di dati personali rispetto a quelli espressamente richiesti per accedere al servizio, come quelli volontariamente condivisi dall’utente o quelli dedotti dal suo comportamento o dalle interazioni con altri utenti.
I cosiddetti inserzionisti sono le persone fisiche o giuridiche che si avvalgono dei servizi di targeting dei social media providers al fine di inviare pubblicità mirata che può essere costituita da annunci collocati nella parte superiore o laterale di una pagina web o all’interno delle varie sezioni della piattaforma o accanto ai contenuti generati dagli stessi utenti.
Gli inserzionisti inoltre possono avere propri siti web o applicazioni all’interno dei quali si integrano strumenti o funzionalità come social plug-in o accessi tramite l’autenticazione tramite i social.
Gli ulteriori attori del processo di targeting possono essere i fornitori dei servizi di marketing e, in generale, tutti coloro che lavorano nel settore pubblicitario on line che a loro volta raccolgono ed elaborano dati relativi alle persone, monitorando mediante le tecnologie di tracciamento le loro attività sui siti web o sulle applicazioni.
In questa categoria di attori rientrano le società di gestione e di analisi dei dati la cui attività si caratterizza per l’aggregazione di dati provenienti da diverse fonti on line e offline e la vendita di questi ai fornitori dei social media o agli inserzionisti.
I potenziali rischi per gli utenti
La preoccupazione dell’EDPB si può ricondurre principalmente al fatto che, per mancanza di trasparenza da parte dei social media e degli inserzionisti, il trattamento dei dati personali ai fini del targeting sia ignoto alla maggior parte degli utenti che così non possono mantenere il controllo dei propri dati.
I profili di rischio individuati dall’EDPB si possono riassumere in tre categorie.
La prima prospetta la difficoltà per gli interessati di esercitare i propri diritti a causa della mancata o scarsa conoscibilità delle attività di trattamento svolte sui propri dati. In particolare, l’utente del social media, in assenza di adeguate informazioni, non può prevedere che i propri dati vengano combinati con dati provenienti da fonti di terze parti, generando così ben altri dati rispetto a quelli divulgati attivamente in linea con la finalità centrale (ai suoi occhi) della piattaforma.
La seconda categoria di rischio comporterebbe discriminazioni ed esclusioni ingiuste a danno degli utenti che, in relazione all’appartenenza ad alcuni gruppi (suddivisi per esempio sulla base dell’origine razziale, dello stato di salute o dell’orientamento sessuale), visualizzerebbero o meno offerte pubblicitarie di lavoro, di alloggio o di accesso al credito.
La terza tipologia di rischio riguarda la manipolazione e, in alcuni casi, la compromissione dell’autonomia e della libertà dell’individuo.
Si genera un effetto manipolativo quando i meccanismi di targeting vengono utilizzati per influenzare il comportamento e le scelte degli individui, sia in termini di decisioni di acquisto in quanto consumatori, sia in termini di decisioni politiche in quanto cittadini. Nell’ambito politico si assiste sempre più di frequente all’adozione da parte dei partiti e degli esponenti della politica (in collaborazione ai social media) di pratiche di indirizzo attuate sulla base di interessi e valori, spesso dedotti, che potrebbero minare il processo elettorale democratico.
Conseguenze negative si prospetterebbero anche quando i destinatari dei messaggi pubblicitari fossero selezionati sulla base dello stato emotivo per sfruttare o accentuare le loro vulnerabilità. Allo stesso modo, l’autonomia e la libertà degli individui potrebbe essere compromessa da un accesso alle informazioni alterato a causa dell’uso di algoritmi che selezionano la tipologia di notizie da far visualizzare agli individui. Ciò, evidenzia l’EDPB, porterebbe a due possibili estremi: a) l’aumento della polarizzazione politica e ideologica in quanto gli individui sono esposti a poche informazioni simili tra loro; b) un sovraccarico informativo che genera l’impossibilità di stabilire quali informazioni sono affidabili e di prendere una decisione davvero informata.
Un ulteriore rischio conseguente al targeting è rappresentato dall’autocensura degli stessi utenti dei social media che percependo di essere sistematicamente monitorati, limitano la propria libertà di espressione.
Le metodologie di targeting dei social media
L’EDPB ha individuato tre meccanismi mediante il quale avviene il targeting:
- Il targeting effettuato sulla base dei dati personali che gli individui forniscono attivamente al social media provider e/o all’inserzionista. Oltre ai dati necessari alla creazione di un account sulla piattaforma social, infatti, l’utente può aggiungere una serie di informazioni relative per esempio ai suoi interessi, al suo lavoro o alla sua relazione sentimentale che possono costituire criteri utili sulla base dei quali abilitare il targeting. D’altra parte, l’inserzionista potrebbe caricare i dati che ha raccolto (ad esempio una lista di indirizzi e-mail) sulla piattaforma del social media provider affinché quest’ultimo li confronti con le informazioni già da lui conosciute e in questo modo filtri i destinatari di una comunicazione.
- Il targeting effettuato sulla base dei dati personali osservati attraverso:
- l’attività dell’utente sulla piattaforma;
- i dispositivi tramite i quali l’utente accede al social media (coordinate GPS e numero di cellulare);
- l’uso da parte dell’utente di altre applicazioni che integrino componenti API o kit di sviluppo software (SDK) rilasciati dal social media stesso;
- l’uso da parte dell’utente di siti web di terze parti che hanno incorporato social plugins;
- l’uso da parte dell’utente di altri servizi di terze parti (soggetti con cui l’interessato ha interagito, da cui ha acquistato un prodotto, a cui è abbonato o di cui detiene carte fedeltà);
- l’uso da parte dell’utente di altri servizi offerti da società possedute o gestite dal social media provider.
- Il targeting effettuato sulla base di dati personali dedotti o derivati, cioè quei dati che vengono creati dal social media provider o dall’inserzionista sulla base dei dati forniti dall’interessato o sulla base di quelli osservati.
Per esempio, il social media provider potrebbe dedurre che un individuo è probabilmente interessato ad una determinata attività o prodotto sulla base della sua navigazione sul web (pagine visitate, parole cercate, riconnessioni alla stessa pagina, collegamenti ipertestuali seguiti) o del suo comportamento on line (tempo trascorso su ogni pagina, “Mi piace” forniti, acquisti effettuati).
Ruoli privacy e profili di responsabilità
Le Linee guida dell’EDPB forniscono una serie di esempi pratici che permettono di capire quali ruoli privacy assumono i social media providers e gli inserzionisti quando compiono attività di targeting.
L’EDBP parte dal caso in cui il targeting venga attivato dall’inserzionista che carica i dati dei propri utenti sulla piattaforma del social media provider affinché quest’ultimo trovi delle corrispondenze e così individui il gruppo di persone a cui far visualizzare l’annuncio dell’inserzionista sulla piattaforma social. In questa ipotesi, l’inserzionista assume il ruolo di Titolare del trattamento in quanto determina modalità e finalità del trattamento dal momento che raccoglie, elabora e trasmette i dati personali dei propri clienti al social media provider. Allo stesso modo, il social media provider agisce in qualità di Titolare del trattamento per il fatto che decide di trattare i dati personali dei propri utenti al fine di fargli visualizzare gli annunci pubblicitari dell’inserzionista.
Limitatamente alle operazioni di trattamento finalizzate al targeting e per le quali il social media provider e l’inserzionista determinano congiuntamente i mezzi esiste una contitolarità del trattamento ai sensi dell’articolo 26 del GDPR.
Detto questo, un punto di fondamentale importanza consiste nell’individuare il momento in cui inizia il trattamento congiunto del social media provider e dell’inserzionista e, di conseguenza, capire come distribuire le rispettive responsabilità.
Nel primo caso analizzato dall’EDPB, infatti, l’inserzionista funge da unico titolare del trattamento rispetto alla raccolta iniziale dei dati dei propri clienti, in quanto il social media provider non partecipa in alcun modo alla determinazione degli scopi e dei mezzi della raccolta (che avviene prima del coinvolgimento del social media provider ai fini del targeting).
Il ruolo di contitolarità inizia, piuttosto, con la trasmissione dei dati da parte dell’inserzionista al social media provider, passa per i successivi trattamenti di analisi e finisce, dopo la visualizzazione dell’annuncio pubblicitario, con la cancellazione dei dati personali dei clienti dell’inserzionista. Similmente, l’inserzionista non continuerà a essere contitolare con il social media provider, e quindi responsabile, delle operazioni successive al targeting per il quale il social media provider rimane l’unico Titolare del trattamento.
Altri casi analizzati dall’EDPB riguardano il targeting basato su dati personali osservati mediante le tecnologie di tracciamento. Tra questi, si valuta l’ipotesi in cui l’inserzionista chieda di utilizzare le coordinate GPS rilevate dall’applicazione del social media provider sul dispositivo dell’utente per inviargli un annuncio pubblicitario tramite la medesima applicazione. Anche in questo caso i ruoli che assumono l’inserzionista e il social media provider sono di contitolarità determinando insieme modalità e finalità del trattamento.
Gli ultimi casi presi in considerazione dall’EDPB riguardano il targeting basato su dati personali dedotti dai social media providers o dagli inserzionisti.
Il social media provider, nell’esempio dell’EDPB, osserva le reazioni di un suo utente alle foto pubblicate sulla pagina di un altro utente da cui deduce uno specifico interesse. L’inserzionista si vuole rivolgere proprio a coloro che hanno quello specifico interesse per promuovere una sua iniziativa e chiede, pertanto, al social media provider di inviare pubblicità mirata sulla pagina social dell’utente della piattaforma. Anche in questo esempio l’EDPB rileva una titolarità congiunta tra il social media provider e l’inserzionista tenuto conto del fatto che l’analisi delle reazioni dell’utente è finalizzata a fornire un criterio di targeting utile all’inserzionista.
Di conseguenza, come anticipato, i contitolari hanno il non facile compito di distribuire tra loro le proprie responsabilità in relazione al trattamento congiunto ai fini del targeting.
L’articolo 26 del GDPR prescrive che i contitolari del trattamento devono determinare in modo trasparente le proprie responsabilità per adempiere agli obblighi previsti dal GDPR, soprattutto quelli relativi all’esercizio dei diritti degli Interessati e ai doveri di informazione mediante un accordo scritto affinché siano completamente chiare le fasi e le tipologie del trattamento e gli attori coinvolti.
Conclusioni
Appare senz’altro vero che la pubblicità assolve a una funzione utile e apprezzabile per la società: immaginare un mondo senza pubblicità oggi sembra quasi impossibile. Tuttavia, bisogna fare i dovuti distinguo. La pubblicità che si vede in tv, passa sulle radio o si legge su giornali e manifesti è uguale per tutti, ma il fenomeno del social media targeting è capace di trasformare questa forma di sana pubblicità in manipolazione, in dipendenza, in modificazione comportamentale inconsapevole a seguito di un monitoraggio compulsivo su vastissima scala. Quale dev’essere dunque il limite?
L’EDPB ha delineato una soluzione facendo appello ai principi di correttezza e trasparenza e riconoscendo importanti responsabilità in capo ai soggetti che svolgono attività di social media targeting.
Jaron Lanier, informatico, compositore e saggista statunitense nel suo libro “Dieci ragioni per cancellare subito i tuoi account social” ha espresso una preoccupazione simile a quella di molte istituzioni e professionisti ossia quella di perdere il controllo dei propri dati, la propria libertà e la percezione della realtà che ci circonda. Lanier ci invita a imitare i gatti che si sono integrati nella società tecnologica contemporanea senza svendersi, mantenendo ancora il controllo della propria vita. Allo stesso modo ciascuno di noi, in un mondo in cui siamo costantemente sorvegliati e sollecitati da algoritmi, dovrebbe cercare di mantenere il controllo dei propri dati. I gatti, secondo lui, incarnano le nostre speranze e i nostri sogni per il futuro dell’umanità su internet.