mobile4innovation corrierecomunicazioni
accedi
facebook twitter youtube linkedin rss iscriviti newsletter
dots White Paper dots Eventi dots Video
Digital4Executive

Il nuovo regolamento UE sulla privacy e la pubblicità online di Google e Facebook

Anche per i due colossi dell'Internet Advertising si preparano grandi cambiamenti con l'entrata in vigore in Europa del GDPR, che renderà obbligatorio da maggio raccogliere un consenso specifico per l'uso dei dati personali: una dicitura generica come "migliorare l'esperienza degli utenti a scopo di marketing" o "ricerche future" non soddisferà di norma

di Gabriele Tori, Legal Consultant P4I-Partners4innovation

Digital Advertising

09 Novembre 2017

Con l’applicazione prevista a maggio 2018 del Regolamento Generale sulla Protezione dei Dati (noto come “GDPR”, acronimo della denominazione inglese), anche Google e Facebook dovranno adattarsi per poter utilizzare i dati personali in loro possesso per scopi pubblicitari.

Si tratta di una sfida ardua poiché, contrariamente a quanto ipotizzato in alcuni commenti in materia, non sarà utilizzabile un unico opt-in "di servizio" per tutto, ma sarà obbligatorio raccogliere un consenso specifico dell’utente. Nè, d’altro canto, potrà essere negato l’accesso ai loro servizi a tutti quegli utenti che rifiuteranno di venire profilati. Alcune parti delle loro attività rischiano quindi di essere scosse più di altre.

Il Regolamento infatti si applica, come stabilito all’articolo 3 dello stesso, al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. La portata di tale documento è quindi globale: se una società con sede extra-UE tratta i dati di un cittadino dell’Unione, questa dovrà rispettare il dettato del GDPR, quando le attività di trattamento riguardano l'offerta di beni o la prestazione di servizi ai suddetti interessati oppure il monitoraggio del loro comportamento (sempre nella misura in cui tale comportamento ha luogo all'interno dell'Unione).

Quando si utilizzano Google o Facebook, si sa, si sceglie (più o meno consapevole) di divulgare i propri dati. Queste imprese hanno il diritto di trattare questi dati, nel momento in cui vengono accettate le condizioni di utilizzo, per fornire i loro servizi. Tuttavia, l'applicazione del GDPR impedirà loro di utilizzare tali dati personali per qualsiasi ulteriore scopo diverso da quello contrattuale, salvo esplicita autorizzazione dell'utente.

Lo scopo della raccolta dati deve essere chiaro

Uno dei principi cardine del GDPR è quello della "limitazione delle finalità", stabilito alla lettera b), n. 1 dell’articolo 5, in base al quale “i Dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è […] considerato incompatibile con le finalità iniziali”.

Le autorità adite alla protezione dei dati di tutta Europa hanno chiarito come uno scopo vago o generale, quale ad esempio "migliorare l'esperienza degli utenti", "a scopo di marketing" o "ricerche future", non soddisferà di norma - senza ulteriori dettagli - i criteri per risultare "specifico". Un'azienda non potrà raccogliere più dati per uno scopo di quanto non ne abbia bisogno (principio della “minimizzazione dei dati”) e poi chiedere retroattivamente di utilizzarli per scopi aggiuntivi, differenti da quello originario. Sarà pertanto necessario chiedere un ulteriore consenso, o presentare una scelta di opt-out che giungerà quindi in momenti diversi e per cose diverse, al netto della ovvia creazione di diversi livelli di rischio che dovranno essere rilevati.

Le compagnie Over-the-top, si sa, sono sempre al centro dell’attenzione di molti. È di pochi mesi fa la notizia che vedeva la società di Zuckerberg sanzionata dall’Antitrust UE, con una multa da 110 milioni di euro, per aver fornito informazioni “scorrette o fuorvianti” durante l’indagine correlata all’operazione M&A di Whatsapp e la relativa alla possibilità (inizialmente esclusa dal CEO di Facebook) di collegare gli account delle due piattaforme.

I servizi Google che dovranno essere rivisti

Volendo riportare alcuni servizi che saranno coinvolti da questi cambiamenti, è possibile citare per quanto riguarda Google, tutta la pubblicità personalizzata sui suoi siti più diffusi (quali Google Search e Youtube); mentre per Facebook verranno coinvolti sia la pubblicità di WhatsApp (in quanto i dati personali degli utenti di WhatsApp vengono trattati per finalità non correlate alla funzionalità dell’app), sia Facebook Audience Network il servizio che consente agli editori di guadagnare mostrando inserzioni di inserzionisti di Facebook nelle loro app o nei loro siti Web mobile (tale servizio richiede l'elaborazione dei dati personali degli utenti affinché vengano reindirizzati su altri siti web).

Anche Gmail, uno dei servizi e-mail più popolare al mondo, ne sarà colpito. Google ha affermato di estrarre il contenuto e i metadati di ogni messaggio e-mail inviato e ricevuto mediante il servizio Gmail per andare a creare della pubblicità mirata. Ciò non può continuare senza il consenso espresso da ciascun mittente e destinatario. Questa potrebbe essere la vera ragione, o almeno una delle ragioni, che ha spinto Google ad annunciare che smetterà di estrarre tali informazioni dalle email scambiate sul servizio.

Ovviamente è errato generalizzare, per alcuni servizi esiste una soluzione più agevole: quella di informare un utente su cosa desidera fare con i dati personali dello stesso, offrendogli una possibilità di opt-out anticipata.

Questo approccio di opt-out ha il vantaggio per l’azienda che l'inerzia di alcuni utenti potrebbe consentire comunque l'utilizzo dei loro dati personali. Il GDPR, infatti, consente l'opt-out quando le finalità per le quali le società intendono utilizzare i dati siano compatibili con le finalità originarie per le quali i dati personali sono stati condivisi dagli utenti che ne hanno prestato consenso. Questa casistica si applica ad esempio alla NewsFeed di Facebook, alla pubblicità su Instagram (che ricordiamo essere stata acquisita dal colosso dei social network) nonché il “location targeting" tecnologia di Google Maps che consente diverse pubblicità agli utenti in base alla vicinanza geografica.

Tutto ciò fermo restando che, oltre all' avviso di opt-out, gli utenti dovranno sempre essere informati del loro diritto di opporsi in qualsiasi momento al trattamento dei loro dati.

Il conto alla rovescia per l’applicazione del GDPR si fa sempre più snello, il tempo stringe e non ci resta che vedere come le grandi società presenti sul mercato si adatteranno al nuovo testo di legge.


TAG: normativa, privacy, social media, GDPR, Internet Advertising, Google, Facebook


iscriviti alla newsletter

White Paper


iscriviti newsletter