Profilazione degli utenti sui social, ecco le linee guida dell'EDPB

Dati personali

Profilazione degli utenti sui social, le linee guida dell'EDPB sulla privacy

Il Comitato Europeo per la Protezione dei Dati spiega, in base al GDPR, quali sono le coperture giudidiche nelle diverse tipologie di profilazione sui social media, ovvero le condizioni perché tale profilazione sia lecita

06 Gen 2021

Avv. Giovanni Ricci

Studio legale Edoardo Ricci Avvocati

La profilazione degli utenti condotta dai e sui social media pone dei rischi per la libertà personale e la privacy che hanno indotto il Comitato Europeo per la Protezione Dati (European Data Protection Board, EDPB) a pubblicare delle linee guida alla luce della General Data Protection Regulation (GDPR).

La profilazione sui social coinvolge diversi soggetti, anche privi di un account social, e avviene sulla base di dati non solo forniti direttamente dall’utente. Ecco quali sono le coperture giuridiche nei diversi casi, ovvero le condizioni perché tale profilazione sia lecita.

I soggetti coinvolti dalla profilazione

La profilazione coinvolge diverse tipologie di soggetti.

  • Gli utenti che si registrano sui social media aprendo un loro account, ma anche coloro che li utilizzano senza registrarsi, per esempio per visitare una pagina pubblica (poiché tecnicamente la profilazione è possibile anche con riferimento a questi ultimi).
  • I social media provider, aziende come Facebook e YouTube che forniscono online servizi in grado di consentire la costruzione di network e/o comunità di utenti
  • I profilatori (targeter), vale a dire coloro che usano i social media per indirizzare verso specifiche categorie di utenti messaggi basati su criteri e parametri altrettanto specifici (per esempio, gli inserzionisti del digital advertising).

I dati forniti dagli utenti

È anche importante tenere presente che la profilazione può avvenire sulla base dei dati direttamente forniti dall’utente; osservati dalla piattaforma sulla base della navigazione dell’utente; generati dalla elaborazione di una delle due precedenti categorie di dati o di entrambe.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Nel caso dei dati direttamente forniti dall’utente, il primo tema da affrontare in questo tipo di profilazione è la copertura giuridica che deve avere per essere lecita. Da questo punto di vista, le coperture giuridiche che vengono più spesso considerate sono il consenso dell’utente e il legittimo interesse.

Quanto al legittimo interesse, esso deve essere: effettivo e reale; comportare la necessarietà (intesa come infungibilità rispetto ai fini perseguiti) del trattamento; e non compromettere diritti e libertà dell’utente, che alla luce del GDPR sono sovraordinati al medesimo legittimo interesse. Questa particolare copertura giuridica si può considerare sussistente solo se sono presenti tutte e tre le condizioni specificate.

Quanto al consenso, è necessario osservare che esso, è pressoché l’unica base giuridica immaginabile per trattamenti come la profilazione ed il tracciamento per scopi commerciali/di marketing.

Va da sé che il consenso non è legittimamente ottenuto ogniqualvolta esso sia collegato a condizioni contrattuali non negoziabili (e dunque non sia stato dato liberamente).

I dati della navigazione

I mezzi più impiegati per la profilazione tramite i dati osservati dalla piattaforma social sulla base della navigazione dell’utente sono i cookies. Di conseguenza, la copertura giuridica di tali trattamenti è quasi sempre da identificare nel consenso degli utenti, con la precisazione che esso dovrà anche essere coerente con quanto disposto dalla Direttiva ePrivacy (art. 5.3.), la quale pone un chiaro accento sulla esplicita indicazione dello scopo del trattamento. Va da sé che un valido consenso non sussiste laddove i box che corrispondono al consenso all’utilizzo dei cookies siano precompilati con i relativi flag.

Gli inferred data

La profilazione può essere svolta anche tramite i dati generati elaborando i dati acquisiti con una o entrambe le modalità sopra esaminate (inferred data).

Si tratta della generazione di dati tramite algoritmi che “frullano” altri dati, essenzialmente acquisiti con le modalità sopra descritte. È, in altre parole, la vera e propria attività di profilazione.

La base giuridica che rende lecita tale attività è di certo il consenso degli utenti, per lo meno ogniqualvolta essi compiono una operazione di lettura o scrittura corrispondente ad una sorta di like a sua volta incrociabile con i dati già in possesso del social media provider/targeter.

Quali regole nella profilazione “automatizzata”

Qualora questo tipo di profilazione avvenga attraverso procedure automatizzate suscettibili di generare effetti legali sulle persone (per esempio, la concessione od il diniego di un finanziamento), essa, ai sensi dell’art. 22 del GDPR è illecita, a meno che sia giuridicamente coperta:

  • dal consenso espresso dell’utente (tra l’altro richiesto anche ai sensi dell’art. 5.3. della Direttiva e Privacy);
  • dalla sua essenzialità al fine di accedere ad un contratto o di garantirne la funzionalità;
  • dalla autorizzazione concessa da un ordinamento giuridico nazionale o dell’Unione Europea.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4