Linee Guida dell’EDPB sul targeting degli utenti di social media: ruoli e responsabilità

1. Introduzione.

Con la pubblicazione del 2 settembre 2020, il Comitato Europeo per la protezione dei dati personali (di seguito, “EDPB”) ha emanato le nuove linee guida 8/2020 (di seguito, “Linee Guida”) in tema di targeting degli utenti dei social media, con l’intento di chiarire quale potrebbe essere la ripartizione delle responsabilità tra i provider di social media e i targeter – ovvero i soggetti che utilizzano i servizi dei social media per indirizzare messaggi sulla base di parametri o criteri specifici – nonché identificare i potenziali rischi che tali operazioni, implicanti il trattamento di dati personali, comportano per i diritti e le libertà delle persone fisiche.

I social media rappresentano, infatti, uno degli sviluppi più significativi dell’ambiente “online” nell’ultimo decennio; ai fini delle Linee Guida, i social media sono intesi come le “online platforms that enable the development of networks and communities of users, among which information and content is shared. Key characteristics of social media include the ability for individuals to register in order to create “accounts” or “profiles” for themselves, to interact with one another by sharing user-generated or other content and to develop connections and networks with other users”.

Come parte del loro business, molti provider di social media offrono servizi di targeting, attraverso i quali è possibile inviare messaggi specifici ad un determinato gruppo di riferimento; tale operazione presuppone la combinazione e l’analisi di dati provenienti da fonti diverse che, insieme alla natura potenzialmente “sensibile” dei dati in questione, crea notevoli rischi per i diritti e per le libertà delle persone fisiche, rischi che riguardano soprattutto la mancanza di trasparenza sul trattamento dei dati effettuato dal titolare e la mancanza di controllo dei dati personali da parte degli interessati.

L’importanza di identificare correttamente le persone coinvolte in questo processo, nonché le rispettive responsabilità, è stata la ragione per la quale l’EDPB ha deciso di intervenire sul tema, fornendo alcune importanti indicazioni e chiarimenti.

2. Possibili rischi derivanti dall’attività di targeting.

Il targeting degli utenti può comportare l’utilizzo dei dati personali che vanno contro o, addirittura, oltrepassano le aspettative degli utenti, violando i principi in materia di protezione dei dati personali. L’EDPB individua, in tal senso, tre differenti tipologie di rischi:

(i)           le attività di profilazione che sono collegate al targeting potrebbero comportare, ad esempio, la creazione di nuovi dati che l’individuo non ha divulgato attivamente, minando in tal modo la sua capacità di controllo dei propri dati personali;

(ii)          un secondo tipo di rischio riguarda la possibilità di esclusione e discriminazione: il potenziale di discriminazione nel targeting deriva dalla capacità degli inserzionisti di sfruttare la grande quantità e varietà di dati personali che le piattaforme dei social media raccolgono sui loro utenti;

(iii)         un ulteriore rischio riguarda poi la possibile manipolazione degli utenti: i meccanismi di targeting sono utilizzati, per definizione, per influenzare il comportamento e le scelte degli individui. Ad esempio, un’analisi dei contenuti condivisi sui social media può rivelare informazioni sullo stato emotivo, informazioni che potrebbero essere utilizzate per indirizzare l’individuo con messaggi specifici e in momenti specifici nei quali ci si aspetta che sia più ricettivo, influenzando così il suo pensiero, le sue emozioni e il suo comportamento.

Nella stessa ottica, può verificarsi anche l’ipotesi in cui, attraverso l’utilizzo di algoritmi, si determini quali informazioni vengono visualizzate e a quali individui, influendo negativamente, in tal modo, sul libero accesso alle informazioni.

3. La raccolta dei dati personali.

Il provider di social media ha la possibilità di raccogliere grandi quantità di dati personali relativi alle interazioni, alle abitudini e alle preferenze degli utenti, e ciò consente di ottenere notevoli informazioni sugli interessi degli utenti stessi (ad esempio, cliccando “mi piace” ad un post o guardando un contenuto video, sì può dedurre che l’utente ha apprezzato il contenuto con cui ha interagito).

Inoltre, i provider di social media sempre più spesso raccolgono i dati non solo dalle attività sulla piattaforma stessa, ma anche dalle attività intraprese “fuori piattaforma” combinando dati provenienti da più fonti, al fine di generare nuovi dati, talvolta con un maggior grado di accuratezza.

In particolare, gli utenti dei social media possono essere selezionati sulla base:

(i)           dei dati forniti, ovvero le informazioni fornite attivamente dall’interessato al fornitore di servizi di piattaforme online e/o al destinatario;

(ii)          dei dati osservati, ovvero i dati forniti dall’interessato in virtù dell’utilizzo di un servizio o di un apparecchio (ad esempio, dalle attività sulla piattaforma di social media, quali contenuti condivisi o apprezzati);

(iii)         dei dati desunti, ovvero “dati derivati”, che comprendono tutti quei dati creati dal titolare del trattamento sulla base dei dati forniti e dei dati osservati.

Rispetto a tali operazioni, l’EDPB chiarisce come il targeter e il provider di social media operino in regime di contitolarità qualora determinino congiuntamente i mezzi e le finalità del trattamento, e saranno solidalmente responsabili anche nel caso in cui solo uno dei due abbia accesso ai dati personali.

4. La base giuridica.

In qualità di contitolari del trattamento, sia il targeter che il provider di social media devono essere in grado di dimostrare l’esistenza di una base giuridica adeguata che giustifichi il trattamento dei dati personali.

Tale base giuridica può variare sulla base delle modalità con cui sono stati raccolti i dati personali. Ad esempio, con riguardo al targeting sulla base dei dati forniti direttamente dall’interessato, secondo quanto stabilito dall’EDPB nelle citate Linee Guida, sembrerebbero sussistere due possibili basi giuridiche a supporto:

(i)           il consenso della persona interessata, a condizione che siano soddisfatti tutti i requisiti per un consenso validamente prestato e, in particolare, il consenso deve essere frutto di una libera e consapevole scelta dell’interessato, dovendo lo stesso, inoltre, poter essere revocato in qualsiasi momento in modo semplice e senza alcun pregiudizio;

(ii)          il legittimo interesse del titolare, per il quale l’EDPB ribadisce la necessità che vengano soddisfatte, cumulativamente, le seguenti condizioni:

1. a) il perseguimento effettivo di un legittimo interesse da parte del titolare o del targeter a cui vengono comunicati i dati;
2. b) la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti;
3. c) la condizione che i diritti e le libertà fondamentali dell’interessato non abbiano la precedenza.

Con riguardo, invece, al targeting sulla base dei dati osservati, la base giuridica idonea è il consenso dell’interessato: in tale circostanza, infatti, il legittimo interesse non può essere considerata una base giuridica valida in quanto il targeting si basa sul monitoraggio del comportamento dei singoli individui attraverso l’utilizzo e la navigazione sui siti web, nonché utilizzando tecnologie di tracciamento.

Infine, relativamente al targeting sulla base dei dati desunti, è necessario considerare che tale operazione presuppone, in genere, la profilazione dell’utente e l’automazione del trattamento, per il quale è dunque necessario osservare quanto disposto dall’art. 22 GDPR. Secondo quanto disposto da tale norma, il trattamento automatizzato comprensivo di profilazione può essere legittimo sulla base di tre differenti basi giuridiche: (i) il consenso dell’interessato, (ii) l’esecuzione di un contratto e (iii) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento.

5. Il principio di trasparenza.

Il principio di trasparenza impone che sia reso trasparente agli individui quale tipo di trattamento viene svolto, nonché le relative implicazioni pratiche che ricadono sull’individuo stesso. Per ottemperare adeguatamente a tale obbligo, i contitolari devono anzitutto mettere a disposizione dell’interessato il contenuto essenziale dell’accordo ex art. 26 GDPR (accordo che deve essere stipulato tra i contitolari per determinare le rispettive responsabilità con riguardo agli adempimenti previsti dal GDPR) in modo che lo stesso interessato abbia contezza di come le responsabilità sono state suddivise.

In quest’ottica, l’EDPB evidenzia da un lato, la necessità di portare a conoscenza dell’interessato tutte le informazioni relative al trattamento dei propri dati personali e, dall’altro, come tale adempimento possa essere svolto, nella fase iniziale, anche solo da uno dei due contitolari, ad esempio quello che per primo viene a contatto con l’interessato stesso.

Infine, si precisa come le suddette informazioni debbano riguardare solo l’ambito di trattamento di competenza congiunta dei contitolari, mentre non devono comprendere gli eventuali ulteriori trattamenti posti in essere, ad esempio, dalla piattaforma del social media – di cui si renderà responsabile, a differenza di quanto sopra descritto, unicamente il titolare provider di social media, e non anche il targeter.