GUIDA NORMATIVA

Behavioural Marketing e implicazioni privacy: di cosa parliamo e il ruolo delle parti in gioco

Ogni azienda attiva sul mercato prima o poi farà probabilmente i conti con l’opportunità di utilizzare servizi di Behavioural Marketing per raggiungere clienti certi o potenziali mediante meccanismi in grado di selezionare il target di persone cui indirizzare la propria pubblicità. Ecco come farlo in conformità con le norme poste a tutela della privacy

12 Ott 2020
D
Gabriella D'Amico

Avvocato, Associate - Rödl & Partner


Prima di approfondire il discorso sul Behavioural Marketing e sulle implicazioni privacy può essere utile fare un breve excursus tra normativa applicabile, posizione delle autorità europee e pronunce giurisprudenziali.

Behavioural Marketing e implicazioni privacy: la normativa

Possiamo cominciare l’analisi di quelle che possono considerarsi le principali tematiche legate alla tutela della privacy di clienti e utenti web in caso di servizi di Behavioural Advertising, facendo un salto indietro nel tempo di ben 12 anni.

Ed infatti, risalgono al 2008 alcuni importanti interventi delle autorità competenti in materia di privacy, utile spunto di riflessione per quanto diremo. Si tratta del Memorandum di Roma, adottato nel 2008 in occasione del quarantatreesimo incontro dell’International Working Group on Data Protection in Telecommunications, della Risoluzione sulla tutela della privacy nei servizi di social network, adottata nel corso della trentesima Conferenza internazionale delle Autorità di protezione dei dati, tenutasi a Strasburgo, tra il 15 e il 17 ottobre 2008 e dell’Opinion 5/2009 del WP29.

Tali interventi sono sostanzialmente improntati ad una grande attenzione nei confronti dell’allora nascente fenomeno di internet, ma di fatto non prendono in considerazione, né avrebbero potuto, gli sviluppi di quello che sarebbe diventato uno dei più importanti strumenti utilizzati dalle aziende per fare pubblicità ai propri prodotti e raggiungere clienti o potenziali tali.

Ed infatti si limitano, per così dire, ad evidenziare come i principali rischi per la privacy connessi all’utilizzo di internet derivino dal fatto che sono gli utenti stessi a condividere un grandissimo quantitativo di dati senza tenere a mente le principali criticità connesse all’assenza di un oblio su internet e ai possibili furti di identità. A ciò si aggiunga la percezione di internet quale un servizio gratuito laddove, invece, il vero prezzo da pagare è costituito proprio dai dati immessi e quindi utilizzati per attività di marketing e profilazione.

Per trovare un accenno un po’ più specifico alle attività di marketing realizzabili sul web, dobbiamo attendere il 2009 e le Linee Guida n. 5 pubblicate dal WP29, le quali si soffermano sui servizi marketing realizzabili via web distinguendo genericamente fra “Contextual marketing”, consistente in attività personalizzata solo sulla base dei contenuti visti o acceduti dall’utente, “Segmented marketing”, consistente in attività personalizzata sulla base dell’appartenenza ad un gruppo piuttosto che un altro e “Behavioural marketing”, consistente in attività online personalizzata sulla base dell’attività dell’utente.

Il WP29, tuttavia, non indaga i requisiti legali di tali attività e si limita genericamente ad affermare che essi variano a seconda anche del soggetto che le effettua (il fornitore del servizio piuttosto che un soggetto terzo cui il fornitore ceda i dati).

In generale, in tale contesto, si invitavano le autorità a tutela della privacy e dei diritti dei consumatori a procedere a campagne di sensibilizzazione rivolte agli utenti (sia a fare attenzione in prima persona, sia a non ledere diritti di terzi) e ai provider (invitati a curare con particolare attenzione gli aspetti cyber per ridurre i rischi di furti d’identità).

V’è da dire che il tempo in cui i summenzionati interventi venivano pubblicati, vedeva il GDPR come un progetto lontano a venire e la sensibilità sui temi afferenti la data protection una lontana aspettativa.

La normativa in materia di privacy in vigore nel 2008 era, infatti, a livello europeo, la Direttiva 95/46/CE (abrogata a far data dall’entrata in vigore del GDPR), in attuazione della quale i singoli stati avevano introdotto normative nazionali (in Italia, il D.lgs. 196/2003, anche noto come Codice della Privacy e, attualmente, ancora in vigore, così come modificato dal D. Lgs. 101/2018). Nonché vigeva (e vige ancora, in attesa del Regolamento E-Privacy) la Direttiva 2002/58/CE[1], specifica per la tutela dei dati personali nel settore delle comunicazioni elettroniche.

Ma entrambe le normative citate non regolamentavano, né a livello europeo, né a livello locale, il settore del Behavioural marketing. Unici appigli normativi rilevanti in tema di trattamenti marketing erano quelli che imponevano (sebbene non specificamente per il settore in commento) di effettuare trattamenti di marketing e profilazione solo previa informativa, nonché previa raccolta del consenso dell’interessato[2].

E, certo, non è poco, ma non è nulla di così specifico e dettagliato da poter far fronte alla vera e propria giungla di trattamenti marketing che le aziende, ad oggi, possono effettuare avvalendosi di internet: trattamenti molto complessi, come vedremo, che meritano di essere approfonditi, soprattutto al fine di individuare correttamente ruoli e basi giuridiche corretti.

Con l’entrata in vigore del GDPR, la situazione a proposito di trattamenti marketing e profilazione è rimasta pressoché invariata, poiché viene confermato quanto già previsto dalla normativa precedente, ossia che detti trattamenti possono essere effettuati solo ed esclusivamente previa erogazione di idonea informativa ex art 13 del GDPR, nonché sulla base di un preventivo consenso specifico, libero ed inequivocabile erogato dagli interessati, ai sensi dell’art. 6) par. 1, lett. a) e 7 del GDPR.

Alle previsioni del GDPR, si aggiungono le interpretazioni fornite all’interno delle Linee Guida pubblicate, in materia, dal WP 29, prima, e dall’EDPB, poi: Linee Guida che non lasciano spazio a dubbi e confermano i requisiti summenzionati quali requisiti necessari per attuare leciti trattamenti di marketing e di profilazione[3].

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

In sostanza, quindi, tutto molto chiaro su marketing e profilazione, ma nulla di specifico sul servizio di Behavioural marketing.

Dobbiamo arrivare al 2018, alle decisioni della Corte di Bayreuth e di Monaco sull’attività di creazione di pubblico personalizzato, che inquadrano il Behavioural marketing fra i trattamenti la cui base giuridica non può che essere il consenso, eliminando i dubbi (se mai ce ne fossero) relativi ad un ipotetico inquadramento di tali attività tra quelle la cui base giuridica può essere l’interesse legittimo del titolare[4].

Non solo, le due pronunce chiariscono anche altri due rilevanti aspetti: che il meccanismo di caricamento delle liste, ai fini della creazione di Behavioural marketing, non è anonimo e, pertanto, ricade nell’ambito di applicazione del GDPR; e che il fornitore del servizio deve considerarsi terza parte rispetto all’azienda.

Due anni dopo, e precisamente a gennaio del 2020, l’ICO pubblica una bozza del Codice di condotta sul marketing[5]. Tale documento dedica un capitolo all’advertising online e alle nuove tecnologie e, nello specifico, tratta anche lo strumento del Behavioural marketing, ricordando alle aziende di essere trasparenti verso i clienti che verranno sottoposti ai trattamenti poiché, afferma testualmente: “È improbabile che gli individui si aspettino che questo trattamento abbia luogo, pertanto non dovete nascondere le informazioni relative agli strumenti basati su liste che utilizzate sui social media all’interno delle vostre informazioni sulla privacy.” Afferma poi che la base giuridica appropriata per questo tipo di trattamento è il consenso del cliente escludendo il legittimo interesse e, conclude, precisando che “Se una persona si è opposta al vostro utilizzo dei suoi dati personali per scopi di marketing diretto, non potete utilizzare i suoi dati per indirizzarli sui social media, anche utilizzando strumenti basati su liste”.

Behavioural marketing: di cosa parliamo?

Questo servizio consente all’azienda di creare un target di riferimento, a partire dalle esigenze che la stessa ha in relazione ad una data campagna marketing.

La creazione del target di riferimento può avvenire in base a differenti tipologie di criteri, ad esempio, l’azienda può decidere di voler indirizzare una data campagna pubblicitaria, ad utenti web che siano anche propri clienti, oppure ad utenti che, in passato, abbiano navigato sul proprio sito, oppure a coloro i quali utilizzino una certa applicazione o, ancora, ad utenti web che abbiano interagito con contenuti che l’azienda stessa ha pubblicato on-line.

Inoltre, è possibile creare un pubblico personalizzato composto da persone che abbiano interagito con l’azienda su canali diversi da internet, ad esempio recandosi in negozio, oppure per telefono, o comunque attraverso altri canali off-line.

È quindi possibile creare un pubblico personalizzato on-line, ove le persone che l’azienda ha intenzione di raggiungere siano, da un lato, utenti web, dall’altro, persone che, in qualche modo, l’azienda ha già comunque “intercettato”, on-line o addirittura off-line. Diversamente, il match non è possibile.

Una volta deciso il criterio in base al quale l’azienda intende creare il proprio pubblico personalizzato, essa deve fornire una serie di informazioni affinché il match venga effettuato e siano, quindi, individuati gli utenti che essa ha interesse siano raggiunti dalla campagna promozionale.

È, quindi, evidente che sia l’azienda che il fornitore effettuano un trattamento di dati personali di clienti e utenti che, per i motivi meglio precisati dalle corti tedesche, non può considerarsi anonimo.

L’azienda e il fornitore: ruoli delle parti e tipologia di consensi al trattamento

Chiarito il funzionamento del servizio di Behavioural marketing volto alla creazione di pubblico personalizzato, vediamo, alla luce di quanto evidenziato nei paragrafi precedenti, i ruoli delle parti (e gli obblighi imposti alle stesse dalla normativa) e la tipologia di consensi che costituiscono la base giuridica dei suddetti trattamenti.

Ruoli delle parti (e adempimenti in capo al titolare)

Nel fruire del servizio di Behavioural marketing, nessun dubbio sul ruolo dell’azienda che si qualifica, ai sensi della normativa privacy, titolare del trattamento dei dati (di clienti, utenti del sito, dell’applicazione utilizzata ecc.).

E il fornitore che ruolo ha? Entrambe le corti tedesche, che si sono pronunciate sul tema, lo hanno definito correttamente come terza parte rispetto all’azienda, e quindi titolare del trattamento e non invece responsabile del trattamento ex art. 28 del GDPR.

Ciò in contrasto con l’opinione dei fornitori, che sovente si qualificano responsabili del trattamento per conto dell’azienda titolare.

Conseguentemente, l’azienda – ove condivida la qualificazione del fornitore come titolare – potrà trasferire dati al fornitore per il servizio in esame in presenza di adeguata base giuridica che, nel caso di specie non potrà che essere, come abbiamo visto, il consenso marketing (oppure di profilazione); ove prediliga quella di responsabile, potrà condividere i dati col fornitore giusta nomina a responsabile.

Consensi per il Behavioural marketing

Veniamo, adesso, alla tipologia di consensi di cui il titolare dovrebbe disporre per la realizzazione dell’attività in commento.

Occorre distinguere a seconda del meccanismo di creazione del pubblico in questione. Ed infatti, laddove l’azienda intenda caricare liste di clienti, dovrà raccogliere presso di loro un consenso al marketing che preveda l’utilizzo di strumenti, come piattaforme attraverso le quali il marketing verrà erogato.

Se, invece, la creazione del pubblico personalizzato avrà, come riferimento, gli utenti di un sito web oppure di un’applicazione, intanto l’utente potrà essere inserito all’interno del pubblico personalizzato richiesto dal titolare in quanto esso abbia dato il proprio consenso al tracciamento, sul sito web dell’azienda titolare oppure sull’applicazione, mediante cookie o pixel.

Pertanto, l’azienda che vorrà effettuare Behavioural marketing a partire da utenti del proprio sito web o della propria applicazione, dovrà predisporre un’idonea piattaforma per la raccolta del consenso al tracciamento tramite cookie di profilazione di terza parte e dovrà menzionare i fornitori all’interno della propria cookie policy, facendo altresì esplicito rimando alle loro Informative privacy per maggiori approfondimenti sul trattamento svolto da tale terza parte.

Da ultimo, prendendo in esame la creazione di liste a partire da interazioni con clienti off-line, naturalmente anche in questo caso l’azienda dovrà aver raccolto, ad esempio presso i clienti dei propri punti vendita, un idoneo consenso ai trattamenti marketing.

Conclusioni

Concludiamo quindi con un paio di spunti, uno più “tecnico”, l’altro più “filosofico”.

Quello tecnico. Il Behavioural marketing è un’attività benefica per il business delle aziende, ma richiede attenzioni peculiari in materia privacy, vuoi da un punto di vista di trasparenza (occorre fornire idonea informativa che chiarisca adeguatamente il trattamento e le sue caratteristiche), vuoi di consenso (occorre raccogliere dedicato consenso marketing per l’attività in commento).

Quello “più filosofico”. Uno dei principali argomenti a sostegno delle attività di marketing profilato è quello in base al quale l’utente sarebbe “contento” di ricevere pubblicità relativa a ciò che gli interessa, anziché essere costretto a districarsi tra una mole indistinta e, magari, per lui, poco interessante, di promozioni.

Ebbene, il Behavioural marketing può proprio servire a tale scopo, ove – si badi bene – i presidi privacy sopra esaminati siano garantiti.

Insomma, un buon marketing può garantire il ritorno all’umanità in una società cannibalizzata dal mercato e ormai, sempre più, priva di anima[6].

NOTE

  1. Direttiva 2009/136/UE.
  2. A livello locale, si veda quanto disposto, in attuazione delle suddette direttiva comunitarie, dal titolo X del Codice della Privacy e, in particolare, degli artt. 122 e 130, in combinato disposto con l’art. e 6 del Codice della Privacy (quest’ultimo attualmente abrogato). Non è, poi, possibile addentrarsi qui nei Provvedimenti dell’Autorità Garante Italiana rilevanti in materia di marketing, ma vale la pena ricordare, comunque, sul tema, quantomeno Le Linee Guida del Garante in materia di attività promozionale e contrasto allo spam, quelle in materia di trattamento di dati personali per profilazione online, nonché il Provvedimento n. 229, dell´8 maggio 2014, relativo alla “Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie, ormai superato dalle Linee Guida 5-2020 dell’EDPB.
  3. Si vedano, al riguardo, Linee Guida EDPB 5-2020 sul consenso (e le collegate Linee Guida WP259), le Linee Guida WP 251 in materia di processi decisionali automatizzati e profilazione, Le Linee Guida WP260 sulla trasparenza.
  4. Dubbi originati dalla formulazione del considerando 47 del GDPR che, tuttavia, a parere di chi scrive, non può in alcun modo considerarsi applicabile a tali tipologie di trattamenti marketing.
  5. Direct Marketing Code of Practice, draft code for consultation, Version 1.0 for public consultation 20200108.
  6. Si segnala per maggiori riflessioni sul punto, l’interessantissimo saggio di Roland Gori, Un mondo senz’anima, Ed. Poiesis
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5