Il consenso privacy nel digital advertising: ecco come valutare il legittimo interesse - Cyber Security 360

LA GUIDA DELLO IAB

Il consenso privacy nel digital advertising: ecco come valutare il legittimo interesse

Lo IAB ha pubblicato un’importante guida sulla valutazione dell’interesse legittimo che ha l’obiettivo di aiutare il settore del digital marketing e gli advertiser negli adempimenti privacy e data protection. Ecco i dettagli della metodologia proposta

16 Apr 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Il settore del digital marketing è in pieno fermento: tra annunci di rivoluzioni tecnologiche (come la cessazione anche da parte di Chrome dell’uso di cookie di terze parti) e sanzioni purtroppo frequenti per campagne marketing illecite (si veda la più recente comminata a Fastweb per ben quattro milioni e mezzo di euro), quasi quotidianamente emergono novità e spunti di riflessione, a testimoniare una fase di transizione del mercato verso un nuovo digital marketing, auspicabilmente più attento alla normativa che in passato.

In tutto questo anche lo IAB (Interactive Advertising Bureau, preminente associazione di categoria), sezione europea, fa la sua parte, cercando di aiutare gli advertiser negli adempimenti privacy e data protection con una serie di guide.

Una delle più significative è quella sulla valutazione di impatto (DPIA), pubblicata nel novembre 2020. Ora è il turno della guida sulla valutazione dell’interesse legittimo.

I fondamentali del legittimo interesse e della LIA

Sicuramente uno dei crucci principali dell’advertisement, quando è calato nelle maglie del GDPR, è quello dell’uso del consenso come base di trattamento, il più possibile granulare per le varie finalità (comunicazioni commerciali, profilazione commerciale, cessione dei dati a terzi, ecc.).

Il risultato più ambito è certamente quello di ridurre o eliminare la necessità dei consensi: è astrattamente possibile, nel framework del GDPR, solo sulla base di un interesse legittimo prevalente – rispetto agli interessati – del titolare o di un terzo (art. 6 c. 1 lett. f) GDPR).

Per una corretta accountability il titolare deve documentare un test di bilanciamento preventivo degli interessi in gioco (abbreviato come “LIA” – Legitimate Interest Assessment) che dia come risultato uno scenario in cui – per tale self-assessment – si giudicano prevalenti i predetti interessi del titolare o di terzi.

Solo così il titolare può includerlo tra i propri trattamenti, indicando in informativa ex artt. 13-14 la base dell’interesse legittimo. Diversamente, si dovrà adottare una base consensuale.

La metodologia per svolgere questo test è basata perlopiù sui riferimenti forniti negli anni dalle autorità di controllo, come il WP29 nel suo Parere n. 6/2014sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE” e l’ICO inglese.

In Italia si possono ricercare preziosi riferimenti tra i passati provvedimenti del Garante per la protezione dei dati personali, in quanto pre-GDPR il Codice italiano di protezione dei dati personali prescriveva una procedura di verifica preliminare (ai sensi degli artt. 17 e 24 previgenti) presso il Garante stesso che, in sostanza, svolgeva la medesima valutazione ora demandata ai titolari.

La metodologia proposta dallo IAB

È dunque positivo che un’entità privata come lo IAB cerchi di proporre una metodologia di LIA contestualizzata al proprio settore di riferimento, nel cercare di fornire un benchmark.

Ricordiamo comunque che le guide e metodologie dello IAB, a oggi, non sono state riconosciute formalmente dalle autorità di controllo come benchmark né hanno ricevuto endorsement di questo tipo, per cui vanno sempre maneggiate con la dovuta attenzione e capacità di discernere in capo al titolare.

La guida LIA proposta da IAB si compone così:

  • scopi e utilizzo della guida;
  • quando e come applicare la LIA;
  • come effettuare la LIA (test di finalità, necessità, bilanciamento, decisione finale);
  • mantenimento della LIA;
  • appendici sui rischi comuni nel settore del digital advertising nonché sulle risorse disponibili sul tema.

Non troviamo dunque innovazioni, anzi – saggiamente – si ripercorrono le indicazioni delle autorità di controllo in merito. Il plus dovrebbe risiedere, invece, nel “come”, cioè nelle indicazioni settoriali che lo IAB dovrebbe fornire rispetto a quelle piuttosto generiche finora ritrovate nelle riflessioni delle autorità.

Anzitutto lo IAB segnala che la guida presuppone che il titolare abbia già identificato gli interessi legittimi come base giuridica prevista come appropriata per il trattamento in questione – pertanto il titolare dovrebbe aver già documentato da qualche parte questo ragionamento sulle basi applicabili.

Lo IAB rimarca che non vi è alcuna garanzia che l’utilizzo di questa guida si tradurrà in una determinazione giuridicamente corretta degli interessi in gioco, ogni circostanza dovrà essere analizzata obiettivamente caso per caso, utilizzandola come roadmap con i punti chiave da analizzare.

LIA e DPIA: non confondiamo

Molto importante è la differenza che IAB sottolinea tra DPIA (oggetto della precedente guida IAB) e LIA, spesso confuse nella prassi:

  • la DPIA è un processo da utilizzare per valutare e mitigare la probabilità di rischi elevati per gli interessati nel trattamento specifico dei loro dati personali; la DPIA mira a garantire un trattamento lecito qualunque sia la base di trattamento; se l’interesse legittimo è la base giuridica prevista per il trattamento, la DPIA dovrebbe essere completata prima o quanto meno in parallelo con la relativa LIA;
  • la LIA è un’analisi per determinare se i diritti e gli interessi degli interessati prevalgono sugli interessi legittimi identificati e che il titolare ritiene richiedano il trattamento dei dati personali; i risultati della DPIA – in particolare i rischi residui – saranno importanti input nella LIA per la valutazione.

La guida ricorda inoltre quanto sia importante includere la LIA già nella fase di sviluppo dell’attività o del prodotto, considerando l’intero ciclo di vita del trattamento nella LIA, trattandosi di valutazione dinamica che potrebbe dover cambiare nel corso del tempo (ad es. in caso di un mutamento delle circostanze).

Gli interessi legittimi

Premettendo una corretta identificazione degli interessi del titolare (o di terzi, ad es. di altri interessati o di altri titolari) che sono perseguiti, sull’altro piatto della bilancia valutativa vanno posti i diritti e le libertà degli interessati.

Qui lo IAB sottolinea che non è sufficiente affermare, ad esempio, che il proprio interesse riposi in quello di “mostrare annunci“, “migliorare le prestazioni degli annunci” o altri interessi commerciali vaghi o generici: esistono modi alternativi per perseguire tali finalità, l’interesse va esplicato con la maggiore specificità possibile.

Lo IAB segnala che a occuparsi della LIA potranno essere membri aziendali del team legal e compliance, essendo un esercizio principalmente giuridico; nondimeno ne dovrebbero far parte anche il titolare stesso e il team che si occupa dell’attività di advertising in questione, così da “incoraggiare, rafforzare e legittimare efficacemente le decisioni relative al trattamento dei dati”.

Il test in tre passi

Nello spiegare cosa sia una LIA, lo IAB si rifà interamente allo schema prefigurato nel GDPR, nei vari step di test, in fasi già esplicate in passato dal WP29:

  1. contesto e finalità: quali sono gli scopi perseguiti? IAB ricorda di essere il più specifici possibile, fornendo alcuni esempi; uno è relativo al framework TCF (su cui vedi a fine articolo), secondo IAB si potrebbe segnalare ad es. come segue: “utilizzo di un nuovo modello di analisi dei dati di attribuzione dell’ultimo click per ottenere un miglioramento del 20% nelle previsioni delle combinazioni di ad-publisher” – il vantaggio potrebbe essere in capo agli ad-publisher: “si possono scoprire quali annunci e quali annunci funzionano meglio per determinati ad-publisher, il che porta a una spesa pubblicitaria più efficiente; senza misurare le prestazioni degli annunci, non sapremmo cosa funziona di più e farebbe perdere più soldi agli inserzionisti”;
  2. necessità: il trattamento è necessario per raggiungere gli scopi? Dovrebbe essere efficace nel raggiungere gli scopi ma anche proporzionato (minimizzando i dati trattati) nonché residuale (nel caso di alternative possibili meno invasive);
  3. bilanciamento: quali sono gli impatti del trattamento sui diritti e le libertà degli interessati? Va svolta una valutazione del rischio (con le solite variabili della probabilità e dell’impatto) che potrà trarre giovamento dalla DPIA eventualmente già svolta; in appendice alla guida lo IAB ripropone gli specifici scenari di rischio già illustrati nella precedente guida DPIA; andranno considerati eventuali fattori aggravanti e attenuanti, cioè “considerazioni sulla natura dei dati, sulla natura del rapporto e del contesto di raccolta dei dati, sulle aspettative degli utenti e sulle garanzie e sui controlli presi per proteggersi dai rischi”; la natura dei dati è delicata, lo IAB propone varie ipotesi da considerare come ad es. i dati particolari (ex art. 9 GDPR), di geolocalizzazione, di soggetti vulnerabili (minori, anziani, ecc.), il grado di pseudonimizzazione adottato, ecc.; circa il contesto della raccolta dei dati, IAB ricorda che “i cookie e i tag sono relativamente trasparenti rispetto a una identificazione probabilistica. Le raccolte di dati client-server sono più trasparenti dei trasferimenti server-server”; sono importanti anche le misure adottate per fronteggiare i rischi del trattamento, ragion per cui è prioritario fornire appena possibile il controllo dei propri dati agli interessati, ad es. riducendo il più possibile i tempi di conservazione dei dati – attingendo inoltre alle valutazioni della DPIA e identificando ulteriori garanzie a tutela degli interessati.

Al termine il titolare dovrà adottare una decisione finale sul bilanciamento. Lo IAB giustamente afferma che “il processo di LIA è una valutazione obiettiva che dovrebbe essere affrontato senza un’aspettativa predeterminata sull’esito del test di bilanciamento. Non esiste un algoritmo preimpostato a cui è possibile collegare le risposte per ottenere una determinazione alla fine dell’analisi sopra. È più arte che scienza. È qui che competenza, esperienza e obiettività sono cruciali e perché professionisti della privacy debitamente formati – spesso avvocati – sono nella posizione migliore per giungere alla determinazione finale”.

Tutto giusto, andrebbe comunque sottolineato che è comunque sempre e solo il titolare, così correttamente consigliato, a far sue o meno le valutazioni argomentate dagli esperti e a dover formalmente avere la parola finale, con annesse responsabilità.

Oltre a doversi preoccupare del suo periodico riesame e della rivalutazione qualora dovessero esserci cambiamenti significativi.

Infine, la guida offre una formula generica per esprimere l’uso dell’interesse legittimo e che potrebbe essere così adottata in sede di informativa ex artt. 13 e 14 GDPR.

I rischi della metodologia IAB

IAB ha adottato in precedenza un proprio framework di trasparenza e consenso privacy (detto “TCF”), nella versione 2.0 dell’agosto 2019, che sta generando tuttora molte perplessità applicative.

Ciò perché tale framework – un suo riscontro diretto si ha in molti siti internet quanto a interfacce e design per i banner e trattamenti dei dati mediante cookies – propone una discutibile possibilità di sovrapposizione tra basi legali – consenso e legittimo interesse –, mai accettata dalle autorità di controllo né ammessa espressamente dalla legge, con relative potenziali violazioni della normativa europea.

Da qui la frequente e deplorevole prassi di banner dei cookies ove troviamo non solo consensi ma anche interruttori per de-selezionare (opt-out) cookie basati sull’interesse legittimo.

Lo IAB precisa che è sempre esclusivamente del titolare la responsabilità nell’applicare o meno questo criterio “sommatorio” ma il modo ambiguo con cui viene presentata tale possibilità può indurre in facile errore tanti player non esperti del settore. Non dovrebbe affatto essere ipotizzata questa possibilità.

Inoltre, lo IAB forse non sottolinea abbastanza che nel contesto online, qualora il titolare debba applicare la Direttiva 2002/58/CE (recepita in Italia nel Codice nostrano, in particolare agli artt. 121 ss.), circa le comunicazioni elettroniche, la base da adottare è prescritta, dalla legge, quasi sempre come consensuale (in particolare per l’archiviazione o l’accesso a informazioni nel dispositivo utente, come accade con i cookies).

La metodologia di LIA viene ora proposta dallo IAB espressamente per integrare l’uso del predetto TCF (nel framework si ricordava già la necessità per i titolari di adottare l’interesse legittimo solo previa LIA con esito positivo) e può certamente aiutare a contestualizzare meglio la valutazione degli interessi in ambito digital marketing.

Tuttavia, non va inteso come uno strumento per giustificare tout court un qualsiasi trattamento a fini promozionali senza richiesta di consenso. Adottando un modello che ricalca perlopiù quello dell’ICO inglese, può fornire comunque utili suggerimenti di merito per una LIA debitamente contestualizzata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5