Linee guida sul social media targeting, Facebook chiede di modificarle: quali i possibili impatti sul settore - Cyber Security 360

L'ANALISI

Linee guida sul social media targeting, Facebook chiede di modificarle: quali i possibili impatti sul settore

Durante la consultazione pubblica sulle linee guida dell’EDPB relativa al social media targeting, Facebook ha chiesto un’ampia analisi di settore per garantire la corretta applicazione del GDPR, proponendo importanti modifiche che potrebbero avere impatti notevoli per tutti i social media provider. Ecco perché

05 Nov 2020
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist


Facebook Ireland Limited h partecipato alla consultazione pubblica sul testo di Linee Guida dell’EDPB “Guidelines 8/2020 on the targeting of social media users”, sostenendo che la consultazione rappresenta un’opportunità per creare un ecosistema della pubblicità online sostenibile che rispetta i diritti e le libertà fondamentali delle persone e delle imprese e che il numero di soggetti interessati dalle Linee Guida dell’EDPB richiede un’ampia revisione delle pratiche e delle relazioni che compongono l’ecosistema.

Conseguentemente, Facebook chiede un’ampia analisi di settore per garantire che il GDPR sia attuato in modo tale da garantire un equilibrio tra i diritti e gli interessi di tutti i soggetti coinvolti e propone numerose modifiche sostanziali, soprattutto con riferimento alle basi giuridiche e alla portata della contitolarità individuate dall’EDPB.

Le richieste di chiarimento proposte da Facebook e le proposte di modifica potrebbero essere di grande impatto e potrebbero comportare delle modifiche sostanziali alle Linee Guida, pertanto, è opportuno valutare i rilievi di uno dei maggiori provider del settore cui sono indirizzate e tenere monitorato il testo definitivo delle Linee Guida.

Linee guida sul social media targeting: le osservazioni di Facebook

Lo scorso 2 settembre l’EDPB (European Data Protection Board) ha adottato un testo di linee guida “Guidelines 8/2020 on the targeting of social media users” e lo ha sottoposto a consultazione pubblica fino allo scorso 19 ottobre 2020.

Come rilevato nell’articolo dedicato, lo scopo dell’EDPB era quello di predisporre una guida nelle attività di targeting degli utenti dei social media, con particolare riguardo alle responsabilità dei targeters e dei social media providers e alla individuazione dei ruoli, coerentemente con quanto già chiarito nelle Linee Guida 7/2020 “Guidelines on the concepts of controller and processor in the GDPR”.

Ma nel testo delle nuove linee guida, però, l’EDPB non si limita a fornire chiarimenti sui ruoli dei principali attori dei servizi di targeting, ma approfondisce i principali adempimenti in materia di protezione dei dati, quali l’individuazione delle basi giuridiche, i principi di legittimità e trasparenza, la necessità di effettuare una valutazione d’impatto, nonché elementi fondamentali degli accordi tra i social media providers e i targeters.

Facebook Ireland Limited (“Facebook”), come prevedibile, ha partecipato alla consultazione pubblica inviando le proprie osservazioni.

Facebook inizia il suo Executive Summary evidenziando come gli annunci personalizzati siano la base del libero accesso a Internet e, per questo, le Linee Guida assumono un’importanza cruciale, con un impatto di vasta portata sui diritti fondamentali delle imprese e di altre organizzazioni, e più in generale sull’economia.

È probabile, afferma, che le Linee Guida riguardino una vasta gamma di attori in quello che chiama “ecosistema dell’advertising”, che va oltre i social media users e che include editori, publishers, inserzionisti, advertisers e fornitori di servizi AdTech.

Facebook esorta, quindi, l’EDPB a condurre un’analisi di settore sufficientemente ampia, che riconosca che i diritti fondamentali delle imprese e organizzazioni coinvolte – compresa la libertà di impresa e la libertà di espressione – devono essere conciliati con l’altrettanto fondamentale diritto alla protezione dei dati personali.

Tale analisi, afferma il social media provider, farebbe sì che le Linee Guida possano tenere conto delle pratiche poste in essere dai principali operatori dell’ecosistema pubblicitario e del loro potenziale impatto.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

L’analisi di settore sarebbe utile fondamentalmente per quattro motivi:

  1. Le Linee Guida influenzeranno gran parte del mondo internet fondato sull’Advertising: le Linee Guida sembrano riferirsi al targeting degli “utenti dei social media”, ma la loro portata è molto più ampia, andando a influenzare anche milioni di inserzionisti che utilizzano i servizi dei media per raggiungere le persone con i loro annunci.
  2. La pubblicità personalizzata sostiene le piccole imprese: gli annunci personalizzati aiutano gli inserzionisti a commercializzare i loro prodotti e servizi in modo efficiente e a costo contenuto, nonché le ONG, le organizzazioni internazionali e i governi. L’attuale testo delle linee guida, a detta di Facebook, sembra introdurre nuove interpretazioni del GDPR, che richiedono modifiche sostanziali da parte di molte di queste imprese e organizzazioni.
  3. Limitare le basi giuridiche disponibili per annunci personalizzati nuocerebbe all’ecosistema pubblicitario. Sebbene le Linee Guida riconoscano che non esiste una “specifica gerarchia […] tra le diverse basi giuridiche del GDPR”, l’analisi delle basi giuridiche riferite agli annunci personalizzati fatta dalle linee guida, sembrerebbe, invece, far emergere una gerarchia chiara, in cui la necessità contrattuale sembra essere preclusa e gli interessi legittimi appaiono limitati in modalità che non appaiono coerenti con il testo del GDPR. Secondo quanto afferma Facebook, la lettura delle Linee Guida sembrerebbe suggerire che il consenso sia una base giuridica con valenza superiore per gran parte dei trattamenti effettuati con riferimento agli annunci personalizzati. Questa gerarchia apparente di basi giuridiche sarebbe, però, ad avviso di Facebook, in contrasto con la giurisprudenza della Corte di giustizia dell’UE, con i precedenti orientamenti dell’EDPB e del WP Articolo 29, che hanno sempre sottolineato come la determinazione della base giuridica appropriata per ciascun trattamento richieda un’analisi specifica caso per caso. Se le Linee Guida intendessero stabilire una gerarchia di basi giuridiche con il consenso al vertice, molte aziende potrebbero dover fare investimenti significativi per sviluppare meccanismi finalizzati a ottenere il consenso degli utenti. Inoltre, l’ampia interpretazione della contitolarità da parte dell’EDPB potrebbe comportare nuovi oneri ingiustificati, applicandosi ad attività di trattamento in cui una delle parti non ha effettiva influenza sulle finalità e sui mezzi del trattamento. Il peso maggiore di questi problemi ricadrà, secondo le osservazioni, sulle PMI.
  4. Le Linee Guida possono influire negativamente anche sulla “experience” online degli utenti. L’approccio delle linee guida, che sembra dare priorità al consenso, potrebbe comportare un aumento di oneri per gli utenti, che si trovano già di fronte a numerose richieste di consenso in Internet (in gran parte a causa di banner cookie ormai onnipresenti), e si troverebbero ancora di più a dover decidere se acconsentire a questo o quel tipo di trattamento, se accettare di più annunci non personalizzati invece di annunci personalizzati, o se pagare per un servizio invece di visualizzare annunci personalizzati. Facebook sostiene che chiedere continuamente il consenso dell’utente in modo inopportuno e ripetitivo potrebbe rendere più difficile l’utilizzo di servizi online e diminuire la qualità del consenso prestato dagli utenti.

Social media targeting: le proposte di modifica alle linee guida EDPB

Alla luce dei punti di attenzione esposti, Facebook invita l’EDPB a prendere il tempo necessario per organizzare un’analisi di settore e chiede di adottare le seguenti misure:

  1. Le Linee Guida riconoscano che ogni titolare del trattamento dei dati dovrebbe adottare un approccio risk-based, fondato su dati concreti, per determinare la base giuridica appropriata per ogni trattamento dei dati effettuato con riferimento agli annunci personalizzati. Questo approccio dovrebbe tenere conto, tra le altre cose, della natura dei dati coinvolti nel trattamento, della capacità dell’utente di controllare il trattamento o la raccolta dei propri dati, i benefici effettivi per l’utente, il rapporto con il soggetto che tratta i dati e le garanzie che saranno applicate al trattamento.
  2. Le Linee Guida forniscano maggiore chiarezza sulla ripartizione dei ruoli e le responsabilità dei diversi attori dell’ecosistema pubblicitario. In diverse parti, la versione attuale delle Linee Guida sembra trattare la pubblicità personalizzata – che comporta una serie di decisioni distinte e indipendenti in merito alle finalità e ai mezzi del trattamento – come un insieme indifferenziato di attività per le quali tutti gli attori sono congiuntamente responsabili. A questo proposito, suggerisce di fornire ulteriori indicazioni, anche alla luce dell’auspicata analisi di settore, circa le responsabilità dei diversi attori in diversi scenari, che tengano conto delle attività di trattamento concretamente effettuate.

Infine, data l’ampiezza e l’impatto che avrebbero le nuove Linee Guida in questo settore, chiede che almeno, l’EDPB:

  1. riconosca che le Linee Guida richiederanno un effort significativo per implementarle;
  2. ne ritardi l’enforcement per almeno sei mesi dalla pubblicazione, in modo da fornire alle parti interessate un periodo sufficiente per attuare le eventuali modifiche[1].

Facebook approfondisce, poi, ciascun punto, ponendo l’accento su alcune tematiche. In particolare, dedica ampio spazio alle basi giuridiche e alla contitolarità affermando che limitare le basi giuridiche disponibili per il settore degli annunci personalizzati danneggerebbe l’ecosistema pubblicitario.

Facebook sostiene che la base giuridica individuata nella necessità dell’esecuzione di un contratto (art 6.1.b GDPR) e il legittimo interesse debbano trovare spazio in relazione alla pubblicità personalizzata in generale e nel contesto dei social media, in particolare.

Esecuzione di un contratto

Le Linee Guida escludono la necessità del trattamento per l’esecuzione di un contratto come base giuridica per gli annunci personalizzati.

Tale esclusione è ritenuta da Facebook in contrasto con il GDPR, anche alla luce della giurisprudenza della Corte di giustizia UE, e delle linee guida emesse lo scorso anno dall’EDPB “Linee Guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”, che chiariscono che per determinare se la necessità per l’esecuzione di un contratto costituisca una base giuridica adeguata occorre una valutazione caso per caso basata sui fatti.

La stessa EDPB nelle Linee Guida 2/2019 sottolinea che è opportuna una “valutazione combinata, basata sui fatti, del trattamento” per valutare se la necessità per finalità contrattuali sia una base giuridica appropriata[2].

Pur riconoscendo che le Linee Guida dell’EDPB 2/2019 affermano che la base giuridica della necessità per l’esecuzione di un contratto potrebbe non essere una base giuridica adeguata per la pubblicità comportamentale online – una pratica, come indicato nelle Linee Guida, che prevede il tracciamento e la profilazione degli utenti tra siti web e app di proprietà di aziende terze, Facebook sostiene che tali linee guida lasciano opportunamente aperta la possibilità che questa base giuridica possa essere adeguata per la pubblicità personalizzata che comporta il trattamento di tipologie di dati personali meno sensibili (ad esempio, dati demografici di base quali età, sesso e lingua, nonché interessi forniti dagli utenti) per la pubblicità.

Facebook richiede, quindi, che la versione finale delle Linee Guida riconosca che la necessità per l’esecuzione di un contratto possa essere appropriata quando i dati in questione non sono sensibili e l’utente ha un rapporto di prima parte con il fornitore di servizi.

A supporto di questa tesi, Facebook rileva anche come il diritto alla libertà di impresa sancito dall’art 16 della Carta Dei Diritti Fondamentali dell’Unione Europea includa il diritto di scegliere liberamente le parti di un contratto e di liberamente impostare le condizioni del prodotto in offerta – e quindi anche il necessario trattamento dei dati.

L’interferenza delle linee guida con questo diritto fondamentale sembra andare oltre quanto necessario, ai sensi del considerando 4 del GDPR e l’articolo 52(1) della Carta, a proteggere adeguatamente i dati degli utenti, preservando al contempo gli interessi dei fornitori di servizi e degli inserzionisti nel rendere disponibili online annunci personalizzati in modo efficiente.

Interesse legittimo

Sebbene le Linee Guida non escludano categoricamente l’interesse legittimo come base giuridica, Facebook teme che l’analisi fatta pregiudichi essenzialmente il test di bilanciamento dell’interesse legittimo. Come nel caso della necessità contrattuale, la valutazione dell’opportunità di invocare l’interesse legittimo richiede un’analisi circostanziata caso per caso.

Mostra, infine, preoccupazione per l’incerto riferimento delle Linee Guida ad un “diritto di opposizione al trattamento preventivo”, in quanto tale terminologia potrebbe essere interpretata nel senso che tale diritto dovrebbe essere garantito prima di qualsiasi trattamento, qualora il titolare del trattamento faccia affidamento sull’interesse legittimo.

Interpretare il diritto in questo modo lo renderebbe in gran parte indistinguibile dal consenso. In altri termini, esigere che il diritto di opposizione sia offerto prima del trattamento elimina quasi del tutto l’interesse legittimo come base giuridica, sottintendendo un consenso, ed eliminando la possibilità per il titolare del trattamento di bilanciare un’opposizione con il suo legittimo interesse a effettuare il trattamento, come previsto dall’articolo 21(1) del GDPR. Facebook chiede, quindi, che l’EDPB chiarisca maggiormente questo aspetto.

Contitolarità

A detta di Facebook le Linee Guida prevedono una visione troppo ampia della contitolarità. Infatti, sembrerebbero suggerire che le piattaforme pubblicitarie e gli inserzionisti siano congiuntamente responsabili di praticamente tutti i trattamenti effettuati nel processo finalizzato a far visualizzare un annuncio a un particolare gruppo di utenti.

Ciò potrebbe significare, ad esempio, che le piattaforme e gli inserzionisti potrebbero essere contitolari per diverse attività di elaborazione, come la selezione dei parametri di audience per un annuncio, la condivisione dei dati sugli utenti che l’inserzionista vorrebbe raggiungere, la pubblicazione dell’annuncio e il reporting dei risultati aggregati sulle prestazioni dell’annuncio.

Le Linee Guida sembrano estendere il concetto di contitolarità anche alle attività in cui l’inserzionista (o la piattaforma) chiaramente non sono coinvolti e chiede, anche su questo punto fondamentale, ulteriori chiarimenti.

NOTE

  1. Cita la Decisione della CNIL 2020-091, 17 September 2020, Guidelines on cookies and other trackers, che prevede un periodo di 6 mesi per l’implementazione delle linee guida.
  2. Linee guida EDPB 2/2019, 8 ottobre 2019, par. 25.
WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5