Opt In e Opt Out nell’online advertising: ecco gli impatti privacy - Cyber Security 360

L'analisi

Opt In e Opt Out nell’online advertising: ecco gli impatti privacy

I sistemi Opt In e Opt Out sono rilevanti nell’ambito dell’online advertising per le conseguenze relative alla data protection: vediamo in che modo funzionano e quali sono i risvolti legati alla protezione dei dati degli utenti interessati

24 Giu 2021
B
Federica Bottini

A&A Studio Legale

C
Simona Custer

Avvocato A&A Studio Legale - Data Protection Specialist

L’online advertising non può trascurare gli aspetti privacy dell’attività: importante quindi che vengano previsti appositi strumenti di data protection, per rendere il trattamento conforme al GDPR. Utile approfondire in questo contesto l’azione dei sistemi Opt In e Opt Out: vediamo come funzionano e quali sono i risvolti per i diritti degli interessati.

In generale il consiglio agli utenti, comunque, è quello di fare attenzione a cosa si clicca, leggendo sempre accuratamente la documentazione (termini e condizioni, oltre che informative privacy sul trattamento dei dati) e accettando i soli servizi realmente di interesse.

Come funziona l’Opt In

L’Opt In è un sistema che consente agli utenti di “accettare” un determinato servizio web, come ad esempio la profilazione, il marketing, la ricezione di newsletter. In questo modo l’utente da un lato “accetta” l’erogazione del servizio web prescelto e dall’altro acconsente affinché i propri dati vengano trattati. Se, però, sotto l’aspetto della protezione dei dati sono rigide le previsioni da attuare e rispettare al fine di garantire un lecito trattamento dei dati, sotto l’aspetto più strettamente contrattuale non può dirsi lo stesso.

Accade, infatti, spesso che gli utenti “accettino” l’erogazione dei servizi web senza prendere visione dei loro termini d’uso che, solo in alcuni casi, sono indicati in modo chiaro e puntuale, ma in tanti altri risultano celati all’interno di documenti corposi e di difficile comprensione per gli utenti, che si trovano quindi a compiere una scelta non del tutto consapevole.

Gli utenti, infatti, potrebbero ritrovarsi ad aver accettato servizi web che analizzino semplicemente e in modo aggregato il loro comportamento, come anche servizi più complessi, che grazie all’intelligenza artificiale consentano di prevedere, a livello statistico, le loro future interazioni (come nel caso dei più evoluti social network). Inoltre, potrebbero aver accettato la condivisione delle informazioni con soggetti terzi, diversi da quelli preposti all’erogazione del servizio.

Screen scraping, la tecnica del “raschiare” dati dai siti web: quanto è lecita e come tutelarsi

Gli accorgimenti privacy

Prima di consentire agli utenti di esprimere il proprio consenso al trattamento dei dati, il Titolare del trattamento – nello specifico la Società che eroga il servizio – ha l’onere di:

  • informarli in modo chiaro, semplice e trasparente circa gli elementi caratterizzanti il trattamento (quali, ad esempio, finalità, modalità, periodo di conservazione, trasferimento dei dati);
  • garantire che il predetto consenso sia, oltre che informato, anche libero, specifico e inequivocabile.

Il Titolare dovrà, quindi, avere cura di implementare sistemi che non prevedano:

  • caselle già spuntate, essendo sempre necessaria l’azione positiva o attiva degli utenti (Opt In);
  • un’unica casella per raccogliere il consenso al trattamento dai dati per il raggiungimento di più finalità (è fondamentale che per ciascuna finalità venga acquisito un distinto e specifico consenso);
  • l’Opt Out.

I sistemi dovranno poi permettere di memorizzare e conservare le manifestazioni di consenso prestate dagli utenti; il tutto nell’ottica del rispetto del principio di accountability. Sebbene, quindi, sia chiaro che il trattamento dei dati per finalità di marketing (tra cui rientra anche l’online advertising) debba fondarsi sull’Opt In, l’Opt Out non è un sistema completamente svanito.

Opt Out e le analogie con il silenzio assenso

L’Opt Out è l’operazione, inversa all’Opt In, attraverso cui un determinato servizio web viene erogato senza che gli utenti “accettino” alcunché. I dati, quindi, degli utenti vengono raccolti e trattati senza che questi forniscano uno specifico consenso, fintanto che non esercitino appunto l’Opt Out, opponendosi al trattamento e al loro utilizzo da parte del servizio web.

Sebbene sotto il profilo della protezione dei dati personali sia preferibile utilizzare sistemi di Opt In, quelli di Opt Out trovano però ancora una loro precisa applicazione sia nelle attività di marketing realizzate mediante l’uso del telefono o tramite posta cartacea, sia nel cd. soft spam purché siano soddisfatti alcuni e specifici criteri:

  •  l’attività di marketing venga effettuata utilizzando gli indirizzi e-mail forniti dagli utenti nel contesto della vendita dei prodotti / servizi;
  • che i servizi promossi siano analoghi a quelli della vendita 
  • che gli utenti non abbiano esercitato l’Opt Out inizialmente o in occasione di successive comunicazioni.

Fermo restando quanto affermato in materia di protezione dei dati personali, il sistema di Opt Out trova altresì un’analogia con l’istituto del “silenzio assenso” per cui si producono effetti giuridici pur in assenza di una specifica manifestazione di volontà. Tuttavia, nel nostro ordinamento tale istituto non è considerato regola idonea ai fini della stipulazione di un contratto.

Il silenzio, diversamente da quanto può dirsi con riferimento al comportamento concludente, non viene infatti considerato una forma attraverso cui la volontà negoziale può validamente manifestarsi, almeno in assenza di ulteriori elementi. Il silenzio non è, quindi, di regola idoneo ad integrare in sé una manifestazione di volontà, ancorché tacita.

Non si può tuttavia trascurare che la giurisprudenza ha individuato delle situazioni in cui anche il silenzio può validamente acquisire un rilievo in termini di consenso. Da un lato, infatti, vi sono circostanze in cui la parte è tenuta a formulare una espressa dichiarazione, in mancanza della quale nulla osta alla produzione di effetti giuridici (tale onere a carico della parte può derivare dalla legge, dagli usi, ma anche da un precedente contratto in essere tra le parti); dall’altro lato, le regole di correttezza e buona fede possono indurre a considerare che nell’ambito dei rapporti esistenti tra le parti il silenzio possa specificamente rilevare quale consenso. Senza trascurare la peculiarità di porre in essere un’attività compliance al GDPR, quanto appena esposto mostra un parallelismo tra la disciplina del trattamento dei dati personali in ambito marketing e la materia contrattuale.

I sistemi di DAA (Digital Advertising Alliance)

Appare evidente che le società di advertising hanno tutto l’interesse di continuare a raccogliere dati e informazioni degli utenti per elaborare statistiche, effettuare campagne pubblicitarie mirate in linea con le preferenze espresse e molto altro, non solo mediante l’utilizzo di sistemi di Opt In, ma anche mediante quelli di Opt Out. Al fine, però, di contenere tale fenomeno e prevenire attività di advertising troppo invasive, molti governi ed enti hanno iniziato ad esercitare pressioni nei confronti delle società di advertising, affinché attuassero maggiori cautele nell’esercizio delle proprie attività e fornissero maggiori garanzie agli utenti.

Così è nata la DAA (Digital Advertising Alliance) un’organizzazione indipendente senza scopo di lucro, guidata dalle principali associazioni commerciali di pubblicità e marketing, declinata poi per il Canada in DAAC e per l’Europa in EDAA. La DAA si è data il compito di stabilire e applicare pratiche privacy in tutto il settore della pubblicità digitale, fornendo agli utenti maggiore trasparenza sul trattamento dei dati personali raccolti e garantendo loro un sistema comune per effettuare un Opt Out.

Uno dei sistemi adottati dalla DAA per consentire quanto sopra è l’AdChoices, che vuole essere un punto di riferimento per tutti gli utenti web, i quali possono esercitare, nei confronti di oltre 100 società tecnologiche di advertising, il loro Opt Out.

In concreto, AdChoices comunica agli algoritmi di queste società di non utilizzare più i dati raccolti in precedenza dagli utenti, per fornire loro annunci pubblicitari mirati e basati sugli interessi espressi. Sul fronte prettamente tecnico queste indicazioni non vengono poi memorizzate su un database centralizzato e condiviso, ma sono unicamente salvate attraverso i cookies installati sui dispositivi degli utenti. È necessario, quindi, aggiungere un ulteriore elemento di tracciamento al browser per indicare di non voler più essere oggetto del precedente tracciamento.

_

Le autrici hanno ricevuto il supporto della web agency Wide S.r.l.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4