ADEMPIMENTI PRIVACY

Privacy nel settore marketing, come fare la DPIA: la guida dello IAB

Passo per passo, ecco come fare la DPIA nel settore marketing: lo IAB, associazione internazionale dei professionisti in ambito marketing digitale, ha predisposto un documento in cui spiega come svolgere la valutazione d’impatto, fase spesso difficile a causa della normativa che può risultare confusa

09 Dic 2020
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Una roadmap per creare la propria DPIA passo per passo, dalla costituzione di un team dedicato fino al doveroso aggiornamento nel corso del tempo: l’obiettivo del vademecum firmato IAB (Interactive Advertising Bureau, associazione internazionale dei professionisti del marketing digitale) è contribuire a far chiarezza su come svolgere la valutazione d’impatto nel settore marketing.

La guida è rivolta a tutti i titolari che utilizzano i dati a fini di pubblicità digitale. I titolari che hanno già svolto le proprie DPIA su tali trattamenti dovrebbero riprendere le valutazioni svolte e confrontarle con le indicazioni IAB: è probabile che spunti inediti, rischi non calcolati e scenari imprevisti possano emergere.

Così come chi non ha mai svolto una DPIA o non abbia formalizzato un processo può utilizzare il documento IAB come guida per uno sviluppo interno conforme al GPDR e alla realtà dei trattamenti. Vediamo passo per passo come.

Le difficoltà operative della DPIA

Tutti sappiamo quanto possa essere complesso e impegnativo svolgere delle valutazioni di impatto privacy, come quelle richieste dall’art. 35 GDPR e abbreviate comunemente come “DPIA”.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Da anni, oltretutto, si aspettano indicazioni settoriali e specifiche su determinati ambiti di trattamento, come auspicato pure per codici di condotta, certificazioni.

Il tutto per rendere più concreto il principio dell’accountability, da calare sempre in contesti specifici – il che in assenza di linee guida e indirizzi di terzi autorevoli comporta una serie di rischi non sempre facili da valutare e poi assumere, da parte dei titolari.

Rammentiamo che la DPIA dovrebbe far parte di un processo specifico aziendale, rispettoso di una metodologia e di parametri prescelti dal titolare – di concerto con il DPO – per il rispetto dei principi del GDPR circa trattamenti vecchi e nuovi.

Lo IAB europeo che ha sfornato a novembre una guida per una valutazione di impatto, tarata sul proprio settore di riferimento, denominata DPIA for digital advertising under GDPR. Questa guida si lega strettamente al privacy framework disegnato tempo fa della stessa IAB, utilizzandone la stessa tassonomia – un’iniziativa interessante che però ha manifestato una serie di criticità peraltro già rilevate sia dal Garante belga che dall’ICO inglese, con un riflesso in particolare sulla gestione dei cookies, affrontato in altro contributo.

L’obiettivo della guida di IAB

Tornando alla guida DPIA in parola, possiamo anzitutto precisare che l’obiettivo è quello di fornire una roadmap, una direttiva per creare il proprio modello di valutazione di impatto.

Ineludibili restano le linee guida del Working Party 29 che aveva disciplinato ad alto livello la struttura delle valutazioni di impatto, rimandando a diversi modelli la “messa a terra”, come ad es. quello applicabile alle Smart Grid redatto dalla Commissione Europea.

Meritevole di menzione è anche la metodologia della ISO/IEC 29134:2018, seppur piuttosto complessa per realtà ridotte.

Il documento dello IAB non va certo a sostituirsi a tali importanti indicazioni, come le casistiche indicate sia dal WP29 che dalle varie autorità di controllo dei singoli Paesi per determinare quando sia obbligatorio intraprendere una valutazione di impatto.

Tant’è che nel documento IAB viene suggerito, nell’ambito dei trattamenti di digital advertising, di praticare una valutazione di impatto sempre e comunque – in forza delle notevoli e non sempre del tutto prevedibili implicazioni che tali trattamenti hanno sui diritti e le libertà degli interessati, immerse in un contesto mutevole come quello digitale.

La guida proposta fornisce diversi spunti e suggerimenti utili per fare le proprie considerazioni, quale punto di partenza utile per essere calibrato e tarato sulla singola realtà. Un atteggiamento dunque prudenziale e cautelativo, che non pretende di essere modello unico valido per tutti.

I destinatari di questo documento sono certamente i professionisti del digital advertising così come gli inserzionisti, le agenzie pubblicitarie, gli editori, eccetera. Più in generale possiamo considerare che tutti i titolari che svolgano attività di promozione digitale, a prescindere dal “cosa” venga promozionato, potranno tenere debitamente conto delle indicazioni fornite dallo IAB.

Una prima importante notazione riguarda il legame con la valutazione del legittimo interesse, che stranamente il documento sembra porre a posteriori rispetto a una valutazione di impatto. In realtà è corretto il contrario: anzitutto si dovrebbe valutare la fattibilità del trattamento con tale base giuridica, svolgendo un’apposita LIA (valutazione del legittimo interesse tramite test di bilanciamento).

Se il bilanciamento di interessi sia positivo e consenta di farlo allora si potrà intraprendere una valutazione di impatto per capire se – oltre a bilanciamento di interessi – sia possibile arrivare un livello di rischio accettabile.

Ricordiamo en passant che la valutazione dei rischi non va confusa con la valutazione di impatto, visto che l’analisi dei rischi è soltanto una parte della DPIA e in tale contesto deve essere incentrata sul punto di vista degli interessati dello specifico trattamento. Né va confusa con la predetta LIA, composta di un bilanciamento di interessi tra interessato, titolare ed eventuali terzi coinvolti, comprensiva sì di una valutazione dei rischi ma in forma ridotta.

Punti di attenzione: le fasi della DPIA

Tralasciamo le indicazioni che il documento fornisce quando si sovrappongono a quelle già indicate dalla normativa, oppure dalle linee guida del WP29.

Ci concentriamo qui solo sui punti che rappresentano importanti e utili specifiche del settore digital marketing, i quali pur incasellati in uno schema rispettoso del classico ciclo di Deming “Plan-Do-Check-Act”, sottolinea comunque frangenti spesso sottovalutati nella prassi.

Tra i rilievi decisivi, l’attività di valutazione di impatto deve essere svolta da un team DPIA interdisciplinare, comprendente i responsabili della produzione, componenti della security, UX designer (la DPIA è un processo che si lega fortemente a quello di legal design), professionisti della privacy, e anche il DPO nella sua importante funzione di consulente.

Ricordiamo che il DPO non è il soggetto che deve svolgere la DPIA, bensì colui che deve fornire un proprio parere. L’ownership della DPIA deve essere attribuita a un diverso soggetto, mentre lo IAB sottolinea come il DPO debba essere coinvolto fin dall’inizio e soprattutto valutare il documento finale, sottoscrivendolo con le proprie eventuali obiezioni e valutazioni circa i rischi residui – firmato assieme ai soggetti che avranno la ownership del processo con relativa responsabilità, come il senior management.

Altro punto di interesse specifico è quello di confronto con gli stakeholder, come gli interessati: nel settore è rilevante sentire la loro opinione, confrontarsi in particolare con i loro rappresentanti (ad es. associazioni di consumatori), utilizzando anche ricerche e bibliografia di studi di settore per sostenere i propri ragionamenti.

La differenziazione della procedura in fasi viene graficamente rappresentata e suddivisa dallo IAB come segue:

1.costituire il team per la valutazione di impatto
2. stabilire gli obiettivi del trattamento
3. stabilire il contesto del trattamento (in riferimento al già citato Privacy Framework dello stesso IAB)
4. assicurarsi che tutti i componenti del team abbiano una completa comprensione sia degli obiettivi che del contesto del trattamento
5. applicare tecniche di minimizzazione dei dati e di privacy by design
6. valutare i rischi per i diritti e le libertà degli interessati
7. applicare le misure di mitigazione ai rischi individuati
8. reiterare l’intero ciclo fino a che non si sia arrivati a valutazione completa e aggiornata
9. identificare i rischi residui – a fronte delle misure adottate – nonchè l’applicazione dei principi privacy di proporzionalità e correttezza
10. mantenere aggiornata la valutazione di impatto nel tempo.

Il documento propone un grafico con il workflow dell’intero processo.

Al testo della guida seguono tre appendici, di grande valore nel contestualizzare la DPIA al settore del marketing digitale.

Le appendici: la valutazione del rischio

Segnaliamo che quanto alla valutazione di rischi, viene proposta una metodologia tratta da linee guida australiane, certamente corrette però piuttosto generiche circa quanto riportato dallo IAB.

In particolare pensiamo alle tabelle dove sono indicati i vari gradi circa le conseguenze e la probabilità dei rischi, ben poco definite.

Sicuramente sul tema è preferibile adottare indicazioni più pertinenti ed esaustive, come ad es. quelle delle linee guida ISO 31000 e 29134, dell’ENISA o dell’AEPD spagnola, tra le più utili.

Ci limitiamo qui a riproporre lo schema generale del documento, scevro di novità rispetto agli standard menzionati.

Le appendici: i dati trattati nel marketing digitale e le misure di mitigazione

Il vero valore aggiunto di questo documento si rivela nella parte dedicata a un’esemplificazione dei dati coinvolti, dei rischi specifici e delle possibili misure mitigazione nel settore digital marketing. Senza nessuna pretesa di esaustività, l’elencazione tabellare dello IAB palesa una conoscenza del settore che potrà aiutare molti a identificare con maggior precisione dati e relativi trattamenti, spesso non evidenti nemmeno a chi li pratica.

Infatti tra le varie tipologie di dati figurano importanti distinzioni sui dati pseudonimizzati, sull’identificazione probabilistica dei dispositivi di un utente, sulla segmentazione di cluster per interessi, sulla geolocalizzazione più o meno precisa, ecc.

Qui ci limitiamo a segnalare, per menzionare una categoria tra tante, che gli identificativi vengono analizzati onde utilizzarli nella maniera il più possibile pseudonimizzata, proponendo come misure di mitigazione adottabili dei salted hash e consigliando di non utilizzare allo scopo algoritmi ritenuti oggi non più sicuri, come MD5 o SHA1.

Circa i dati particolari, viene giustamente segnalato che sebbene il titolare possa raccogliere i dati di per sé non particolari oppure senza avere alcuna intenzione di trattare dati particolari per scopi di marketing, è sempre possibile che la combinazione o il contenuto implicito di determinati dati (ad es. lo storico del browsing, la segmentazione degli interessi, la geolocalizzazione, ecc.) possano costituire dati particolari.

Rivelando determinati comportamenti e inclinazioni dell’interessato, i relativi rischi dovranno essere debitamente contemperati nell’analisi di impatto.

Le appendici: i rischi per gli interessati nel settore digital advertising

Anche l’appendice C, dedicata ai rischi tipici del settore, pur non essendo esaustiva, fornisce diversi spunti efficaci.

Si segnalano rischi particolari come quello dell’inibizione della propria libera espressione (se gli interessati si sentono monitorati), oppure il fatto di non poter rispettare i diritti degli interessati (invitando a un discutibile e ambiguo “bilanciamento” di quella che lo IAB pare segnalare come realtà frequente, ovvero il non riuscire a conciliare trattamenti e le imposizioni di legge circa i diritti: se non si è in grado di rispettare la normativa non ci dovrebbe essere alcun bilanciamento bensì l’astensione dal trattamento).

Molto importante è anche la considerazione sulla possibile e indebita influenza su una popolazione vulnerabile, in particolare nell’ambito politico.

I riferimenti ai casi di sfruttamento dei dati tratti dai social media da parte di Cambridge Analytica e nella vicenda Brexit sono un evidente causa di tali riflessioni, più che mai pregnanti in assenza di normative intervenute a temperare rischi così attuali e dirompenti.

Conclusioni

La DPIA è un frangente della compliance privacy spesso negletto, anche a causa di certa vaghezza normativa e difficoltà nel suo articolarsi tra tanti fattori e variabili, al momento non sono stati ancora segnalati provvedimenti sanzionatori incentrati sul tema, che prima o poi arriveranno.

Il documento IAB costituisce una buona occasione per provvedere e magari ripensare quanto già fatto e rendere l’accountability non solo un’astrazione normativa.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 2