Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Remarketing e GDPR: consigli utili per essere in regola con la normativa privacy

Il remarketing è una particolare tecnica pubblicitaria basata su strategie di web marketing da applicare al proprio business aziendale. Ecco i consigli per adottare un’efficace campagna di marketing comportamentale evitando possibili sanzioni GDPR

04 Set 2019
P

Roberto Pagano

Data Protection Impact Assessment Specialist


Non si può parlare di remarketing senza avere ben presenti gli adempimenti in materia di protezione dei dati personali richiesti dal Regolamento UE 679/2016 (cosiddetto GDPR).

Il remarketing, conosciuto anche come retargeting, è una tecnica di web marketing che ha l’obiettivo di “colpire” gli utenti che hanno abbandonato un sito Internet senza acquistare, generalmente, un servizio o prodotto.

Questa tecnica di marketing comportamentale consente di impiegare altri siti Internet, o i social media, per promuovere messaggi pubblicitari rivolti agli stessi utenti che hanno visitato in precedenza un determinato sito web o pagine specifiche.

Remarketing e GDPR: metodi e canali

I canali pubblicitari più utilizzati per le campagne di remarketing sono:

  • la Rete Display di Google costituita da oltre un milione di siti web che mostrano messaggi pubblicitari configurati mediante la piattaforma pubblicitaria Google AdWords;
  • Facebook che permette di veicolari messaggi pubblicitari esclusivamente ad un “segmento di pubblico” corrispondente agli utenti che hanno visitato pagine specifiche di un sito.

Il remarketing è una tecnologia basata sui cookies:

  • il proprietario del sito web configura, mediante la piattaforma pubblicitaria del gestore, il cosiddetto “segmento di pubblico”, ovvero il “contenitore” che contiene tutti gli utenti che hanno visitato determinate pagine a cui verrà iniettato il cookie;
  • Google o Facebook mettono a disposizione dell’inserzionista il cosiddetto “pixel di remarketing” cioè un codice javascript capace di iniettare i cookie utili al tracciamento del comportamento dell’utente.

Generalmente il codice javascript potrebbe assumere, ad esempio, la seguente sintassi:

<noscript><img height=”1″ width=”1″ src=”https://www.facebook.com/tr?id=9999999999&ev=PageView&noscript=1″/></noscript>

Il codice javascript sopra riportato, piazzato all’interno di specifiche pagine del sito web, è capace di:

  • iniettare un cookie all’interno del browser dell’utente;
  • innescare la registrazione all’interno dei database di Facebook/Google delle informazioni dei cookie iniettati; di conseguenza, permette di “intercettare” tutti gli utenti che hanno visitato in precedenza determinate pagine anche su altri siti web o social media visitati dall’utente successivamente.

Configurando una campagna di remarketing è possibile, quindi, iniettando il cookie di remarketing, “intercettare” gli utenti che hanno visitato un sito, proporre loro messaggi pubblicitari in linea con gli argomenti che l’utente ha consultato in precedenza.

Il retargeting è molto efficace perché concentra gli investimenti pubblicitari su utenti che hanno mostrato interesse per prodotti/servizi in precedenza visionati.

Remarketing e GDPR: i passi per la conformità

Le informazioni di identificazione personale (Personally Identifiable Information o PII) sono informazioni che, da sole o combinate con altre informazioni in possesso di una determinata organizzazione, identificano univocamente un utente.

Esempi di informazioni di identificazione personale comprendono il nome, l’indirizzo, l’e-mail e il numero di telefono e sono definite dalla direttiva europea 95/46/CE.

La consultazione degli annunci di remarketing non comporta, in genere, l’identificazione dell’utente; di conseguenza non vengono impiegate PII.

Nel caso in cui il titolare del trattamento, impiegando mezzi propri o di terze parti, intende incrociare il cookie di remarketing con informazioni di identificazione personale deve necessariamente citare i termini del trattamento all’interno dell’informativa, nonché chiedere il consenso prima di eseguire il trattamento per quel determinato utente.

I passi per istituire il trattamento di remarketing, conforme ai requisiti previsti dalle norme vigenti privacy, potrebbero prevedere:

  1. esecuzione di un DPIA;
  2. aggiornamento della privacy policy (informativa);
  3. aggiornamento della cookie policy estesa;
  4. aggiornamento della cookie policy breve (banner cookie);
  5. registrazione del consenso.

Esecuzione di una DPIA

Prima di eseguire il trattamento di remarketing è necessario eseguire i controlli privacy by design e by default previsti dal Regolamento Europeo 679/2016 (GDPR).

Il trattamento di remarketing, per le sue caratteristiche, potrebbe rientrare fra le categorie per cui è necessario eseguire un DPIA; a tal fine si considerano:

  • “allegato 1 al provvedimento n. 467 dell’11 ottobre 2018”, doc. web n. 9058979, Garante Privacy;
  • WP 248 rev. 01, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”.

Per il trattamento di remarketing i fattori che comportano un rischio per le libertà e i diritti degli interessati potrebbero essere costituiti da:

  • profilazione: il cookie traccia il comportamento degli utenti, viene configurato un segmento di pubblico in relazione ad un comportamento svolto dal visitatore;
  • incrocio dei dati: tramite il pixel vengono incrociati le visite dell’utenti con i database a disposizione di Google e Facebook.

Se consideriamo il caso Facebook, grazie al pixel di remarketing è possibile configurare una campagna pubblicitaria rivolta esclusivamente agli utenti che hanno visitato in precedenza una o più pagine di un sito; in questo caso Facebook incrocia i cookies iniettati nei browser degli utenti con il proprio database in modo da mostrare, all’interno dello stream dei post, le inserzioni configurate all’interno della campagna commerciale dall’inserzionista.

L’inserzionista può configurare il periodo di esecuzione della campagna impostando il numero di giorni massimo per cui la piattaforma pubblicitaria dovrà proporre i messaggi pubblicitari agli utenti legati al cookie iniettato.

Per l’esecuzione di una DPIA si rinvia a quanto previsto dal WP 248 rev. 01, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”.

Aggiornamento dell’informativa privacy

Dopo la redazione della DPIA, il titolare del trattamento, se ritiene accettabili i rischi per i diritti e le libertà degli interessati, deve aggiornare l’informativa privacy, aggiornare l’informativa estesa sui cookie, aggiornare l’informativa breve sui cookie, configurare una soluzione per dimostrare il consenso acquisito.

La chiara e corretta descrizione del trattamento è importante per la conformità al GDPR.

All’interno dell’informativa vanno citati tutti gli elementi obbligatori previsti dall’art.13 del GDPR inerenti il trattamento di remarketing compresa la base giuridica: il consenso.

Un modo per richiedere subito il consenso consiste nell’incorporare un link all’informativa “breve”, all’interno del banner dei cookie che si apre non appena un visitatore atterra su un sito web.

All’interno dell’informativa è importante, inoltre, indicare le modalità con cui revocare il consenso al trattamento: questo può essere risolto in modo semplice mediante l’inserimento di un link all’interfaccia di impostazione degli annunci del fornitore, come ad esempio Google Ads Manager.

Aggiornamento della cookie policy estesa

Il titolare del trattamento, ai sensi della normativa privacy vigente, al fine di informare adeguatamente l’utente, deve:

  • indicare, in modo dettagliato la tipologia, il nome e le finalità dei cookie iniettati dal sito;
  • consentire, inoltre, per i cookie installati a seguito della concessione del consenso, la possibilità di revocare il consenso per determinati cookie;
  • essere raggiungibile, sia da un link inserito nell’informativa cookie breve, sia da un link presente in tutte le pagine del sito collocato, possibilmente, in calce;
  • contenere i link alle informative delle terze parti che forniscono i servizi pubblicitari nonché, possibilmente, la denominazione delle terze parti impiegate dal titolare del trattamento per la configurazione delle campagne di remarketing;
  • indicare la possibilità di cancellare i cookies mediante l’impiego delle funzioni specifiche fornite dai browser di navigazione degli utenti. I cookie di profilazione a fini pubblicitari sono iniettati nel browser dell’utente solo a seguito della concessione del consenso.

È buona prassi citare lo strumento configurato da EDAA, European Interactive Digital Advertising Alliance (EDAA) che gestisce il programma europeo di autoregolamentazione per la pubblicità comportamentale online (OBA).

Il sito YourOnLineChoises consente invece all’utente di disabilitare i cookie relativi alla pubblicità comportamentale in modo semplice, accedere ad informazioni su come funziona la pubblicità comportamentale nonché accedere a molte informazioni sui cookie come i passi da seguire per proteggere la privacy su internet.

Aggiornamento della cookie policy breve

Quando un utente atterra su una qualsiasi pagina, il sito deve proporre una informativa cookie “breve” contenuta all’interno di un banner a comparsa.

L’informativa “breve” deve indicare chiaramente:

  1. quando applicabile, l’impiego di cookie di profilazione a fini pubblicitari;
  2. quando applicabile, l’impiego di cookie di “terze parti” costituiti da cookie installati da un sito diverso da quello visitato dall’utente;
  3. il link all’informativa cookie estesa;
  4. il consenso all’iniezione dei cookie mediante uno specifico tasto “Presto il consenso” o proseguendo la navigazione del sito.

Nel caso in cui vengono impiegati cookie di profilazione, come il remarketing, è necessario quindi indicare una breve descrizione all’interno del banner cookie (informativa breve).

Spesso il banner cookie, che contiene l’informativa breve, è “scollegato” dalla iniezione dei cookies nei browser degli utenti: ai sensi delle norme vigenti privacy il cookie non può essere iniettato se non dopo la concessione del consenso.

Per rendere conforme il sito web ai requisiti privacy è necessario modificare sia lo script di esecuzione delle pagine presenti all’interno del server web (lato server) sia gli script che possono generare cookies generati direttamente dal client (lato client).

Registrazione del consenso

Come sopra descritto, all’interno del banner (informativa cookie breve) l’utente ha la possibilità di concedere il consenso per i cookie di profilazione.

Il GDPR definisce il consenso come «Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento»; l’art. 7 del Regolamento 679/2016 e il e il WP 259 indicano le modalità da seguire al fine di ottenere una corretta e valida acquisizione del consenso.

La concessione del consenso, come tutti i consensi concessi, deve essere sempre dimostrato dal titolare.

A questo proposito, il titolare del trattamento, per il consenso acquisito dall’informativa breve dedicato ai cookie, deve configurare delle soluzioni tecnologiche in grado di dimostrare il consenso registrando le seguenti informazioni:

  • indirizzo IP dell’utente che ha eseguito la richiesta;
  • session ID della richiesta;
  • data e ora della richiesta;
  • consenso concesso comprensivo della finalità sottoposta all’attenzione dell’utente e collegata alla versione dell’informativa pubblicata;
  • riferimento per il collegamento alla persona che ha prestato il consenso.

Per l’adozione delle migliori soluzioni per dimostrare il consenso è opportuno considerare il WP “259 rev.01 – Guidelines on Consent under Regulation 2016/679”.

Conclusioni

Le attività pubblicitarie che prevedono l’impiego di tecniche di remarketing sono oggi parecchio diffuse in quanto i benefici, per gli inserzionisti, sono rilevanti.

Per la conformità del trattamento di remarketing al GDPR riepiloghiamo i passi indispensabili:

  1. eseguire i controlli privacy by design/default nonché la DPIA;
  2. aggiornare l’informativa sulla privacy per dichiarare l’utilizzo di servizi pubblicitari di terze parti nonché lo scopo della raccolta delle informazioni;
  3. aggiornare la cookie policy (informativa cookie) con informazioni dettagliate su quali cookie sono utilizzati che riguardano il remarketing;
  4. ottenere un consenso chiaro e attivo prima di iniettare i cookie all’interno dei browser degli utenti;
  5. fornire agli utenti un modo per modificare le impostazioni dei cookie, nonché modificare o eliminare le informazioni personali utilizzate per il remarketing;
  6. tenere traccia dei consensi acquisiti ai fini dell’accountability.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5