Il 20 giugno 2019 il garante privacy del Regno Unito (Information Commissioner’s Office – “ICO”, l’equivalente del nostro Garante) ha pubblicato un rapporto avente ad oggetto il settore adtech, che riguarda l’uso delle tecnologie per la presentazione di pubblicità al consumatore. Con il rapporto (che è frutto di un periodo di studio da parte dell’ICO dell’ecosistema e delle organizzazioni in esso attive) l’ICO compie un primo bilancio di come vengano utilizzati i dati personali ai fini pubblicitari e di quali siano le maggiori criticità, da un punto di vista di protezione dei dati personali, che interessano il settore. 1. Real-Time Bidding: cos’è e come funziona Alla base della pubblicità online, vi è il Real-Time Bidding (RTB): con RTB si indica un insieme di tecnologie utilizzate nel programmatic advertising al fine di commercializzare spazi pubblicitari online in tempo reale. Tutto ciò avviene mediante un sistema di aste online che mira, in pochi millisecondi, a mostrare all’utente che visita una pagina internet la pubblicità più “adatta” in base al target di appartenenza dell’utente secondo un processo che può essere scomposto nelle seguenti fasi: · Quando un utente naviga su Internet, i dati sul suo comportamento online vengono raccolti tramite cookies sul suo browser (e altre tecnologie similari) e utilizzati per la creazione di un “profilo”; · Quando un utente visita una pagina web contenente degli spazi pubblicitari, le informazioni sul comportamento di navigazione dell’utente vengono incorporate in una “bid request”, che viene trasmessa ai vari inserzionisti; · In base alle informazioni contenute nella bid request, gli inserzionisti possono fare un’offerta per far comparire il proprio annuncio nella pagina che l’utente sta per visualizzare; · Negli spazi pubblicitari verrà visualizzata la pubblicità dell’inserzionista che ha fatto l’offerta più alta. Tutto il processo descritto avviene, come detto, in pochi millisecondi – ossia, nel tempo di caricamento della pagina web che l’utente sta visitando, e si basa sul coinvolgimento di numerosi attori e organizzazioni. Fra gli inserzionisti e gli editori (ossia i soggetti che gestiscono i siti web che ospitano gli spazi pubblicitari), possono inserirsi un numero più o meno definito di altri soggetti, quali: gli ad exchange, marketplace dove vengono effettuate le aste online e che operano sia dal lato della domanda che dal lato dell’offerta; i data management platform (DMP), che analizzano e mettono assieme le informazioni raccolte da una pluralità di fonti; i demand side platform (DSP), che acquistano gli spazi pubblicitari sui siti degli editori quando le impression corrispondono al target dell’inserzionista, etc. 2. I risultati dell’indagine svolta dall’ICO Come chiarito più volte dalle autorità europee, in principio le informazioni ricomprese nella bid request devono considerarsi dati personali. Da ciò, le indagini sulla industry da parte dell’ICO circa il rispetto da parte dei diversi player di mercato nella normativa in materia di protezione dei dati personali. Il report evidenzia una serie di problematiche che interessano il settore nel suo complesso e solleva una serie di perplessità circa l’effettiva comprensione degli obblighi data protection da parte dei diversi partecipanti all’ecosistema adtech. Nello specifico, l’ICO ha evidenziato le seguenti criticità: · Base legale: in numerosi casi, l’ICO ha riscontrato confusione circa quale sia la base giuridica su cui fare affidamento per l’utilizzo dei cookies. Infatti, in diversi casi i titolari fanno ricorso al legittimo interesse, laddove invece la normativa e-privacy (dettata dalla Direttiva 2002/58/CE) richiede obbligatoriamente il consenso per l’utilizzo dei cookie di profilazione (o altri marcatori simili). Peraltro, i titolari che menzionavano il legittimo interesse non erano in grado di dimostrare di aver condotto il bilanciamento di interessi richiesto per ricorrere a questa base legale; · Dati sensibili: dalle indagini svolte dall’ICO è emerso che alcuni dei protocolli utilizzati dall’ecosistema adtech per la raccolta e la trasmissione delle informazioni sulla navigazione degli utenti prevedono la raccolta e il trattamento di categorie particolari di dati personali (come dati sulla salute, sulla vita sessuale, sull’orientamento politico, religioso, filosofico). In ragione della particolare delicatezza di questi tipi di dati e del particolare regime a cui sono soggetti, il legislatore ha richiesto delle cautele aggiuntive. Nello specifico, nel contesto adtech questi dati potrebbero essere trattati soltanto col consenso esplicito, sebbene in realtà l’ICO abbia riscontrato che raramente il consenso raccolto dai player di settore rispetti questi requisiti; · Privacy policy poco chiare: le informative privacy sono spesso poco trasparenti ed eccessivamente complesse; · In aggiunta, l’ICO ha riscontrato nella generalità delle organizzazioni attive nel settore una scarsa consapevolezza circa gli obblighi da osservare in tema di protezione dei dati personali, come i casi in cui effettuare una DPIA, il rispetto del principio di minimizzazione e l’adozione di misure di sicurezza adeguate al rischio. 3. Nuovi sviluppi Pubblicato il report, l’ICO ha avviato un periodo di confronto con gli stakeholder principali, in particolare con l’Internet Advertising Bureau (IAB) e Google, e si è riservata di effettuare una nuova verifica sei mesi dopo. Lo scorso 17 gennaio, con un comunicato pubblicato sul suo sito, l’ICO ha annunciato di aver concluso le indagini. Da un lato l’ICO ha dato atto della collaborazione avviata con IAB e Google; dall’altro, ha rilevato come siano ancora numerose le società attive nel settore che risultano essere largamente inadempienti alla normativa applicabile e ha annunciato l’adozione di sanzioni per coloro che non adotteranno le misure necessarie. In Italia, non si riscontra la medesima attività da parte del Garante per la protezione dei dati personali nel settore adtech. Non è escluso, tuttavia, che eventuali azioni dell’ICO possano avere qualche riscontro o conseguenze anche su soggetti operanti in altri Stati. Questo sia a causa della complessità e transnazionalità delle operazioni che si svolgono in questo settore, sia grazie agli strumenti a disposizione delle autorità nei vari Stati Membri finalizzati a mantenere una coerenza all’interno dell’Unione Europea quanto ad eventuali azioni di enforcement del Regolamento Generale sulla Protezione dei Dati Personali (GDPR). A cura di Avv. Laura Liguori, avv. Eleonora Curreli – Studio Legale Portolano Cavallo
© RIPRODUZIONE RISERVATA