Programmatic Advertising & Privacy
Mostrare il contenuto che l’utente vuole vedere, nel momento in cui vuole vederlo: un sogno chiamato Programmatic Advertising, di cui Anes ha già illustrato il meccanismo di funzionamento (leggi qui l’articolo) e divenuto parte fondamentale delle strategie pubblicitarie online di molte imprese.
Si tratta, in estrema sintesi, di un sistema che consente di acquistare e vendere spazi pubblicitari online “targettizzati” attraverso sistemi automatizzati. La particolarità della Programmatic ADV risiede proprio nella circostanza che l’advertiser non acquista semplicemente uno spazio online all’interno del quale inserire la propria pubblicità e i propri contenuti, ma ha anche la possibilità di preselezionare ed isolare il “target” di riferimento, nel senso che, attraverso specifiche piattaforme, acquista dal publisher una impression con precise caratteristiche (es. sesso, età, geolocalizzazione, preferenze).
In altre parole, attraverso la Programmatic ADV, l’advertiser è in grado di assicurarsi che solo l’utente rispondente alle caratteristiche da lui individuate visualizzi la sua pubblicità.
Alla base del sistema, ovviamente, un’intensa e sistematica attività di profilazione da parte dei publisher, i quali dispongono di una enorme quantità di dati degli utenti organizzati in cluster (es. fasce d’età, sesso, tipo di smartphone, geolocalizzazione, tipo di auto posseduta, preferenze, interessi) intercettati ed archiviati in via continuativa durante la navigazione.
Ma poiché, come noto, dati quali indirizzi IP, informazioni derivanti da cookie, web beacon, pixel di tracciamento e dati di geo localizzazione sono considerati dati personali ai sensi del GDPR, appare quanto mai opportuno comprendere se ed in che misura questo meccanismo di digital adv – che sfrutta anche tali tipologie di dati – possa essere implementato in modo da garantire il rispetto della normativa privacy vigente (con particolare riferimento al GDPR).
La principale problematica di cui tenere conto è senz’altro l’acquisizione di un valido consenso alla luce delle nuove regole del GDPR: raccogliere e gestire il consenso degli utenti è infatti fondamentale per il successo di una campagna di Programmatic ADV.
A tal riguardo, il GDPR prevede un meccanismo di “opt-in”. Il titolare deve sempre essere in grado di dimostrare che l’interessato ha prestato il proprio consenso, che è valido se: (i) è stata resa l’informativa sul trattamento dei dati personali; (ii) è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.
Occorre poi accertarsi che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno della modulistica.
Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Infine, il consenso relativo a decisioni basate su trattamenti automatizzati (compresa la profilazione) deve essere “esplicito” vale a dire confermato da una dichiarazione espressa e non desunto da comportamento concludente.
E’ dunque importante, anche al fine di non incorrere nelle significative sanzioni previste dal GDPR, che i vari soggetti coinvolti in una campagna di Programmatic ADV ottengano e “conservino” in maniera adeguata il consenso ricevuto dagli utenti.
Poiché la maggior parte dei dati personali utilizzati per creare i c.d. “clusters” provengono dai cookie, merita particolare attenzione, dal punto di vista privacy, la tematica relativa all’installazione e alla condivisione dei cookie (non tecnici) sui device degli utenti.
Come noto, la Direttiva E-privacy prevede esplicitamente che l’archiviazione di informazioni nel dispositivo usato dall’utente sia consentito unicamente a condizione che quest’ultimo abbia “espresso preliminarmente il proprio consenso”.
Recentemente la Corte di Giustizia ha avuto occasione di chiarire (leggi qui la sentenza commentata), che, alla luce della Direttiva E-Privacy e del GDPR: (i) è necessario che il consenso sia manifestato in maniera attiva; (ii) il consenso sia specifico; (iii) il fornitore di servizi deve comunicare all’utente il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie.
E’ dunque essenziale per quanti vogliano sperimentare una campagna di Programmatic ADV che l’acquisizione del consenso all’installazione di cookie sia correttamente implementata, così da poter sfruttare al meglio (e lecitamente) le potenzialità di questi piccoli file di testo.
Non meno importante, poi, è l’individuazione dei ruoli dei vari soggetti coinvolti nella Programmatic ADV: chi è il titolare del trattamento e chi il responsabile? L’editore, il fornitore di reti pubblicitarie o entrambi?
Non è possibile fornire, a priori, una risposta: la chiara identificazione dei soggetti coinvolti nel trattamento, passa infatti necessariamente per un’analisi delle concrete modalità con cui vengono raccolti e trattati i dati personali.
Infine, è opportuno segnalare che il trattamento di dati personali effettuato mediante il meccanismo della Programmatic ADV, proprio in virtù delle sue caratteristiche, potrebbe rientrare fra le categorie per cui è necessario eseguire un DPIA (vale a dire una valutazione di impatto sulla protezione dei dati personali), implicando attività di profilazione e incrocio dei dati potenzialmente suscettibili di costituire un rischio per le libertà e i diritti degli interessati
Insomma, varie sono le problematiche legate alla privacy che gli operatori del mercato si trovano ad affrontare nella scelta di una strategia di digital advertising e la necessità di garantire la conformità alle regole previste dalla normativa vigente può svolgere un ruolo determinante in questa scelta.
Fabrizia Marra – Ughi e Nunziante Studio Legale
