Targeting nei social media e data protection: chiarimenti dell’EDPB
L’EDPB ha pubblicato le linee guida in materia di targeting nei social media, per definire i ruoli di utente, gestore e targeter: un documento utile per evitare dubbi relativamente agli aspetti legati alla data protection.
Arrivano le linee guida dell’EDPB a fare chiarezza
Le linee guida dell’EDPB appena uscite in consultazione in tema di targeting nei social media attraverso una serie di “scenari” consentono di chiarire ruoli e responsabilità dei soggetti coinvolti nell’attività di targeting. Questi sono l’utente, il gestore del social media e il cosiddetto “targeter”, ovvero il soggetto interessato a far arrivare un messaggio “targettizzato” sull’utente (quindi un messaggio promozionale, ma anche politico o di diverso tipo).
La consultazione pubblica si concluderà il prossimo 19 ottobre e durante la quale chiunque potrà sottoporre i propri commenti e osservazioni tramite il form sul sito del Comitato prima della definitiva approvazione.
Cos’è il targeting nei social media?
La diffusione dei social network ha portato con sé possibilità di targeting degli utenti senza precedenti. La creazione di “account” o “profili” porta con sé numerose informazioni sulle nostre abitudini, preferenze e desideri, che volontariamente “consegniamo” ai gestori dei social network e che questi possono usare per ritagliare la comunicazione che ci viene rivolta. Questa evoluzione ha numerose sfaccettature, che vanno dalla efficiente personalizzazione degli annunci pubblicitari alla polarizzazione delle nostre fonti di informazione a seconda dei nostri gusti, impedendoci così di vedere il quadro generale se scegliamo di informarci sui social.
La nostra consapevolezza di questi meccanismi, che diventano sempre più sofisticati con il passare del tempo, è spesso inferiore al dovuto, complice la scarsa trasparenza dei gestori di social network sulle potenzialità dei loro algoritmi di targeting. E sono proprio questi meccanismi che costituiscono il fulcro dell’attività di targeting, che consiste nel fornire servizi che “consentono a persone fisiche o giuridiche (detti “targeters”) di comunicare messaggi specifici agli utenti dei social media al fine di promuovere interessi commerciali, politici o di altro tipo.”
TikTok respinge l’offerta di Microsoft: si va verso accordo con Oracle
I dati utili al targeting nei social media
I dati che rendono possibile questa comunicazione personalizzata sono di tre tipi:
- forniti dall’utente,
- “osservati”, ovvero quelli che il social network acquisisce (il comportamento dell’utente sul social o al di fuori, acquisito ad esempio su altri siti web tramite social plugin),
- derivati, ovvero quei dati creati dal social network (ovvero da un terzo che si occupi ad esempio di data brokering) con i dati forniti ed osservati.
Per rendersi conto di quanto sa di noi un social network si può provare ad andare su Facebook da PC, cliccare sul triangolo in alto a destra, quindi su “Impostazioni e privacy”, su “Impostazioni” e “Inserzioni”. A questo punto si apre una pagina che contiene le informazioni a cui hanno accesso gli inserzionisti e che gli consentono di scegliere se includerci o meno nella loro comunicazione.
Ad esempio un inserzionista può scegliere di far vedere i propri annunci solo ai soggetti i cui amici compiono gli anni a breve e Facebook consente anche questo, condividendo con gli inserzionisti l’informazione se fra i nostri contatti ci sono persone che compiono gli anni fra 0-7 giorni o fra 8-30 giorni (precisando poi se gli amici che stanno per compiere gli anni sono uomini o donne) e consentendo così di promuovere un’idea regalo solo alle persone che verosimilmente si troveranno a doverci pensare a breve (e che si trovano in una determinata zona, fascia di età, con un determinato tipo di interessi e con un determinato potere di acquisto).
Facebook targeting
Facebook poi raccoglie una grande mole di nostri “interessi” suddivisi per settore, sulla base della nostra attività sui social e quindi ad esempio un “like”, ma non solo, anche non meglio precisate “attività correlate” possono spingere il social ad arricchire il nostro profilo con un nuovo interesse. Facile rendersi conto di quanto possa risultare invasiva questa attività di targeting, arrivando a coprire “interessi” che disvelano l’intimità di molti utenti e i loro dati più sensibili.
Per inciso, i singoli “interessi” archiviati da Facebook si possono rimuovere con un clic da questa pagina, se per caso qualcuno avesse l’intenzione di raffinare manualmente la propria attività di targeting da parte di Facebook. Gli altri social funzionano in modo analogo, negli effetti, in quanto affinché un social network possa sopportare i propri costi di gestione è necessario che monetizzi i dati che ottiene dai propri utenti, fornendo agli inserzionisti un profilo il più possibile completo degli stessi per spingerlo ad investire in annunci.
Le ultime novità dal mondo dei social: Facebook, TikTok, Twitter
I rischi privacy del targeting nei social media
Le linee guida dell’EDPB evidenziano che uno dei principali rischi connessi con le attività di targeting è connesso con il fatto che le stesse solitamente eccedono le ragionevoli aspettative dell’utente dei social. Questo è problematico specie quando, all’insaputa dell’utente, il social network estende la propria attività di targeting andando ad includere dati di altre fonti al fine di creare un quadro il più possibile completo dell’utente. Un secondo grave problema è quello connesso con il fatto che un’attività di targeting così avanzata possa rivelarsi discriminatoria, andando ad escludere da determinati messaggi o opportunità determinate categorie di soggetti, accomunate da interessi che riflettono un credo religioso o l’appartenenza ad una etnia.
C’è anche il rischio che queste tecniche di targeting siano utilizzate per manipolare le persone, in quanto lo scopo di queste inserzioni personalizzate è senz’altro quello di influenzare i nostri comportamenti, che siano le nostre preferenze di acquisto, le nostre scelte politiche o altro. Questo processo, specie se inconsapevole, può comportare gravi conseguenze, arrivando a comprimere, di fatto, la nostra libertà di scelta. Tutti i problemi appena esposti aumentano di intensità quando il destinatario del messaggio personalizzato è un soggetto vulnerabile (come un bambino o un ragazzo).
Le tipologie di dati e il ruolo dei soggetti coinvolti
Dal punto di vista della normativa in tema di protezione dei dati è importante definire i ruoli che ricoprono il gestore del social network e l’inserzionista (targeter). Il documento dell’EDPB valuta i rischi e le caratteristiche del trattamento a seconda della tipologia di dati di cui si tratta. In particolare potrebbe trattarsi di dati forniti dall’utente al social network e poi “venduti” all’inserzionista ovvero di dati forniti dall’utente direttamente all’inserzionista e poi utilizzati nella campagna di targeting. In entrambi i casi il gestore del social network e l’inserzionista sono contitolari del trattamento.
Dati appartenenti a categorie particolari
Il Comitato nelle proprie linee guida affronta anche lo spinoso problema dei dati appartenenti a categorie particolari. I social network possono infatti venire a conoscenza, direttamente o indirettamente, di una serie di dati che appartengono alla categoria dei dati particolari, ovvero quei dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale di una persona, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Questi dati possono essere trattati solamente in limitate ipotesi. Di fatto, nel caso del trattamento dati effettuato all’interno dei social network, è difficile immaginare che tale tipologia di dati possa essere trattata se non con il consenso dell’interessato.
Sebbene infatti la normativa GDPR preveda la possibilità di trattare dati appartenenti a categorie particolari senza consenso ove questi siano resi “manifestamente pubblici”, le linee guida precisano che la semplice pubblicazione su un social network di un simile dato non vuol dire necessariamente che il dato sia stato reso “manifestamente pubblico” e che al più sarà possibile effettuare una valutazione caso per caso (a seconda dell’attività di condivisione e della tipologia di social network interessato) per verificare se il dato possa considerarsi “manifestamente pubblico” o meno. Le linee guida distinguono fra i dati “esplicitamente” appartenenti a categorie particolari e quelli che potrebbero rivelare dati appartenenti a categorie particolari se combinati o attraverso un processo inferenziale.
Targeting nei social media: i dati esplicitamente appartenenti a categorie particolari
Mentre per i dati “esplicitamente” appartenenti a categorie particolari è necessario, secondo le linee guida, ottenere il consenso dell’interessato per poter effettuare il trattamento (nelle Linee Guida viene fatto l’esempio di una persona che palesa la sua militanza in un partito nel proprio account, e di un inserzionista intenzionato a proporre un messaggio promozionale ai militanti di tale partito, in tal caso stiamo parlando di un trattamento di dati appartenenti a categorie particolari e non potrà avvenire senza il consenso dell’interessato), per i dati non esplicitamente appartenenti a categorie particolari ma da cui si potrebbero ricavare dati appartenenti a categorie particolari ciò non è sempre vero.
Le linee guida precisano infatti che questa operazione di inferenza deve essere intenzionale, mentre ove questa attività di inferenza non rientri tra gli obiettivi dell’inserzionista, interessato solo alla serie di dati non appartenenti a categorie particolari (serie di dati in cui, solo incidentalmente, potrebbero “nascondersi” dati appartenenti a categorie particolari) il trattamento può essere svolto anche senza rispettare i rigidi requisiti previsti dall’art. 9 GDPR per i dati appartenenti a categorie particolari.
In ogni caso, però, il social network deve adottare tutte le misure di tutela tese a garantire la sicurezza dei dati, tenendo presente le possibili inferenze che potrebbero derivare dalla lettura combinata degli stessi.
In conclusione
Le linee guida quindi, pur avendo mantenuto un atteggiamento rigido per quanto riguarda il trattamento dei dati appartenenti a categorie particolari, hanno inserito uno “spiraglio” per consentire agli inserzionisti ed ai social network di effettuare trattamenti di dati molto estesi e apparentemente innocui senza doversi troppo preoccupare di quali tipologie di dati potrebbero essere ricavate dagli stessi. Lo spiraglio è certo limitato nelle intenzioni ma c’è da augurarsi che non venga esteso nella prassi.
Potrebbe interessarti anche: Quanto conta il valore dei contenuti nella comunicazione
Se ti è piaciuto l’articolo seguici anche su Instagram per ulteriori curiosità sull’argomento.
Per altri approfondimenti sul cinema continua a seguirci su www.virgo29.it/blog