Rischi e incognite di Programmatic advertising e Real-Time Bidding: il Garante inglese e quello francese si pronunciano

 

Informazioni principali di background

Nelle ultime settimane di giugno il tema del Programmatic Advertising ha costituito l’oggetto dell’attenzione di ben due Autorità Garanti per la protezione dei dati personali europee: l’Information Commissioner’s Office (“ICO’s”)[1] del Regno Unito, e la Commission Nationale de l’Informatique et des Libertés (“CNIL”)[2] della Francia. Non solo: il CNIL ha di recente intimato una società che inviava pubblicità mirata facendo uso di tecnologie di Programmatic Advertising a conformarsi entro tre mesi alla legge in materia, pena il pagamento di una sanzione pecuniaria piuttosto ingente. Le criticità del trattamento che sono state rilevate derivano (i) dalla mancanza di trasparenza nell’informativa sul trattamento dei dati fornita da tale società, nonché del testo proposto per la raccolta del consenso degli interessati, (ii) dalla raccolta di un unico consenso per porre in essere più trattamenti, e (iii) dall’illecita comunicazione a terzi di dati personali.

Per Programmatic Advertising si intende una compravendita automatizzata di spazi pubblicitari online tramite piattaforme informatiche. Tale compravendita è basata quasi esclusivamente sull’analisi dei dati personali dei destinatari dei contenuti pubblicitari, in base alla quale avviene l’assegnazione di tali spazi. Tuttavia, non bisogna fare confusione e sovrapporre il Programmatic Advertising al Real Time Bidding (“RTB”), poiché il secondo non è che una specificazione del primo. Il RTB, infatti, altro non è che un’asta in tempo reale, tra un publisher e indefiniti advertiser (quando l’asta è aperta e non privata), che ha ad oggetto spazi pubblicitari online ed è basata sui dati personali dell’utente di Internet. I dati, raccolti dal publisher attraverso un set di tecnologie che operano direttamente sul browser e/o sul device dell’utente, vengono a costituire il contenuto della c.d. bid request, cioè di una vera e propria proposta lanciata dai publisher, o meglio dai loro intermediari, al bacino degli advertiser, anch’essi intermediati. Da ciò deriva che più sono dettagliate le bid request più alta sarà l’offerta dell’advertiser per l’acquisto degli spazi pubblicitari visibili a quello specifico utente, perché più alto potrà essere il tasso di conversione.

Si comprendono dunque le ragioni per cui le due Autorità Garanti abbiano sentito la necessità di pronunciarsi sulle implicazioni di queste procedure, sollevando diverse e profonde criticità del sistema in relazione soprattutto alla normativa del Regolamento Europeo 2016/679 (“GDPR”). Come si vedrà meglio oltre, ma come si può perfettamente intendere dai documenti pubblicati dai Garanti, le criticità principali che presenta il sistema rispetto al dettato normativo sono legate agli obblighi di trasparenza, di liceità del trattamento come inteso dal Regolamento, di minimizzazione dei dati e di privacy by design.

 

 

Questioni principali

Il principio di trasparenza, uno dei principi fondamentali del Regolamento, “impone che le informazioni relative al trattamento dei dati personali siano facilmente accessibili e comprensibili dall’interessato. […] Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento”[3]. Tale principio è il primo ad essere infranto a causa della natura stessa del RTB quale asta aperta ad indefiniti ed indeterminati soggetti. Ed è stato infatti questo il primo aspetto su cui è intervenuto l’ICO inglese, il quale ha sottolineato come, a dispetto delle prassi correnti nell’ecosistema del RTB, la richiesta del consenso degli interessati al trattamento da parte degli operatori non esaurisca il novero dei requisiti da dover rispettare per essere conformi alla normativa. Tra i requisiti richiesti dalle disposizioni dedicate alla disciplina delle informative, l’articolo 13 per i trattamenti dei dati raccolti presso gli interessati e l’articolo 14 quando tali dati siano raccolti presso terzi, vengono annoverate altresì le dovute informazioni sui destinatari di eventuali trasmissioni dei dati, o le categorie cui essi appartengono. Ma nella realtà del Real-Time Bidding, il soggetto tenuto a raccogliere i consensi per questo tipo di trattamento di dati, come evidenziato dall’ICO, “has no means of determining which third parties the data will be shared with. This leads to extensive lists of organisations who the data ‘might’ be shared with, depending on the specifics of the auction process”.

Come accennato in principio del paragrafo, anche e soprattutto le finalità del trattamento devono essere specificate nelle informative rivolte ai soggetti interessati, ma è proprio qui che si scorge una seconda importante criticità del sistema. Come l’ICO ha confermato nel proprio report, una volta che la bid request sia stata formata dal proprietario del sito visitato e poi diffusa all’interno della piattaforma dove avviene l’asta, le sorti dei dati contenuti in quella request spesso esuberano dagli scopi contrattuali del RTB e costituiscono la base sulla quale altre parti possono costruire i profili dei vari utenti tracciati, grazie anche alle ulteriori informazioni pervenute da altre fonti: “The nature of the processing is what leads to the risk of ‘data leakage’, which is where data is either unintentionally shared or used in unintended ways. Multiple parties receive information about a user, but only one will ‘win’ the auction to serve that user an advert. There are no guarantees or technical controls about the processing of personal data by other parties, e.g., retention, security etc. In essence, once data is out of the hands of one party, essentially that party has no way to guarantee that the data will remain subject to appropriate protection and controls”.  Ciò che complica ulteriormente ogni tentativo del RTB di apparire conforme alla legge applicabile è la quantità e la qualità dei dati personali che vengono trattati e condivisi: la IAB (Interactive Advertising Bureau), la più rappresentativa associazione di categoria di operatori di questo mercato, con il suo “GDPR Transparency and Consent Framework”, ha inteso predisporre delle procedure sulla raccolta dei consensi e trattamento dei dati personali in generale, divenute tra le principali e maggiormente adottate per l’accesso da parte delle società di tutto il mondo ai dispositivi di persone fisiche situate nell’UE, permette l’inclusione di ben 595 tipi diversi di dati nella bid request, il 4% dei quali appartenenti a quelle categorie particolari di dati di cui all’articolo 9 del GDPR. Tra le categorie più critiche emerse dalla lettura della Content Taxonomy Mapping della IAB tech lab (un consorzio no-profit che sviluppa e fornisce standard tecnici, software e servizi alle società operative nella realtà globale digital media) figurano “gay life”, “Incest/Abuse support”, “Atheism/Agnosticism”.

Tra le rappresentanze dei diritti dei consumatori che hanno presentato evidenze contro Google, IAB e altre ad tech company, compaiono quella polacca, quella irlandese e quella inglese, le quali hanno dimostrato come questi colossi che agiscono sul territorio europeo utilizzino in modo ampio i dati personali degli utenti del web, i quali vengono trattati su larga scala e in modo continuativo (“this occurs hundred of billions of times a day”). In tali evidenze si lamentano altresì l’assenza di trasparenza sia rispetto alle modalità con cui avviene il RTB e sia rispetto all’identità dei destinatari dei dati; l’impossibilità per i soggetti interessati di esercitare i propri diritti in mancanza di garanzie di accesso e di possibilità di verifica dei dati contenuti nelle bid requests, di rettifica o di cancellazione dei dati medesimi, così come di accesso ai tipi di profilazione effettuata dagli advertisers sulla base di quei dati. A seguito delle azioni intraprese dai gruppi di rappresentanza sopracitati, l’Autorità irlandese (the Data Protection Commission) ha iniziato ufficialmente le proprie ispezioni verso Google Ireland Limited il 22 Maggio 2019.

L’utilizzo dei dati all’interno del RTB, come denunciato nelle evidenze sopra menzionate, contrasta con un altro principio fondamentale del Regolamento Europeo: il principio di minimizzazione dei dati, contenuto nel testo dell’articolo 5 del GDPR, che prescrive che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Dal testo del reclamo delle Autorità di cui sopra emerge come la quantità dei dati personali raccolti nell’ambito del Real-Time Bidding vada oltre rispetto agli stessi fini del medesimo, in quanto tali fini pare siano realizzabili attraverso modalità meno invasive per la privacy dei soggetti. A conferma di quanto esposto, il Dr. Johnny Ryan (Chief Policy and Industry Relations Officer per un Internet Browser particolarmente attento alla privacy, con cui l’ICO ha iniziato la propria collaborazione), ha spiegato nel proprio report che le bid request non devono necessariamente contenere i dati personali degli utenti per permettere a questo tipo di targeted advertising di funzionare, poiché a suo avviso basterebbe che gli stessi target si riferissero al contesto generale cui si fa riferimento piuttosto che alle persone fisiche. Questo, tuttavia, non permetterebbe alle società e ai loro partner di poter procedere con la profilazione degli utenti-potenziali consumatori dei loro servizi/prodotti e, di conseguenza, ha l’effetto di allontanare la maggior parte di queste società dall’idea di un’alternativa alla RTB così com’è strutturata e largamente diffusa oggi. È proprio questa alta diffusione, infatti, che ha portato anche l’Autorità Garante francese a pronunciarsi sul tema, senza tuttavia dare per concluso il proprio studio intorno al Programmatic Advertising, ed anzi rimandando maggiori approfondimenti ai lavori sulle nuove linee guida per l’utilizzo dei cookie che hanno avuto inizio nel mese di luglio, e a quelli che avranno luogo nel secondo semestre dell’anno corrente, relativi alle “Modalità operative per la raccolta dei consensi”.

 

Implicazioni pratiche

In conclusione, alla luce di quanto esposto con riferimento alle criticità privacy del RTB da una parte, ma anche ai numeri relativi alle società che si sono adeguate e continuano ad adeguarvisi, risulta necessario mettere in guardia le società che intendono avvalersi delle tecnologie di programmatic advertising, in quanto allo stato attuale tale pratica può esporre a gravi rischi sanzionatori stante  la vigenza del principio di accountability in capo al titolare del trattamento dei dati: principio che informa di sé l’intero corpo del Regolamento e che individua nel ruolo del Titolare il responsabile della compliance, formale e sostanziale, del trattamento rispetto alla normativa. Non solo, il rispetto del Regolamento nell’elaborazione dei dati personali deve poter essere anche dimostrabile. Nel caso del Real-Time Bidding, date le caratteristiche di cui si è cercato di evidenziare le criticità, uno degli strumenti di compliance di cui è necessario munirsi è il Data Protection Impact Assessment (DPIA) di cui all’articolo 35 GDPR. L’allegato 1 al provvedimento n. 467 del 2018 [doc. 9058979], pubblicato dal Garante per la protezione dei dati personali in Italia, e relativo alle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto, non lascia spazio a dubbi, in quanto la Real-Time Bidding incontra, a titolo esemplificativo, almeno quattro dei requisiti ivi elencati:

  • Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati […] relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
  • Trattamenti su larga scala di dati aventi carattere estremamente personale;
  • Trattamenti effettuati mediante l’uso di tecnologie innovative;
  • Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.

 

 

[1] https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf

[2] https://www.cnil.fr/fr/ciblage-publicitaire-en-ligne-quel-plan-daction-de-la-cnil

[3] Considerando 39 GDPR: “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento”.