Advertising technology: breve introduzione al rapporto tra adtech, privacy e protezione dei dati

Leggi l’approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.


Introduzione

Da grandi tecnologie derivano grandi responsabilità. Le opportunità quasi illimitate delle tecnologie attuali raggruppate sotto l’ombrello di adtech – tra cui la pubblicità comportamentale online ed il programmatic advertising (attraverso le offerte in tempo reale) – pongono sfide di conformità legale alle aziende che cercano di sfruttare le ultime tendenze pubblicitarie.

Quali sono le principali considerazioni di conformità legale per comprendere e mitigare con successo i rischi legali relativi alle tecnologie pubblicitarie e sfruttare appieno il loro potenziale?

Cominciamo con una breve definizione di adtech e dei principali protagonisti. L’adtech nasce dalla necessità delle aziende di individuare gli spazi pubblicitari più rilevanti per la propria clientela e per il mercato. Come definito dall’Information Commissioner’s Office del Regno Unito

(ICO), adtech è il «termine utilizzato per descrivere gli strumenti che analizzano e gestiscono le informazioni (compresi i dati personali) per le campagne pubblicitarie online e automatizzano l’elaborazione delle transazioni pubblicitarie. Tale insieme di strumenti copre il ciclo di vita end-to-end del processo di erogazione della pubblicità, che spesso comporta il coinvolgimento di terzi per uno o più aspetti di questi servizi, anche se alcune pubblicità sono ancora collocate direttamente tra inserzionisti ed editori». [1]

Affinché gli inserzionisti possano comprendere la rilevanza del potenziale acquisto di spazi pubblicitari, devono prima analizzare le informazioni di cui dispongono sui loro clienti e potenziali tali, possibilmente attraverso le Data Management Platforms (DMP), e muoversi partendo dalle conclusioni tratte da tali analisi. Le DMP categorizzano, raggruppano e analizzano, assistendo le aziende nella pubblicità mirata e consentendo loro, sulla base delle informazioni contenute al loro interno, di creare gruppi di clienti e potenziali tali, e di indirizzare le campagne pubblicitarie verso i gruppi dove risulterebbero più efficaci. Le informazioni coinvolte possono includere dati relativi alla localizzazione, alla cronologia degli acquisti, al comportamento di navigazione o altri dati rilevanti.

È qui che entrano in gioco altri due importanti attori: le Demand Side Platform (DSP) e le Supply Side Platforms (SSP). Le prime (DSP) sono utilizzate dagli inserzionisti per stabilire i criteri per lo spazio pubblicitario che vogliono acquistare – e il prezzo che offrono – mentre gli editori utilizzano le seconde (SSP) per annunciare la disponibilità di spazi e fissare i prezzi. Quando i due si incontrano e c’è una corrispondenza, gli spazi pubblicitari vengono automaticamente messi a disposizione e acquistati o venduti.

In breve, l’adtech permette agli inserzionisti di trovare nuovo pubblico ad un ritmo incredibilmente veloce e allo stesso tempo aumentare la “misurabilità” delle campagne pubblicitarie – il tutto riducendo i costi associati. Questo permette agli editori di aumentare i ricavi, raggiungendo un maggior numero di potenziali acquirenti degli spazi pubblicitari che vendono, quindi aumentando il prezzo di tali spazi, generando valore aggiunto.

Offerte in tempo reale e pubblicità comportamentale online

Le Real Time Bidding (RTB), ossia offerte in tempo reale, sono una sorta di programmatic advertising. L’Interactive Advertising Bureau (IAB) definisce il programmatic come «l’acquisto e la vendita automatica di media digitali, compresi metodi basati su aste come RTB e mercati privati, nonché l’automazione della vendita diretta, talvolta chiamata programmatic direct». [2]

Mentre navigate in internet, molto probabilmente avete notato delle pubblicità che sembrano essere specifiche per voi. Questo può essere il risultato di un sistema di offerte in tempo reale, in cui un inserzionista ha acquistato spazi pubblicitari da un editore per raggiungere persone che condividono le vostre caratteristiche – in alcuni casi, per rivolgersi a voi direttamente come utente individuale.

L’Online Behavioural Advertising, ovvero la pubblicità comportamentale online, è la tecnica che consiste nell’utilizzare le informazioni raccolte sul comportamento degli individui online per mostrare loro pubblicità ritenute rilevanti per le loro preferenze e interessi. Tra gli strumenti rilevanti utilizzati per questi scopi vi sono le tecnologie di tracciamento, come i cookie, i web beacon ed i pixel di tracciamento – che consentono alle aziende di ottenere informazioni sulle attività dei singoli utenti, a volte anche a loro insaputa, senza offrire agli utenti la possibilità di limitare o prevenire tale eventualità.

Dove entrano in gioco la privacy e la protezione dei dati?

Il programmatic e la pubblicità comportamentale online sollevano una serie di questioni etiche, e di problemi legali legati alla privacy e alla protezione dei dati personali. In particolare, possiamo pensare a questioni relative al trattamento corretto, legittimo e trasparente dei dati, alla profilazione e al processo decisionale automatizzato, al consenso e alla necessità di una base giuridica, tra le altre cose, che riguardano sia il GDPR, la direttiva ePrivacy che il prossimo regolamento ePrivacy.

Ai sensi dell’articolo 4 (paragrafo 4) del GDPR, per profilazione «si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’uso di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti le prestazioni lavorative, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione od i movimenti di tale persona fisica». Sia la profilazione che il processo decisionale automatizzato (in cui le decisioni vengono prese senza il coinvolgimento dell’uomo, con mezzi automatizzati) sono sempre più utilizzati grazie ai progressi della tecnologia e sono parte integrante dell’adtech. Se da un lato tale trattamento può generare benefici materiali, dall’altro comporta anche rischi significativi per i diritti e le libertà degli individui.

Nel contesto legislativo europeo, le persone interessate hanno il diritto di essere informate sull’esistenza di processi decisionali o di profilazione automatizzati, sulla logica, sulla rilevanza del trattamento e sulle conseguenze prevedibili per loro. [3] Gli interessati hanno inoltre il diritto di chiedere l’intervento umano del titolare del trattamento in merito a qualsiasi decisione completamente automatizzata, esprimere il proprio punto di vista sulle decisioni ed eventualmente contestarle. Tale possibilità presenta una sfida significativa nell’ambiente adtech, dove è difficile sia raccogliere il consenso che rendere gli individui consapevoli dei profili creati su di loro.

Per quanto riguarda il consenso, alla fine del 2018, l’autorità francese per la protezione dei dati personali (CNIL) ha emesso una decisione molto rilevante [4] per la nostra analisi, in cui ha stabilito che “Vectaury”, una start-up che opera come una sorta di fornitore di reti pubblicitarie, non è riuscita a dimostrare di aver ottenuto un valido consenso per la raccolta e l’utilizzo dei dati da essa utilizzati per scopi pubblicitari mirati, e non ha rispettato il principio di trasparenza relativamente  alle finalità del trattamento dei dati. In questo particolare caso, uno dei problemi rilevati è che “Vectaury” si è basata sul consenso raccolto da terzi (come ad esempio gli editori di applicazioni mobili) per accedere ai dati degli utenti di applicazioni mobili e trattarli ulteriormente – e seppure avesse stipulato accordi con gli editori per cercare di garantire la corretta raccolta del consenso., il CNIL ha ritenuto che ciò non fosse sufficiente a dimostrare che “Vectaury” avesse ottenuto un valido consenso.

Il consenso è una delle sei basi legali su cui possono essere trattati i dati personali – articolo 6 del GDPR – e il suo ruolo cruciale è evidenziato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. L’articolo 4(paragrafo 11) del GDPR definisce il consenso come «qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato con la quale quest’ultimo, con dichiarazione o chiara azione positiva, esprime il suo consenso al trattamento dei dati personali che lo riguardano». Le caratteristiche del consenso ai sensi del GDPR non sono considerati un obbligo aggiuntivo, ma piuttosto sono prerequisiti per un trattamento legittimo. Quando il trattamento dei dati personali è effettuato per più scopi, ciascuno di essi dovrebbe essere separato e il consenso dovrebbe essere ottenuto singolarmente per ognuno – a meno che non sia applicabile una diversa base giuridica. Il consenso deve essere specifico, come stabilito dall’articolo 6 (paragrafo 1, lettera a) del GDPR, che conferma che il consenso dell’interessato deve essere dato in relazione a «una o più finalità specifiche». Tuttavia il consenso specifico può essere ottenuto solo quando gli interessati sono specificamente informati sulle finalità previste dei dati utilizzati che li riguardano, cosa che in ambito adtech si rivela piuttosto difficile.

La mancanza di trasparenza è di fatto una delle principali preoccupazioni in questo settore, ma i rimedi per rendere l’adtech conforme al GDPR e all’ePrivacy sono in fase di sviluppo da parte dell’industria. Un esempio di ciò è il Transparency and Consent Framework 2.0 dell’Interactive Advertising Bureau (IAB), destinato «agli editori, ai fornitori di tecnologia, alle agenzie e agli inserzionisti, per comunicare in modo chiaro e coerente con gli utenti finali, su come i loro dati vengono utilizzati, fornendo anche l’opportunità agli utenti di obbiettare». [5] Fino a quando non si troverà una soluzione più efficace, l’integrazione della privacy by design (fin dalla fase di progettazione) nelle tecnologie pubblicitarie può consentire modi più efficaci per ottenere il rispetto dei principi fondamentali di protezione dei dati, come stabilito dall’articolo 5 del GDPR.  La privacy “by design” potrebbe, ad esempio, rivelarsi utile in particolare in relazione al consenso, nonché per quanto riguarda la minimizzazione e la conservazione dei dati – considerando, in particolare, che per quanto possibile, i dati sensibili non dovrebbero essere trattati ed i dati in generale non dovrebbero essere conservati più a lungo del necessario.

Per ricevere una copia delle Linee Guida ICTLC su come migliorare la conformità dell’ambiente adtech, continua a leggere qui.


[1] Si veda il rapporto di aggiornamento dell’ICO sulle offerte adtech e in tempo reale, disponibile qui | https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf

[2] Si veda il Programmatic Revenue Report dell’Interactive Advertising Bureau (IAB) a pag. 7, disponibile qui | https://www.iab.com/wp-content/uploads/2015/07/PwC_IAB_Programmatic_Study.pdf

[3] Si noti che il Gruppo di Lavoro dell’Articolo 29, nelle sue Linee guida per l’Automazione delle decisioni individuali e la Profilazione ai fini del Regolamento 2016/679 (disponibile qui | https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053), afferma che la pubblicità mirata basata sulla profilazione può essere considerata, in determinati casi, come avente “effetto legale o altrettanto significativo” sulle persone. Ciò dipende, ad esempio, dall’invadenza del processo di profilazione (in particolare quando gli utenti sono rintracciati attraverso diversi siti web, dispositivi e servizi) e dal modo in cui la pubblicità viene fornita, tra gli altri fattori.

[4] CNILs Vectuary decision, 20 ottobre 2018, disponibile all’indirizzo | https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037594451&fastReqId=974682228&fastPos=2

[5] Si veda il comunicato aggiornato IAB Europe & IAB Tech Lab Transparency & Consent Framework del 20 agosto 2019, disponibile sul sito| https://iabeurope.eu/press-releases/iab-europe-iab-tech-lab-release-updated-transparency-consent-framework/


In collaborazione con

ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.

ICT Legal Consulting

Author ICT Legal Consulting

ICT Legal Consulting is an international law firm founded in 2011 with offices in Milan, Bologna, Rome and Amsterdam, and presence in nineteen other countries (Australia, Austria, Belgium, Brazil, China, France, Germany, Greece, Hungary, Mexico, Poland, Portugal, Romania, Russia, Slovakia, Spain, Turkey, United Kingdom and USA). The firm was established by Paolo Balboni and Luca Bolognini, who have successfully assembled a network of trusted, highly-skilled lawyers specialized in the fields of Information and Communication Technology, Privacy, Data Protection/Security and Intellectual Property Law.

More posts by ICT Legal Consulting
it_IT
en_US it_IT