Lo scorso 2 settembre, il Comitato europeo per la protezione dei dati personali (EDPB) ha emanato le Linee guida 8/2020 in materia di targeting degli utenti dei social media.
L’obiettivo chiave delle linee-guida è quello di chiarire l’impatto che le attività di targeting possono avere sugli individui, individuando i rischi potenziali per i diritti e le libertà delle persone derivanti dal trattamento dei dati personali.
L’EDPB ha altresì delineato i ruoli e le responsabilità dei soggetti coinvolti, fornendo, a tal fine, esempi ed orientamenti pratici.
Posto che le suddette linee-guida verranno approvate definitivamente in seguito ad un periodo di consultazione pubblica che si concluderà il prossimo 19 ottobre – nel corso della quale chiunque potrà dire la propria tramite il form sul sito del Comitato – ne abbiamo esaminato gli aspetti salienti.
Sommario
COS’E’ IL TARGETING?
Il targeting è una scelta strategica che attiene all’individuazione, a seguito della segmentazione, del gruppo di consumatori da servire tramite un’offerta (o più offerte) ad hoc.
Nel contesto dei social media, il targeting consente alle persone fisiche o giuridiche (“destinatari”) di comunicare messaggi specifici e personalizzati agli utenti al fine di promuovere interessi commerciali, politici o di altro tipo.
GLI ATTORI
In linea di principio, i soggetti coinvolti sono:
- UTENTI. Gli users sono coloro che impiegano i social media per scopi personali (ad es. per rimanere in contatto con gli amici, per scambiare informazioni su interessi condivisi o per cercare opportunità di lavoro). Ai sensi dell’art. 4 GDPR questi soggetti possono, a tutti gli effetti, essere considerati “interessati” nella misura in cui l’individuo è identificato o identificabile direttamente o indirettamente. Si precisa che non rileva se il soggetto sia iscritto o meno al social poiché i fornitori di social media possono realizzare il targeting di individui che non hanno un account. Non importa nemmeno se lo user sia registrato con un nickname poiché la maggior parte dei tipi di targeting non si basa sui nomi utente ma su altri tipi di dati personali come gli interessi, dati sociografici, comportamento o altri identificatori. Non a caso i provider spesso incoraggiano gli utenti a rivelare dati del “mondo reale“, come i numeri di telefono.
- SOCIAL MEDIA PROVIDER. I fornitori di social media offrono un servizio online che consente lo sviluppo di reti e comunità di utenti, tra i quali vengono condivise informazioni e contenuti. I servizi di social media sono tipicamente offerti tramite browser web o app dedicate, spesso dopo aver richiesto all’utente di fornire una serie di dati personali per creare l ‘account (o il profilo) dell’utente. Il provider di social media determina unilateralmente le funzionalità del servizio. Ciò implica anche la determinazione di quali dati vengono trattati, per quale scopo, in quali termini e come avvenga tale trattamento. Il fornitore di social media ha l’opportunità di raccogliere grandi quantità di dati personali relativi al comportamento e alle interazioni degli utenti e degli utenti non registrati, che gli consente di ottenere una conoscenza approfondita delle caratteristiche socio-demografiche, degli interessi e delle preferenze degli utenti. Tali dati possono avvantaggiare i partner commerciali che operano sulla piattaforma social media o in collaborazione con essa.
- DESTINATARI (cd. Targeters): Il “targeter” è la persone fisica o giuridica che utilizza i servizi di social media al fine di indirizzare messaggi specifici a una serie di utenti di social media sulla base di parametri o criteri specifici. Questi selezionano i loro messaggi e/o il pubblico a cui sono destinati in base alle caratteristiche, agli interessi o alle preferenze percepiti degli individui interessati, una pratica che a volte viene anche chiamata “micro-targeting“. I messaggi mirati possono avere ad oggetto intenti commerciali ma anche politici o di altra natura, si pensi agli enti di beneficenza e altre organizzazioni senza scopo di lucro che utilizzano i social media per indirizzare i messaggi a potenziali contributori o per sviluppare la comunità.
- ALTRI ATTORI RILEVANTI. Fornitori di servizi di marketing, fornitori di gestione dei dati (DMP), broker di dati e società di analisi dei dati. Questi attori fanno parte del complesso e in evoluzione ecosistema della pubblicità online (cd. adtech) che raccoglie ed elabora i dati relativi alle persone (inclusi gli utenti dei social media), monitorando le loro attività su siti web e app.
MECCANISMI di TARGETING
Il targeting può avvenire con diverse modalità: attraverso la visualizzazione di annunci pubblicitari personalizzati (ad es. tramite un “banner” mostrato nella parte superiore o laterale di una pagina web); quando avviene all’interno della piattaforma dei social media, anche attraverso la visualizzazione nel “feed” di un utente, sequenza temporale o “storia“, in cui il contenuto pubblicitario appare accanto al contenuto generato dagli utenti.
Il targeting può anche comportare la creazione di contenuti ospitati dal provider di social media (ad es. tramite una “pagina” dedicata o altra presenza sui social media) o altrove (ad es. su siti Web di terze parti).
Molti fornitori di social media offrono servizi di questo tipo, come parte integrante del loro modello di business.
Ciò che contraddistingue il targeting è l’adattamento del messaggio da consegnare alla persona destinata a riceverlo (o il gruppo target). L’assunto di base è che migliore è l’adattamento, maggiore è il tasso di ricezione (conversione) e quindi più efficace è la campagna di targeting (ritorno sull’investimento).
I meccanismi per indirizzare gli utenti dei social media sono sempre più sofisticati, tanto che i provider hanno la capacità di indirizzare gli individui sulla base di un’ampia gamma di criteri, criteri che possono essere stati sviluppati sulla base dei dati personali che gli utenti hanno attivamente fornito o condiviso.
Sempre più spesso, tuttavia, i criteri di targeting vengono sviluppati anche sulla base dei dati personali che sono stati osservati o dedotti, dal fornitore di social media o da terze parti, e raccolti (aggregati) dalla piattaforma o da altri attori (ad es. data broker) per opzioni di targeting del supporto, nonché da una combinazione di tutti questi elementi.
In altri termini, il targeting degli utenti dei social media implica non solo l’atto di selezionare gli individui o i gruppi di individui che sono i destinatari previsti di un particolare messaggio (il cd. pubblico di destinazione), ma piuttosto coinvolge un intero processo svolto da una serie di portatori di interessi che si traduce nella consegna di messaggi specifici a individui con account sui social media.
TARGETING sulla BASE dei DATI FORNITI dall’UTENTE
Le informazioni vengono fornite direttamente dall’interessato ai social media fornitore e/o il target di riferimento. Gli individui possono divulgare attivamente molte informazioni su se stessi quando fanno uso di social media.
La creazione di un account di social media (o “profilo”) implica la divulgazione di una serie di attributi, che possono includere nome, data di nascita, sesso, luogo di residenza, lingua, ecc.
A seconda della natura della piattaforma di social media, gli utenti possono includere informazioni aggiuntive come lo stato della relazione, gli interessi o l’attuale occupazione.
I dati personali forniti dagli utenti dei social media possono essere utilizzati dal provider dei social media per sviluppare criteri che consentono al destinatario di indirizzare messaggi specifici agli utenti dei social media.
TARGETING sulla BASE dei DATI OSSERVATI
I dati osservati sono dati forniti dall’interessato in virtù dell’utilizzo di un servizio o dispositivo.
Si pensi all’attività dell’utente sulla piattaforma di social media quando condivide, consulta o gradisce un contenuto; o all’utilizzo di dispositivi su cui viene eseguita l’applicazione del social media (ad es. coordinate GPS, numero di cellulare); o ai dati raccolti tramite siti web di terzi che hanno incorporato social plugin o pixel; o ai dati raccolti tramite altre terze parti (es. soggetti con i quali l’interessato ha interagito, acquistato un prodotto, sottoscritto carte fedeltà, etc.); o ancora ai dati raccolti tramite servizi offerti da società possedute o gestite dal provider di social media.
TARGETING sulla BASE dei DATI DEDOTTI
Anche conosciuti come “dati derivati“, questi sono creati dal titolare del trattamento sulla base dei dati forniti dall’interessato (indipendentemente dal fatto che questi dati siano stati osservati o forniti attivamente dall’interessato, o da una combinazione di questi).
Ad esempio in virtù del monitoraggio del comportamento dei propri utenti per un lungo periodo di tempo, sia dentro che fuori dai social media (es. pagine visitate, tempo trascorso su ogni pagina, numero di ricollegamenti a quella pagina, parole cercate, collegamenti ipertestuali seguiti, “Mi piace” forniti), il fornitore di social media potrebbe essere in grado di dedurre informazioni riguardanti gli interessi e altre caratteristiche dell’utente del social media.
RUOLI & RESPONSABILITA’
A seconda della tipologia di targeting applicata, il provider di social media e l’inserzionista assumeranno ruoli differenti nell’ambito del trattamento dei dati personali raccolti e da ciò ne conseguiranno gradi diversi responsabilità.
In particolare quando i dati vengono forniti dall’utente al fornitore di social media sia il targeter che il provider di social media partecipano alla determinazione dello scopo e dei mezzi del trattamento dei dati personali. Ciò si traduce nella visualizzazione dell’annuncio al pubblico target.
Il targeter definisce poi i criteri in base ai quali avviene il targeting e designa le categorie di persone di cui devono essere utilizzati i dati personali. Il provider di social media, quindi, tratta i dati personali dei propri utenti in modo tale da sviluppare i criteri di targeting, che mette a disposizione del target.
In qualità di contitolari del trattamento, entrambe le parti (il fornitore di social media e il destinatario del trattamento) devono essere in grado di dimostrare l’esistenza di una base giuridica (art. 6 GDPR) per giustificare il trattamento dei dati personali per il quale ciascuno dei contitolari del trattamento è responsabile.
In ogni caso l’EDPB ricorda che l’accesso effettivo ai dati personali non è un presupposto per la responsabilità congiunta.
In generale, vi sono due basi giuridiche che potrebbero teoricamente giustificare il trattamento che supporta il targeting degli utenti dei social media: il consenso dell’interessato (art. 6, par. 1, lett. a) GDPR) o il legittimo interesse (art. 6, par. 1, lett. f) GDPR).
Analogamente quando i dati forniti dall’utente della piattaforma social media direttamente al targeter, che quindi utilizza i dati raccolti per indirizzare l’interessato sui social media.
L’inserzionista determina le finalità e le modalità del trattamento raccogliendo, elaborando e trasmettendo attivamente i dati personali degli interessati al fornitore di social media per scopi pubblicitari.
Il fornitore di social media, a sua volta, funge anch’egli da titolare del trattamento in quanto ha deciso di utilizzare i dati personali acquisiti dall’utente del social media al fine di consentire al destinatario di mostrare pubblicità a un pubblico di individui specifici.
La contitolarità del trattamento esiste in relazione alle operazioni di trattamento per le quali il fornitore di social media e il destinatario determinano congiuntamente le finalità e i mezzi.
In relazione ai dati osservati, esistono diversi modi in cui i fornitori di social media possono essere in grado di osservare il comportamento dei propri utenti.
Ad esempio, l’osservazione è possibile attraverso il servizio di social media stesso o può anche essere possibile su siti web esterni in virtù del social plug-ins o pixel.
Anche in questa ipotesi il targeter e il provider partecipano alla determinazione delle finalità e dei mezzi del trattamento dei dati personali, che si traduce nella visualizzazione dell’annuncio.
Questa tipologia di targeting impiega i cookie pertanto è necessario tenere conto dei requisiti derivanti dall’art. 5, par. 3, della direttiva e-privacy.
Ai sensi della suddetta disposizione agli utenti devono essere fornite informazioni chiare e complete sulle finalità del trattamento, che implicano che un utente sia in grado di determinare facilmente le conseguenze di qualsiasi consenso che potrebbe dare, fatte salve eccezioni molto ristrette.
Ciascun titolare che cerchi di fare affidamento sul consenso come base giuridica è responsabile di garantire il consenso ottenuto.
Infine nel caso in cui i dati siano stati dedotti, si tratta di una vera e propria profilazione nel quale sia il targeter che il provider vengono coinvolti.
In ogni caso, tali operatori possono essere coinvolti in fasi diverse del trattamento dei dati personali e l’esistenza di titolarità congiunta non implica necessariamente la pari responsabilità, che dovranno essere valutate in relazione al caso specifico.
In punto alla base giuridica che giustifica il trattamento, il responsabile del trattamento deve sempre considerare quale ritiene essere quella più appropriata alle circostanze.
Secondo il Comitato, tuttavia, sarebbe difficile per i titolari del trattamento giustificare l’utilizzo di interessi legittimi come base giuridica per pratiche di profilazione e tracciamento intrusivo per scopi di marketing o pubblicitari, ad esempio quelle che implicano il tracciamento di individui su più siti web, posizioni, dispositivi, servizi, etc.
RISCHI PER I DIRITTI E LE LIBERTÀ DEGLI UTENTI
I meccanismi che possono essere utilizzati per indirizzare gli utenti dei social media, nonché le attività di elaborazione, di combinazione e di analisi che consentono il targeting, possono comportare rischi significativi per i diritti e le libertà delle persone.
Per le persone interessate, il trattamento sottostante dei dati personali che si traduce nella consegna di un messaggio mirato è spesso opaco e può comportare usi imprevisti o indesiderati di dati personali, che sollevano questioni non solo in merito alla legge sulla protezione dei dati, ma anche in relazione a altri diritti e libertà fondamentali.
Il targeting degli utenti dei social media può comportare utilizzi di dati personali che vanno contro o oltre le ragionevoli aspettative degli individui e quindi violano i principi applicabili in materia di protezione dei dati.
A tal fine l’EDPB ha fornito alcuni esempi pratici di situazioni che possono manifestarsi.
Si pensi ad una piattaforma social che combina i dati personali divulgati dagli stessi utenti con quelli provenienti da fonti di terze parti, ciò potrebbe comportare un utilizzo dei dati personali oltre il loro scopo iniziale e in modi che l’individuo non potrebbe ragionevolmente prevedere.
Difatti le attività di profilazione collegate al targeting potrebbero comportare una deduzione di interessi o altre caratteristiche, che l’individuo non aveva attivamente divulgato, minando così la capacità dell’individuo di esercitare un controllo sui propri dati personali.
Inoltre, una mancanza di trasparenza riguardo al ruolo dei diversi attori e le operazioni di trattamento in questione possono pregiudicare, complicare o ostacolare l’esercizio dei diritti dell’interessato.
Un’altra tipologia di rischio riguarda la possibilità di discriminazione ed esclusione dell’utente. Il targeting degli utenti dei social media può comportare criteri che, direttamente o indirettamente, hanno effetti discriminatori in relazione all’origine razziale o etnica di un individuo, allo stato di salute o all’orientamento sessuale o ad altre qualità protette dell’individuo interessato.
Il potenziale di discriminazione nel targeting deriva dalla capacità degli inserzionisti di sfruttare l’ampia quantità e varietà di dati personali (ad esempio dati demografici, dati comportamentali e interessi) che le piattaforme di social media raccolgono sui propri utenti.
Un’altra categoria di rischio riguarda la potenziale manipolazione degli utenti.
I meccanismi di targeting sono, per definizione, utilizzati per influenzare il comportamento e le scelte degli individui, sia che si tratti delle loro decisioni di acquisto in quanto consumatori o in termini di decisioni politiche come cittadini impegnati nella vita civica.
Certi approcci mirati possono tuttavia arrivare a minare l’autonomia e la libertà individuali, ad es. fornendo messaggi personalizzati progettati per sfruttare o addirittura accentuare determinate vulnerabilità, valori personali o preoccupazioni.
Si pensi all’analisi dei contenuti condivisi attraverso i social media può rivelare informazioni sullo stato emotivo (ad es. attraverso un’analisi dell’uso di determinate keywords).
Tali informazioni potrebbero essere utilizzate per indirizzare l’individuo con messaggi specifici e in momenti determinati verso i quali ci si aspetta che sia più ricettivo, influenzando quindi in modo surrettizio il suo processo di pensiero, le emozioni e il comportamento.
Come anticipato, i meccanismi per indirizzare gli utenti dei social media possono essere utilizzati indebitamente influenzare gli individui quando si tratta di discorsi politici e processi elettorali democratici.
Mentre le campagne politiche offline tradizionali intendono influenzare il comportamento degli elettori tramite messaggi generalmente disponibili e recuperabili (verificabili), i meccanismi di targeting online disponibili consentono ai partiti politici e alle campagne di rivolgersi ai singoli elettori con messaggi personalizzati, per le esigenze, gli interessi e i valori particolari del pubblico di destinazione.
Tale targeting potrebbe anche comportare disinformazione o messaggi che gli individui trovano particolarmente angoscianti e sono quindi (più) propensi a stimolare una certo azione da parte loro.
Quando messaggi polarizzanti o non veritieri sono indirizzati a individui specifici, senza contestualizzazione o esposizione ad altri punti di vista limitati o assenti, l’uso di meccanismi di targeting può avere quindi l’effetto di minare il processo elettorale democratico.
In buona sostanza, i meccanismi di targeting possono essere utilizzati per aumentare la visibilità di determinati messaggi, dando meno risalto agli altri con conseguenze negative per il pluralismo del dibattito pubblico e per l’accesso alle informazioni.
La raccolta di dati personali da parte dei fornitori di social media non si limita alle attività svolte dagli individui sulla stessa piattaforma di social media.
Il targeting degli utenti dei social media sulla base delle informazioni riguardanti il loro comportamento di navigazione o altre attività al di fuori della piattaforma dei social media può dare agli individui la sensazione che il loro comportamento sia sistematicamente monitorato.
Potrebbe produrre un effetto agghiacciante sulla libertà di espressione, compreso l’accesso alle informazioni.
Tali effetti possono essere presentarsi se il targeting si basa anche sull’analisi dei contenuti condivisi dagli utenti dei social media ma se messaggi privati, post e commenti sono soggetti ad analisi per uso commerciale o politico, ciò può anche portare all’autocensura.
Il potenziale impatto negativo del targeting può essere considerevolmente maggiore quando sono interessate categorie vulnerabili di individui, come i bambini.
Il targeting può influenzare la formazione delle preferenze e degli interessi personali dei bambini, influenzando in ultima analisi la loro autonomia e il loro diritto allo sviluppo.
Il considerando 38 del GDPR precisa che occorre applicare una protezione specifica per l’uso dei dati personali dei minori fini di marketing o creazione di profili della personalità o degli utenti e la raccolta di dati personali relativi ai bambini quando si utilizzano servizi offerti direttamente a un minore.
TRASPARENZA E DIRITTO DI ACCESSO
Ai sensi dell’art. 26 GDPR, in materia di obblighi di trasparenza:
“Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
L’accordo di cui al par. 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.”
Una espressione del principio di trasparenza è l’obbligo di mettere a disposizione dell’interessato l’essenza dell’accordo di controllo congiunto. In linea di principio, le informazioni fornite all’interessato devono coprire tutti gli aspetti delle operazioni di trattamento dei dati per le quali i contitolari del trattamento sono corresponsabili.
L’interessato, infatti, ha il diritto di ricevere sin dall’inizio tutte le informazioni (anche relative al trattamento successivo previsto in caso di contitolarità), in modo che le informazioni siano corrette e appropriate.
Tale accordo deve contenere informazioni chiare e complete riguardo al trattamento cui si riferisce con spiegazioni, se del caso, anche sulle varie fasi e attori del trattamento.
L’EDPB rileva che i titolari del trattamento non sono direttamente responsabili di fornire le informazioni richieste dagli artt. 13 e 14 GDPR in relazione a ulteriori operazioni di trattamento che non rientrano nell’ambito di applicazione contitolarità del trattamento.
Pertanto il contitolare del trattamento che intende utilizzare ulteriormente i dati personali ha specifici obblighi di informazione per questo ulteriore trattamento in assenza di responsabilità congiunta, nonché obblighi di compatibilità dell’ulteriore trattamento ai sensi dell’art. 6, par. 4, GDPR.
In pratica, l’essenza dell’accordo dovrebbe essere direttamente disponibile sulla piattaforma, a cui si fa riferimento nella sua privacy policy, e anche resa direttamente accessibile da un collegamento, ad esempio, nella pagina del destinatario sulla piattaforma dei social media o in collegamenti come “perché vedo questo annuncio?”.
I responsabili del trattamento dei dati devono consentire agli interessati (utenti) di esercitare facilmente e pienamente i loro diritti.
L’interessato ha infatti il diritto di conoscere l’identità del targeter e i responsabili del trattamento devono facilitare l’accesso alle informazioni riguardanti il targeting, inclusi i criteri di targeting utilizzati, nonché le altre informazioni richieste dall’art. 15 GDPR.
Per quanto riguarda il tipo di accesso a essere fornito agli interessati, attese le caratteristiche specifiche dei fornitori di social media – l’ambiente online, l’esistenza di un account utente – suggeriscono la possibilità di concedere facilmente all’interessato l’accesso remoto ai dati personali che lo riguardano (vedi Considerando 63).
L’accesso remoto in questo caso può essere considerato come la “misura più adeguata” tenuto anche conto del fatto che si tratta di una situazione tipica “dove la proliferazione di attori e la complessità tecnologica della pratica lo rendono difficile per l’interessato sapere e capire se, da chi e per quale scopo vengono raccolti dati personali che lo riguardano”.
Inoltre, se richiesto, agli utenti dei social media deve essere fornita anche una copia dei dati personali che li riguardano in conformità con l’art. 15, par. 3, GDPR.
Al fine di consentire agli interessati di esercitare i propri diritti in modo efficace e facilmente accessibile, l’accordo tra il fornitore di social media e il targeter può designare un unico punto di contatto per gli interessati, adempimento raccomandato dall’EDPB.
VALUTAZIONE DELL’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)
In linea di principio, prima di avviare le operazioni di targeting previste, entrambi i contitolari del trattamento dovrebbero controllare l’elenco delle operazioni di trattamento “che potrebbero comportare un rischio elevato” adottato a livello nazionale ai sensi dell’art. 35, par. 4 e dei Considerando nn. 71, 75 e 91 GDPR per determinare se il targeting designato corrisponde a uno qualsiasi dei tipi di operazioni di trattamento soggette all’obbligo di condurre una DPIA (Data Protection Impact Assessment).
In alcuni casi, la natura del prodotto o del servizio pubblicizzato, il contenuto del messaggio o il modo in cui viene fornito l’annuncio potrebbero produrre effetti su individui il cui impatto deve essere ulteriormente valutato, come potrebbe essere il caso, ad es., di prodotti destinati a persone vulnerabili.
Ulteriori rischi possono emergere a seconda delle finalità della campagna pubblicitaria e della sua invadenza, o se il targeting comporta il trattamento di dati personali osservati, dedotti o derivati.
Quando l’operazione di trattamento coinvolge i contitolari del trattamento, questi devono definire con precisione i rispettivi obblighi. Di conseguenza, entrambi i contitolari devono valutare se una DPIA è necessaria e nel caso lo fosse entrambi sono responsabili dell’adempimento di questo obbligo.
Nella pratica, è possibile che i contitolari del trattamento decidano che uno di loro debba essere incaricato di svolgere la DPIA in quanto tale, che dovrebbe poi essere specificato nell’accordo congiunto, senza pregiudicare l’esistenza della responsabilità congiunta in quanto tale.
Ogni DPIA deve includere misure previste per affrontare i rischi, ovvero misure di sicurezza e meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità con il GDPR tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone interessate.
Se i rischi individuati non possono essere affrontati in modo sufficiente (ossia i rischi residui rimangono elevati), i contitolari del trattamento sono ciascuno responsabile di garantire una consultazione preventiva con le autorità di vigilanza competenti. Se il targeting violasse il GDPR, in particolare perché i rischi non sono stati sufficientemente identificati o mitigati, il targeting non dovrebbe aver luogo.
CATEGORIE PARTICOLARI di DATI
Il GDPR fornisce una protezione specifica per i dati personali che sono particolarmente sensibili in relazione ai diritti e alle libertà fondamentali degli individui.
Tali dati sono definiti nell’art. 9 del GDPR come categorie particolari di dati personali e includono dati sulla salute di una persona, l’origine razziale o etnica, la biometria, le convinzioni religiose o filosofiche, l’opinione politica, l’appartenenza a sindacati, la vita sessuale o l’orientamento sessuale.
Nel contesto dei social media e del targeting, è necessario determinare se il trattamento dei dati personali coinvolge dati particolari e se tali dati sono elaborati dal fornitore di social media, dal targeter o da entrambi. Se vengono elaborate categorie speciali di dati personali, è necessario stabilire se e a quali condizioni il fornitore di social media e il destinatario della richiesta possono trattare legalmente tali dati.
Se il fornitore di social media tratta la categoria speciale di dati per scopi di targeting, deve trovare una base giuridica per il trattamento nell’articolo 6 del GDPR e fare affidamento su una delle esenzioni di cui all’art. 9, par. 2, del GDPR, per esempio quando l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche o quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.
Se un targeter si avvale di un fornitore di social media e richiede che il fornitore di social media si rivolga agli utenti in base a questa speciale categoria di dati, il target di riferimento sarà congiuntamente responsabile con il fornitore di social media per l’elaborazione dei dati della categoria speciale.
Inoltre nel caso in cui l’interessato pubblichi i suoi dati particolari, l’EDPB rileva che la presenza di un singolo elemento potrebbe non essere sempre sufficiente per stabilire che i dati sono stati “manifestamente” resi pubblici dallo stesso utente (art. 9, par. 2 lett. e).
In pratica, potrebbe essere necessario prendere in considerazione una combinazione di più elementi affinché i responsabili del trattamento dimostrino che l’interessato ha manifestato chiaramente l’intenzione di raccogliere e trattare i propri dati.
VP
