Targeting social media - Le linee guida dell’EDPB

La contitolarità con le sue difficoltà applicative, comporta davvero una maggior tutela per gli utenti?

Il 13 aprile l’European Data Protection Board  (EDPB) ha adottato le linee guida sulle attività di targeting degli utenti dei social media (n. 8/2020) al fine di fornire una guida pratica per la conduzione delle attività di targeting degli utenti dei social media.

Nati e vissuti dagli utenti come luoghi di aggregazione virtuale, i social media sono oggi il fulcro - ormai irrinunciabile – delle attività di marketing in ogni settore. Ciò complici l’evoluzione tecnologica che permette la raccolta di un enorme quantitativo di informazioni (di ottima qualità, gratuite e sempre aggiornate) e la facilità con la quale gli utenti le rendono disponibili.

L’utilizzo dei social network come fonte di informazioni e il ricorso a nuove tecnologie, altro non sono che figli dei tempi e, come tali, non devono essere demonizzati. È però certo che il fenomeno debba trovare una normativa di riferimento che garantisca in concreto i diritti e le liberà degli utenti e il loro effettivo controllo sui propri dati personali.        Considerato che il Parlamento europeo e la Commissione europea concordano sul fatto che attualmente non è necessario un aggiornamento del GDPR, era forse atteso un approccio dell’EDPB più innovativo, volto ad interpretare detta normativa in modo da renderla concretamente applicabile alla realtà e consentire agli operatori europei di non perdere competitività.

Inquadrato il fenomeno del social media marketing, l’EDPB, dopo aver individuato i principali attori e ribadito i rispettivi ruoli nel solco dell’orientamento della Corte di Giustizia, effettua un’analisi dei più comuni meccanismi di targeting, fornendo - attraverso numerosi esempi - indicazioni sulle basi giuridiche, sulle condizioni di legittimità del trattamento delle categorie particolari di dati personali, sugli adempimenti volti a garantire la trasparenza e l’esercizio dei diritti degli utenti, nonché sulla regolamentazione dei rapporti di contitolarità tra “social media provider” (SMP) e gli operatori quali i c.d. “targeter”, e sulla distribuzione delle rispettive responsabilità.

 

Tuttavia, dette linee guida rimangono in gran parte limitate ad una disamina delle regole applicabili, forse troppo acriticamente appiattite sull’approccio della Corte di Giustizia volto alla segmentazione dei trattamenti e qualificazione dei rapporti privacy tra SMP e operatori, come rapporti di contitolarità, mentendo così senza soluzione pratica alcune difficoltà oggettive degli operatori.

Il trattamento di dati personali effettuato in contitolarità, infatti, richiede specifici adempimenti quali la conclusione di un accordo che disciplini le responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, nonché obblighi di collaborazione per la determinazione condivisa delle basi legali del trattamento, lo svolgimento della valutazione d’impatto privacy, ecc.

Nell’affrontare il tema della distribuzione delle responsabilità, in realtà, l’EDPB dà atto di essere consapevole che nell’accesso ai servizi forniti dai SMP gli operatori si trovano spesso – o sarebbe più realistico dire “sempre” – nella condizione di dover accettare soluzioni standardizzate, senza alcuna possibilità di effettuare modifiche. Tuttavia, la questione appare risolta frettolosamente dall’EDPB, ribadendo semplicemente che ciò non esime le parti dalle rispettive responsabilità in merito all’adempimento delle obbligazioni previste dal GDPR.   Dunque, nella realtà, resta il problema pratico per chiunque voglia effettuare social media targeting di poter essere effettivamente pienamente conforme al GDPR. Nella maggior parte dei casi, infatti, resta un’utopia la possibilità concreta di negoziare con i gestori di social media le condizioni del trattamento, condividere e concordare con loro le relative basi giuridiche, o, ancor meno, condurre congiuntamente con i social media le attività di valutazione d’impatto privacy.

La conferma da parte dell’EDPB dell’approccio formalistico della Corte di Giustizia sulla contitolarità, senza una declinazione pratica che tenga conto delle suddette difficoltà oggettive, rischia - paradossalmente e in contrasto proprio con i principi del GDPR - di indurre gli operatori, di fatto impossibilitati a fare altrimenti, a meri adempimenti formali e, soprattutto, non appare idonea a garantire una maggior tutela degli utenti.