PornHub, qualche passo avanti sulla privacy, ma l’accountability richiede un percorso di miglioramento continuo
Impossibile non ricordare la questione relativa alla Privacy Policy di PornHub con tanto di richiesta di chiarimenti da parte del Garante Privacy. Ebbene: a distanza di alcuni mesi dalla prima modifica della privacy policy c’è stato un nuovo aggiornamento il 23 maggio con l’inserimento di una pagina informativa specifica dedicata ai cookie e agli strumenti di tracciamento impiegati, e alle attività di profilazione svolte sugli utenti. Alcuni nodi rimasti precedentemente irrisolti sono stati affrontati con un approccio che sembra seguire la direzione indicata dal Garante.
(Nella foto: Stefano Gazzella, Consulente Privacy & ICT Law, Data Protection Officer)
L’opzione per la gestione dei cookie è stata aggiornata, ed ora consente la selezione delle categorie di cookie (di funzione, analitici, di targeting/pubblicità) in relazione delle quali è possibile prestare un consenso. Certo, non è ancora un consenso granulare per singolo cookie, ma è un passo avanti. Inoltre, sono fornite informazioni complete su cookie e sistemi di tracciamento impiegati. La maggiore perplessità a riguardo viene però destata da un banner che appare (e può essere chiuso) nel caso in cui venga selezionata l’opzione di accettare i soli cookie necessari, che riporta:
“A causa della tua selezione alcune funzionalità del sito potrebbero non essere disponibili. Per una migliore esperienza di navigazione puoi selezionare 'Accept All Cookies' ”
in quanto potrebbe rappresentare per l’utente un dark pattern, dal momento che questo avviso appare solo nell’ipotesi in cui l’utente rifiuti tutti i cookie. Infatti, provando ad accettare tutti i cookie (o una categoria) ad eccezione di quelli di funzione, il banner non appare. Il che per logica è piuttosto strano e fa dubitare circa la natura di alert dello stesso, facendolo sembrare più uno strumento per indurre ad accettare tutti i cookie e non solo quelli di funzione.
Per quanto riguarda la privacy policy, si è seguita la linea già intrapresa da luglio 2023 per cui continuando ad essere distinte le attività di trattamento svolte su utenti non registrati (o visitatori) da quelle svolte su utenti registrati, con precisazione di alcune basi giuridiche, fra cui emergono:
- il consenso per la personalizzazione degli annunci e l’-mail marketing;
- l’adempimento ad obblighi di legge;
- il legittimo interesse per tutelare la piattaforma da attività illecite o fraudolente.
Inoltre, è stato inserito un capo dedicato alle informazioni riguardanti la registrazione ed accesso all’account mediante servizi di terze parti, fra cui quali i servizi di Single Sign-on con i quali sono condivisi alcuni dati personali. Ed è proprio l’ambito di comunicazione ad essere stato aggiornato in modo significativo, con una specificazione circa le informazioni che vengono rese pubbliche (ad es. per i contenuti caricati e le informazioni del profilo), la logica di need-to-know applicata al personale che può avere accesso ai dati e la comunicazione dei dati a società infragruppo precisando che alcune di queste potrebbero operare al di fuori dell’UE, senza indicazione però del Paese di destinazione e delle condizioni di trasferimento applicabili.
Per quanto riguarda invece l’aspetto della profilazione degli utenti, questo è affrontato nel capo dedicato alla funzione dei suggerimenti personalizzati, con rinvio ad una pagina dedicata a riguardo contenente le informazioni e le logiche impiegate. L’algoritmo applicato analizza sia le preferenze relative al video relative ad una determinata area geografica (selezionabile dall’utente), sia le interazioni dirette da parte dell’utente, sia contenuti correlati secondo trend o altrimenti ordinati secondo preferenze indicate dall’utente. La funzione dei suggerimenti personalizzati può essere attivata, e raccoglie metadati di video visualizzati, interazioni e video popolari relativi al Paese in base a visualizzazioni, valutazioni, commenti, preferenze e tempo totale di visualizzazione.
Anche la pubblicità dinamica è svolta sulla base del consenso dell’utente ai cookie di targeting/pubblicità con la raccolta di dati personali quali la posizione geografica, data e ora, contesto dell’annuncio, demografia, precedenti interazioni, sistema operativo, impostazioni del browser, connessione e internet.
Per quanto riguarda invece i diritti degli interessati questi vengono meglio dettagliati in un capo dedicato ed è mantenuta la funzione già precedentemente dedicata per ottenere l’accesso o la cancellazione dei propri dati personali.
Nulla di nuovo e significativo emerge invece per quanto riguarda le misure di age verification, le quali sono però state oggetto di una più ampia richiesta di informazioni avanzata da parte della Commissione UE in forza del Digital Services Act (DSA) da fornire entro il prossimo 4 luglio. Infatti, dal momento che PornHub (insieme a Stripchat e XVideos, che sono stati ulteriori destinatari della richiesta di informazioni) rientra fra le piattaforme online di dimensioni molto grandi (very large online platforms – VLOP), dovrà riferire dettagliatamente quali misure ha adottato per mitigare i rischi relativi alla protezione di minori online, prevenire l’amplificazione di contenuti illegali e la violenza di genere.
Grande assente, invece, è stata la pubblicazione dell’estratto di una valutazione di impatto privacy. La quale sebbene non sia stata parte delle indicazioni dell’autorità di controllo ben potrebbe rendicontare determinate scelte e decisioni assunte, nonché rischi e misure adottate.
Si può concludere che c’è l’evidenza di un certo recepimento da parte della piattaforma delle esigenze di conciliare il proprio core business con la protezione dei dati personali degli interessati.
Questo tema è particolarmente evidente nell’offerta dei servizi di intrattenimento destinati ad un pubblico adulto, dal momento che la tutela della privacy si pone come presupposto fondamentale per garantire l’espressione della propria libertà sessuale anche e soprattutto nelle sue declinazioni operative, e anche se qualche passo avanti PornHub lo ha effettivamente fatto, d’altra parte l’approccio di accountability consiste nell’intraprendere un percorso di miglioramento continuo, e strada facendo la nota piattaforma per adulti dovrà dare prova di voler continuare nella direzione intrapresa.