Pubblicità mirata, utenti catalogati in base a dati sensibili, ma la possibilità di far valere i propri diritti sulla privacy è pari allo 0%
Che ne siate più o meno consapevoli, i broker che gestiscono la pubblicità mirata su internet possono catalogarvi in base a informazioni sensibili come “lgbt”, “incinta” o “ebreo”, e se navigando online vi vengono proposti annunci che sembrano frugare oltremodo nella vostra sfera privata alimentando i vostri sospetti, potreste però rimanere delusi se state pensando di chiedere la cancellazione dei vostri dati facendo leva sui diritti riconosciuti dal GDPR.
Uno di questi broker pubblicitari è Xandr, una società controllata da Microsoft che di recente è finita nel mirino dell’associazione non profit noyb, fondata dall’avvocato Max Schrems e nota come “European Center for Digital Rights”, perché a quanto pare, per sfornare pubblicità mirate e dettagliate, Xandr raccoglie e condivide i dati personali di milioni di utenti europei che “possono includere dettagli personali riguardanti la salute, la sessualità o le opinioni politiche degli utenti”, (come del resto era già stato dimostrato da ricerche precedenti), e nonostante il servizio venga proposto come “mirato”, talvolta l’azienda detiene informazioni piuttosto casuali, e come rimarca l’associazione, l’utente profilato può contemporaneamente essere classificato curiosamente sia come “uomo” che come “donna”, oppure sia come “impiegato” che come “disoccupato”.
“L’enorme quantità di dati personali per profilare gli utenti e consentire il targeting” che vengono elaborati in tempo reale in modo completamente automatico consente alle piattaforme di Real Time Bidding (RTB) come Xandr di proporre all’asta spazi pubblicitari a migliaia di inserzionisti, che poi vengono visualizzate sui siti web visitati dagli utenti o sulle app mobili da essi utilizzate.
E dato che, alla fine del massivo processo di elaborazione, agli utenti viene mostrato un solo annuncio, noyb ricorda che il GDPR richiede il rispetto del principio di “minimizzazione”, secondo cui non si possono trattare più dati personali di quanti ne siano effettivamente necessari, ed essi devono essere mantenuti solo per il tempo strettamente necessario a raggiungere lo scopo per cui vengono raccolti.
Nel comunicato pubblicato sul proprio sito, noyb rammenta poi che i dati delle persone devono essere “accurati” rispettando il principio di esattezza, ma il sistema di Xandr utilizzerebbe “tonnellate di informazioni false sugli utenti”, e dopo essersi vista rifiutare una richiesta di accesso e cancellazione dei propri dati personali, un legale dell’associazione ha presentato un reclamo all’autorità italiana per la protezione dei dati (Garante Privacy) in merito a questioni di trasparenza, diritto di accesso e utilizzo di informazioni imprecise sugli utenti. Nel complesso, secondo noyb, Xandr violerebbe l’articolo 5, paragrafo 1, lettere c) e d), l’articolo 12, paragrafo 2, l’articolo 15 e l’articolo 17 del Regolamento europeo sulla protezione dei dati personali.
Come se non piovesse già sul bagnato, secondo il GDPR tutti hanno il diritto di accedere alle proprie informazioni, ma nonostante la raccolta massiva di informazioni dettagliate sulle persone, noyb afferma che il tasso di risposta alle richieste di accesso e cancellazione registrato da Xandr nel 2022 sia pari allo 0%, come sembrano effettivamente confermare le statistiche interne pubblicate dalla stessa Xandr su un sito web nascosto, ma di fatto accessibile da chiunque.
Alla luce di quanto emerso, ora noyb chiede all’autorità “di indagare sulle operazioni di trattamento di Xandr e di ordinare alla società controllata da Microsoft di soddisfare la richiesta di accesso e cancellazione del ricorrente”, nonché di “conformare i propri trattamenti ai principi di minimizzazione e accuratezza dei dati” e imponendole “una sanzione amministrativa efficace, proporzionata e dissuasiva fino al 4% del suo fatturato annuo”.
