NEWS

Social media, varate le linee guida sulla profilazione degli utenti per chiarire ruoli e responsabilità

I social media tornano ad interessare l’attività dei rappresentanti delle Autorità Garanti nazionali riuniti nella loro espressione più elevata, ovvero il Comitato Europeo per la Protezione dei Dati, per analizzare un aspetto particolare di queste piattaforme, ovvero la profilazione (c.d. “targeting”) dell’utente.

È infatti risaputo che questi strumenti, oltre ad offrire a chiunque possibilità comunicative impensabili fino a qualche anno fa, dispongono di sofisticati algoritmi mediante i quali correlano le attività degli utenti, ricostruiscono le reti sociali, tengono traccia dei “click” effettuati e del tempo di permanenza su una determinata notizia o contenuto e analizzano automaticamente i messaggi trasmessi dagli utenti, che potrebbero comprendere le credenze religiose o politiche di questi ultimi, unitamente a tante altre categorie particolari di dati personali.

Pierluigi Perri, professore aggregato di informatica giuridica avanzata presso l'Università Statale di Milano

(Nella foto: Pierluigi Perri, professore aggregato di informatica giuridica avanzata presso l'Università Statale di Milano)


L’ampiezza del fenomeno e la delicatezza dei dati che vengono quotidianamente scambiati hanno quindi spinto l’EDPB a pubblicare il 2 settembre scorso, nella versione aperta alla consultazione pubblica, le Linee Guida 8/2020 sul targeting degli utenti dei social media. L’obiettivo di questo documento vuole essere quello di chiarire i ruoli e le responsabilità tra i gestori delle piattaforme e l’utente, tenuto conto anche delle sentenze della CGUE intervenute sul tema (Wirtschaftsakademie C-210/16; Jehovah’s Witnesses C-25/17 e Fashion ID C-40/17), e illustrare i potenziali rischi per i diritti e le libertà degli interessati.

Nel cercare di individuare i ruoli, l’EDPB si basa sui differenti meccanismi di profilazione, individuando principalmente i seguenti: a) profilazione sulla base dei dati forniti; b) profilazione sulla base dei dati frutto di osservazione dell’utente e c) profilazione sulla base delle inferenze di dati.

Per quanto riguarda il primo meccanismo, nelle situazioni tipiche è facile trovare dei rapporti di contitolarità tra piattaforma di social media e società inserzionista in quanto entrambi concorrono a determinare gli scopi (mostrare uno specifico contenuto pubblicitario a un pubblico selezionato) e i mezzi (l’inserzionista determina i criteri di pubblicazione dei contenuti e il tipo di consumatori da raggiungere, mentre il gestore della piattaforma fornisce gli strumenti grazie ai quali sarà possibile raggruppare gli utenti nelle categorie identificate dall’inserzionista).

L'European Data Protection Board ha varato delle linee guida per chiarire i ruoli delle piattaforme di social media

Il secondo meccanismo, basato sull’osservazione, presenta diversi scenari a seconda della metodologia adoperata. In un caso nel quale, ad esempio, venga utilizzato uno strumento quale un pixel di tracciamento fornito dalla piattaforma social, sarà possibile ravvisare nuovamente una contitolarità. Analogamente nel caso in cui si utilizzino altri strumenti quali il geo-targeting, dove l’inserzionista decida i dati geolocalizzati di suo interesse ma la piattaforma di social media raccolga le informazioni al fine di consentire la profilazione sulla base della posizione geografica, è ancora una volta ravvisabile, per l’EDPB, una determinazione congiunta di finalità e modalità del trattamento.

Il terzo scenario, infine, riguarda i dati che si possono derivare da dati forniti dall’utente, ad esempio mediante il controllo del comportamento di questi per un lungo periodo di tempo sia sui social media sia su altre risorse online, ad esempio mediante il tasto “like”. Anche in questo caso, l’EDPB ravvisa una contitolarità tra il gestore della piattaforma social e l’inserzionista, confermando così l’interpretazione fornita dalla CGUE nel caso Wirtschaftsakademie.

È indubbio, quindi, come l’inquadramento di diversi rapporti in un’ottica di contitolarità stia diventando costante sia nella visione della giurisprudenza sia in quella delle Autorità, e di questo bisognerà tenerne conto nella regolamentazione dei rapporti contrattuali con le piattaforme.

Note Autore

Pierluigi Perri Pierluigi Perri

Avvocato, Professore associato di informatica giuridica avanzata presso l'Università degli Studi di Milano. Coordinatore del Corso post-laurea in Computer Forensics and Data Protection, e del Corso di perfezionamento in Data Protection e Data Governance. Twitter:@pierluigiperri

Prev Vengono pubblicati nella classifica dei più ricchi ma rivendicano la loro privacy, sanzionato l'editore
Next La sicurezza delle informazioni e le operazioni non essenziali: il ruolo titolare-responsabile nelle piattaforme informatiche

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy