Conformità al GDPR: le basi giuridiche della raccolta di dati personali

Il regolamento generale sulla protezione dei dati entra in vigore a maggio del 2018 e uno dei punti di maggiore discussione per il settore del marketing digitale è ...
Aggiornato il 4 ottobre 2018

di Guillaume Marcerou, Criteo Global Privacy Director

Il regolamento generale sulla protezione dei dati entra in vigore a maggio del 2018 e uno dei punti di maggiore discussione per il settore del marketing digitale è che gli identificatori tecnici come i cookie e gli ID della pubblicità mobile vengono ora considerati dati personali. Anche se a molte aziende con sede negli USA può sembrare uno sviluppo inatteso, in molti Paesi dell’UE come la Francia questo era già la norma. La sola differenza è che, ora, tutti gli stati membri dell’UE devono trattare i cookie e gli altri identificatori tecnici come dati personali.

Per saperne di più su come il GDPR definisce i dati personali e il consenso, fai clic qui.

Che cosa significa e che come si applica alla tua attività?

Se si raccolgono dati personali di qualsiasi genere, la raccolta deve avere basi legali. Per questo il GDPR identifica sei basi legali per la raccolta e il trattamento dei dati in Europa:

  1. L’interesse vitale dell’individuo
  2. L’interesse pubblico
  3. L’esigenza contrattuale
  4. La conformità a obblighi legali
  5. Il consenso non ambiguo dell’individuo
  6. L’interesse legittimo del titolare del trattamento

È importante notare che tutte queste basi giuridiche hanno lo stesso valore legale, il che significa che sono autonome ed esclusive, l’una rispetto all’altra. Per le attività dei settori del marketing o del marketing digitale o per chi raccoglie dati a scopo di marketing, le due basi legali che potrebbero applicarsi sono: (1) Il consenso non ambiguo dell’individuo e (2) l’interesse legittimo del titolare del trattamento.

Quale di queste basi consentirebbe a un’azienda di raccogliere dati personali sotto forma di identificatori tecnici (cookie, ID mobile, ecc.)?

La nostra opinione è che la base che si applica maggiormente ai nostri clienti e partner che raccolgono dati personali, identificatori tecnici compresi, è quella del consenso non ambiguo.

Che cosa significa avere il “consenso non ambiguo dell’individuo”? Come si applica alla raccolta di identificatori online come i cookie?

Prima di tutto dobbiamo distinguere tra consenso non ambiguo e consenso esplicito. Il consenso esplicito significa che l’utente deve esprimere in modo chiaro la propria autorizzazione. Ciò si applica a dati personali sensibili, quali razza, religione, orientamento sessuale, affiliazione politica e stato di salute . È anche importante notare che gli identificatori online (ad es. i cookie) da soli, vengono considerati dati personali non sensibili, per cui non è necessario esprimere un consenso esplicito.

Prevediamo che le regole sul consenso non ambiguo si baseranno su direttive esistenti delle autorità locali preposte alla tutela dei dati (Data Protection Authorities, DPA). Per esempio, le DPA spagnole[1], tra le più protettive d’Europa, hanno pubblicato recentemente le linee guida sul GDPR e hanno affermato che il consenso può essere non ambiguo quando viene dedotto dall’azione dell’utente – e il caso specifico utilizzato dalle DPA è quello di un utente che continua a navigare in un sito Web che utilizza i cookie per monitorarne la navigazione.

I clienti e gli editori partner di Criteo non elaborano dati sensibili ma lavorano piuttosto su dati relativi alla navigazione web, alle intenzioni di acquisto e alla cronologia degli acquisti collegati a identificatori tecnici pseudonimi.

(Per saperne di più sul tipo di dati che Criteo raccoglie e su come il GDPR influenza i nostri metodi, fai clic qui.)

Le condizioni richieste dal GDPR per un consenso valido e non ambiguo sono molto simili, se non identiche, alle condizioni già specificate in passato dal Gruppo di lavoro dell’Articolo 29 [2]:

  • Informazioni specifiche: “Per essere valido, il consenso deve essere specifico e basarsi su informazioni appropriate fornite all’individuo. In altre parole, il consenso generale senza specificare lo scopo esatto del trattamento dei dati non è accettabile.”
  • Tempistiche: “Come regola generale, il consenso deve essere dato prima dell’inizio del trattamento dei dati.”
  • Scelta attiva: “Il consenso deve essere non ambiguo. Perciò, la procedura di chiedere e dare il consenso non deve lasciare nessun dubbio riguardo alle intenzioni del soggetto. In linea di principio, non esistono limiti alla forma che il consenso può assumere. Tuttavia, perché il consenso sia valido, i desideri dell’utente devono essere indicati in modo attivo. L’espressione minima di un’indicazione potrebbe essere qualsiasi tipo di segnale abbastanza chiaro da essere in grado di indicare i desideri del soggetto titolare dei dati e da essere compreso dal titolare del trattamento.”
  • Dato liberamente: “Il consenso può essere valido solo se il soggetto titolare dei dati è in grado di esercitare una vera scelta e non c’è il rischio di inganno, coercizione o significative conseguenze negative.”

Come si applica “l’interesse legittimo del titolare del trattamento”?

Perché l’interesse sia legittimo, lo scopo del trattamento dei dati deve essere ragionevolmente previsto dagli utenti. L’elaborazione di dati personali per scopi di marketing diretto può essere considerata un interesse legittimo e come tale eseguita. Tuttavia, questo interesse legittimo non può prevalere sui diritti fondamentali della privacy degli utenti ed è necessario implementare misure di sicurezza appropriate per limitare i potenziali rischi per la privacy degli utenti. Le norme basilari da soddisfare prima di cercare di rivendicare un interesse legittimo sono:

  • Una spiegazione di quali dati vengono raccolti, lo scopo specifico di tale raccolta oltre che il modo in cui influisce sull’esperienza di navigazione online.
    • Ad esempio: ”Il nostro [sito Web] / la nostra [app] utilizza cookie/ID pubblicitari a fini pubblicitari. Questo ci consente di mostrare i nostri annunci ai visitatori che sono interessati ai nostri prodotti anche su siti Web e app di partner. Le tecnologie di retargeting utilizzano i vostri cookie o ID pubblicitari e mostrano gli annunci in base al vostro comportamento di navigazione. Per approfondire e/o opporsi tali servizi, vi preghiamo di fare riferimento all’informativa sulla privacy elencata qui di seguito.”
  • Un modo per gli utenti di controllare la propria esperienza, che includa un’opzione di rinuncia di facile accesso e utilizzo, e una chiara spiegazione di come ciò influirà sull’esperienza pubblicitaria di chi naviga.
  • Facile accesso a un’informativa sulla privacy, oltre che a informazioni su qualsiasi standard o impegno del settore sulla privacy adottato dalla vostra azienda.

Quali sono gli standard per stabilire un interesse legittimo?

Alcune domande chiave a cui ogni azienda deve essere in grado di rispondere per stabilire se esiste un interesse legittimo:

  • Qual è lo scopo dell’operazione?
  • È necessario soddisfare uno o più obiettivi organizzativi specifici?
  • Il GDPR o altre normative nazionali identificano specificamente l’attività di trattamento come legittima, soggetta al completamento di un test di bilanciamento e a un risultato positivo?
  • Esiste un altro modo di raggiungere l’obiettivo?
  • L’individuo si aspetta che si verifichi l’attività di elaborazione?
  • Qual è la natura dei dati da elaborare?
  • Questo tipo di dati ha speciali tutele da parte del GDPR?
  • Il trattamento dei dati limiterebbe o pregiudicherebbe i diritti dei singoli?
  • La persona riceve un avviso corretto sul trattamento? Se sì, come? È sufficientemente chiaro e preciso riguardo le finalità dell’elaborazione?

Mentre le aziende del marketing digitale aggiornano le proprie pratiche per adeguarsi al GDPR, è importante ricordare che i cittadini UE sono consapevoli della pubblicità mirata, conoscono gli identificatori che la guidano e si aspettano di vedere annunci pertinenti. Criteo ha collaborato con IPSOS per condurre un sondaggio sui consumatori allo scopo di comprendere quali sono le aspettative degli utenti UE e quale rapporto hanno con la pubblicità mirata online. Abbiamo intervistato 3.000 utenti Internet, di età compresa tra i 16 e i 65 anni in Francia, Regno Unito e Spagna, ritagliando un campione demografico rappresentativo per quanto riguarda genere, età, regione e livello di reddito. Nello specifico, abbiamo scoperto che:

  • Il 90% di utenti Internet è consapevole del retargeting comportamentale
  • Il 68% è consapevole del fatto che i cookie consentono la pubblicità mirata
  • Il 75% si aspetta di ricevere annunci adatti ai propri interessi
  • I 73% preferisce vedere annunci pertinenti piuttosto che spendere di più per evitare di vedere gli annunci.

Ci impegniamo a seguire strettamente le linee guida e i consigli pubblicati dalle DPA locali nell’attesa che entri in vigore il GDPR. Fino a quel momento, scopri quello che Criteo sta facendo per adeguarsi al GDPR e quello che devi sapere sulle due categorie di dati personali nel GDPR.

[1] Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

[2] Article 29 Working Party – 2013 Guidance on obtaining consent for cookies: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf