L’EDPB ha adottato Linee-guida sul targeting degli utenti dei social media aperte per consultazione pubblica. Le linee-guida mirano così a fornire orientamenti pratici alle parti interessate da detto trattamento.
L’obiettivo principale delle linee-guida dichiarato dall’EDPB è infatti quello di chiarire i ruoli e responsabilità dei social media in relazione ai dati delle persone interessate.
A tal proposito, vengono delineati, i potenziali rischi per i diritti e le libertà individuali di quest’ultime.
Cosa succede con la nascita dei social media?
Lo sviluppo delle tecnologie digitali degli ultimi anni ha portato all’ascesa dei social media, spazi virtuali in cui le persone conferiscono sempre più dati personali creando dei veri e propri profili di sé stessi.
I business model di molti social media si basano sulla valorizzazione dei dati personali derivanti dai servizi di targeting. Attraverso questi sistemi i social media possono indirizzare specifici messaggi agli utenti sia di natura commerciale, sia di natura politica o di altri interessi. Tanto maggiore è il grado di targeting tanto maggiore sarà il valore del riscontro dei messaggi veicolati (conversion rate).
I meccanismi di “targettizzazione” dei social media diventano quindi sempre più evoluti e presenti nella vita quotidiana delle persone. Questi sistemi hanno infatti acquisito l’abilità di targettizzare l’utente sulla base di criteri sempre più ampi e interconnessi.
Talvolta i dati non sono stati nemmeno conferiti direttamente dall’utente ma sono stati osservati o dedotti (dati inferiti) da altri social media o da terze parti per poi essere aggregati creando un profilo ancor più dettagliato dell’utente rispetto a quello di partenza.
È facilmente immaginabile come la combinazione e l’analisi di dati, di potenziale natura anche “sensibile”, provenienti da diverse fonti, può creare rischi per i diritti e le libertà individuali.
Le Linee guida auspicano ad aiutare l’operatore a definire e inquadrare gli attori di questo nuovo contesto e in particolare gli utenti, i social media e i targeters, ovvero coloro che utilizzano i social per veicolare messaggi a determinate categorie d’utenti.
A tal proposito viene anche richiamata la giurisprudenza della Corte di Giustizia in Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) and Fashion ID (C-40/17) e ai concetti di contitolarità tra aziende titolari di siti web / amministratori di pagine Facebook e Facebook stessa.
Laddove le operazioni di targeting lascino presagire un alto rischio per l’interessato, l’EDPB suggerisce infine di condurre una DPIA fortemente consigliata per tutti i titolari / contitolari del trattamento coinvolti nel processo.
Tale DPIA dovrà indicare le misure di mitigazione del rischio e qualora tale rischio non possa essere attenuato dovrà essere chiesta una consultazione preventiva all’Autorità Privacy competente.