L’importanza di configurare correttamente i cookie: sanzionata una banca per 1,3 milioni di euro

Una banca svedese è stata sanzionata per non aver configurato correttamente il Pixel di monitoraggio di Facebook/Meta, utilizzato sul proprio sito web per ottimizzare l’attività di marketing. Per molte organizzazioni il Pixel di Meta rappresenta uno strumento di business imprescindibile. Affinché possa essere utilizzato in conformità alle norme privacy applicabili, tuttavia, è fondamentale che vengano rispettati alcuni passaggi e che vengano impostate correttamente le funzioni di “Automatic Advanced Matching (AAM)” e l’“Automatic Events”. Di cosa si tratta?

Il marketing mirato sui siti web

ll marketing mirato rappresenta una delle principali strategie pubblicitarie sul web. Attraverso specifici strumenti è possibile raccogliere informazioni sulle abitudini di navigazione, sulle preferenze e sulle scelte di consumo, in modo da aumentare l’efficacia delle campagne pubblicitarie e migliorare le probabilità che le conversioni si realizzino (l’acquisto di un prodotto, l’iscrizione alla newsletter, etc.). La maggior parte delle tecniche di tracciamento svolte a tal fine si basa sull’utilizzo di cookie, “stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo” (definizione tratta dalle Linee guida cookie e altri strumenti di tracciamento del Garante).

Google e cookie di terze parti

All’inizio del 2020 Google aveva annunciato che avrebbe gradualmente eliminato i cookie di terze parti, i più problematici – lato privacy – in quanto in grado di monitorare le azioni degli individui e condividere le informazioni raccolte con terze parti. Di recente, però, l’azienda di Mountain view ha deciso di fare un passo indietro e ha annunciato, sul proprio blog, la scelta di seguire una strategia diversa, attualmente in fase di discussione con le Autorità di regolamentazione.

La decisione di Google, seppur inaspettata, non stupisce particolarmente, soprattutto se pensiamo che la bozza del Regolamento sulla ePrivacy (“ePrivacy Regulation”), normativa che avrebbe dovuto rinnovare la Direttiva 2002/58/CE sulle comunicazioni elettroniche, è stata oggetto di un interminabile negoziato, partito nel gennaio 2017 con la prima proposta della Commissione UE e, di fatto, mai concluso. Gli interessi in campo, sono forti e divergenti. Molte grandi piattaforme offrono servizi di pubblicità mirata attraverso l’uso di cookie di terze parti, fra cui Meta.

Il pixel di Meta

Il Pixel di Meta è un frammento di codice JavaScript che i proprietari di siti web inseriscono nelle loro pagine per tracciare azioni specifiche effettuate dagli utenti (le visualizzazioni di pagine, gli acquisti, i prodotti aggiunti al carrello di uno store online, etc.). I dati raccolti tramite il Pixel sono utilizzati principalmente per:

misurare l'efficacia delle campagne pubblicitarie su Facebook e Instagram;
ottimizzare gli annunci in base al comportamento degli utenti (ad es. mostrare annunci a persone che hanno mostrato interesse per un determinato prodotto);
incoraggiare gli utenti a completare determinate azioni (ad es. l’acquisto di un prodotto nella wishlist o nel carrello) tramite strategie di retargeting e di miglioramento delle conversioni.

Per performare in modo ottimale, il Pixel utilizza i cookie per raccogliere ulteriori informazioni memorizzate nel terminale degli utenti (come l'ID di Facebook o Instagram di utenti loggati, che permette a Meta di collegare l'attività sul sito con i rispettivi profili social) e può utilizzare anche cookie di terze parti per tracciare l'utente su più siti e per offrire pubblicità mirata in base alle azioni svolte. Il Pixel di Meta e i cookie lavorano insieme per monitorare il comportamento degli utenti e migliorare i risultati delle campagne pubblicitarie.

L'Automatic Advanced Matching (AAM) e l’Automatic Events (AH)

In questo processo l’Automatic Advanced Matching (AAM) e l’Automatic Events (AH) costituiscono due funzioni aggiuntive/avanzate del Pixel di Meta, utili a migliorare la qualità e la quantità dei dati raccolti sul comportamento degli utenti.

L'AAM aiuta a identificare e tracciare gli utenti che visitano un determinato sito web con maggiore precisione, anche se non sono loggati ai propri account Facebook o Instagram. In pratica, quando un utente interagisce con un sito web, ad esempio compilando un modulo o effettuando un acquisto, l'Automatic Advanced Matching raccoglie informazioni personali (quali nome, indirizzo email, numero di telefono, informazioni di genere, data di nascita, etc.) e le trasmette a Meta. A questo punto Meta confronta tali informazioni con il database degli utenti registrati su Facebook e Instagram e, se trova una corrispondenza, può collegare l'attività del singolo utente che ha visitato un sito web con il relativo account social, anche se l'utente non ha effettuato l'accesso durante quella visita.
La funzione eventi automatici (AH), invece, semplifica il tracciamento delle interazioni degli utenti con i contenuti del sito web, senza la necessità di una configurazione manuale dettagliata. Una volta attivata questa funzione, l’AH rileva automaticamente determinati eventi come visite a pagine, clic su pulsanti, avvio di processi (aggiunta al carrello di articoli, checkout e avvio dell’acquisto, transazione, etc.) e altre interazioni degli utenti. Anche in questo caso, la funzionalità implica l’invio dei dati raccolti a Meta.

Pro e contro delle funzioni aggiuntive del Pixel di Meta

Per il gestore di un determinato sito web, l’attivazione delle funzioni di AAM e AH risulta vantaggiosa sotto diversi punti di vista:

l'AAM aiuta a identificare utenti che potrebbero non essere tracciati dai cookie standard o che utilizzano diversi dispositivi o browser. Consente, quindi, di seguire il comportamento degli utenti su più canali;
le azioni svolte dagli utenti vengono sempre collegate ai rispettivi profili social, fornendo una visione più ampia e completa del customer journey;
anche da un punto di vista qualitativo, i dati raccolti sono più precisi;
il risultato derivante dall’ottenimento di dati più completi e precisi è un miglioramento del retargeting e del numero delle conversioni.

I vantaggi derivanti dal ricorso all'Automatic Advanced Matching (AAM) e all’Automatic Events (AH), quindi, sono molteplici. Entrambe le funzioni, tuttavia, sono accomunate dal fatto che i dati raccolti vengono trasmessi a Meta. I contro, pertanto, riguardano la necessità di assicurarsi che la trasmissione avvenga rispettando le condizioni di cui agli articoli 44 e seguenti del GDPR, con garanzia dell’implementazione di misure di sicurezza adeguate (quali la cifratura dei dati). Proprio questi profili sono stati oggetto della sanzione comminata dall'Agenzia svedese per la protezione dei dati ad una banca.

Il provvedimento dell’Autorità svedese

Il provvedimento dell’Autorità di controllo svedese (“IMY”) prende le mosse dalla segnalazione di un data breach e riguarda la mancata adozione di misure tecniche e organizzative adeguate nell'uso dello strumento Pixel di Meta. Mediante l’attivazione delle funzioni aggiuntive di Automatic Advanced Matching (AAM) e Automatic Events (AH), la banca Avanza Bank AB aveva trasmesso a Meta dati dei clienti e utenti, nel periodo compreso fra il 15 novembre 2019 e il 2 giugno 2021.

In particolare, attraverso la funzione di Automatic Advanced Matching del Pixel di Meta, al ricorrere di determinate condizioni, i dati degli utenti venivano trasferiti a Meta. Oggetto del trasferimento erano informazioni quali: numero di identificazione personale, dati di contatto (numero di telefono, indirizzo e-mail, codice postale), importo del prestito esistente, nome del datore di lavoro, tipo di impiego e numero di conto corrente bancario. Sebbene i dati trasmessi fossero cifrati, la funzione AAM consentiva a Meta di abbinare i dati protetti a dati in chiaro, relativi al comportamento dei visitatori sul sito, in modo da ottenere un profilo personale dettagliato.

Anche mediante la funzione eventi automatici (AH) la banca aveva inviato dati a Meta. Come abbiamo visto, infatti, AH raccoglie dati quali i click dei pulsanti su un sito, la compilazione dei moduli, gli elementi visualizzati, etc.. Grazie all’analisi di queste informazioni, Meta è in grado di abbinare l’azione dell’utente alla volontà della persona. Inoltre, attraverso AH la banca trasferiva all’azienda di Menlo Park ulteriori dati personali non protetti da pseudonimizzazione o cifratura, quali: possesso e valore dei titoli, l'importo disponibile per l'acquisto, il prelievo e la performance, informazioni sugli importi dei prestiti, numero di conto e limite di credito, commissioni, tasse e tassi di interesse correnti, ordini in corso e operazioni del giorno, firmatario e banca da cui viene trasferita la pensione, indirizzo e-mail e numero di previdenza sociale.

La difesa della banca e la sanzione

A detta della banca, l’attivazione delle funzioni aggiuntive del Pixel di Meta è stata effettuata erroneamente. L’ufficio legale di Avanza Bank, infatti, aveva negato all’ufficio marketing l’utilizzo dell’AAM e di AH, in considerazione dell’illiceità del trasferimento nel contesto di operazioni bancarie.

Avanza Bank, tuttavia, non è stata in grado di verificare il rispetto delle indicazioni fornite dall’ufficio legale. Quando la banca è venuta a conoscenza dell'incidente, ovvero a più di due anni dall’attivazione delle funzioni, il Pixel Meta è stato disattivato. La banca ha anche provveduto a rivedere le proprie procedure interne, al fine di garantire un trattamento corretto e sicuro dei dati personali.

Nonostante le azioni intraprese dalla banca, al termine delle indagini condotte l’Autorità di controllo svedese per la protezione dei dati ha sanzionato Avanza Bank per un importo pari a 1,3 milioni di euro.

Misure tecniche ed organizzative per la conformità

Gli strumenti di marketing mirato, forniti da piattaforme quali Meta, rappresentano una risorsa essenziale per le aziende e dovrebbero continuare ad essere sfruttati. Utilizzi impropri e non conformi alle norme in materia di protezione dei dati personali, tuttavia, possono portare a sanzioni milionarie. Nel caso analizzato, due fattori hanno condotto al provvedimento sanzionatorio nei confronti della banca:

la mancata adozione di misure di sicurezza tecniche, in grado di evitare il trasferimento di dati in chiaro, mediante la corretta configurazione dei cookie installati e delle funzioni di strumenti quali il Pixel di Meta;
la mancata adozione di misure di sicurezza organizzative, quali la formazione del personale dell’ufficio marketing e l’implementazione di procedure interne a garanzia del rispetto del GDPR e dei diritti e delle libertà delle persone fisiche.

Iscriviti alla newsletter di ASSO DPO per restare informato sulle più importanti decisioni delle Autorità in materia di data protection.

Altre news

Italia: Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138, per il Recepimento della Direttiva UE sulla Cibersicurezza

Il 1 ottobre 2024, con la pubblicazione nella Gazzetta Ufficiale Serie Generale n. 230, è entrato ufficialmente in vigore il Decreto Legislativo 4 [...]