È possibile utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso?
Pare proprio di no.
E il Garante della privacy, con un provvedimento d'urgenza, lo ha ricordato al social network Tik Tok, che aveva annunciato di procedere al trattamento dei dati dei propri utenti non più in base al loro consenso, ma invocando i legittimi interessi della società.
Mister Lex chiede lumi sulla vicenda al Prof. MIchele Iaselli.
** * **
Il Garante per la protezione dei dati personali, con il provvedimento d’urgenza n. 248 del 7 luglio 2022, ha avvertito la piattaforma social TikTok che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.
Nelle scorse settimane il social network aveva informato i propri utenti che, a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità “personalizzata”, basata cioè sulla profilazione dei comportamenti tenuti nella navigazione su TikTok. E aveva modificato la sua privacy policy prevedendo come base giuridica per il trattamento dei dati non più il consenso degli interessati, ma non meglio precisati “legittimi interessi” di TikTok e dei suoi partner.
Sulla base degli elementi forniti dalla Società, l’Autorità ha concluso che tale mutamento della base giuridica risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy” , e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), norme che prevedono espressamente come base giuridica “per l'archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.
Oltre alla base giuridica inadeguata, il Garante ha messo in luce un aspetto che desta particolare preoccupazione e che riguarda la tutela dei minori iscritti alla piattaforma. Le attuali difficoltà mostrate da TikTok nell’accertare l’età minima per l’accesso alla piattaforma - ha osservato l’Autorità - non consentono infatti di escludere il rischio che la pubblicità “personalizzata” basata sul legittimo interesse raggiunga i giovanissimi, con contenuti non appropriati.
A seguito dell’avvertimento del Garante Privacy, TikTok ha sospeso il passaggio al legittimo interesse come base giuridica per la pubblicità “personalizzata” per le persone maggiori di 18 anni, cioè fondata sulla profilazione dei comportamenti tenuti nella navigazione sulla piattaforma.
E’ evidente, quindi, come una campagna di marketing vada condotta nel rispetto dei principi generali di cui all’art. 5 del Regolamento, con adeguata informativa e consenso realmente consapevole.
Proprio in tale ottica bisogna considerare che il GDPR ha introdotto il concetto di “legittimo interesse” del titolare quale base giuridica su cui valutare la liceità delle operazioni di trattamento di dati personali.
Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati oltre che nelle ipotesi già previste dal Codice per la protezione dei dati personali (d.l.vo n. 196/2003) anche qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f).
Il perseguimento di un legittimo interesse si pone come base giuridica alternativa alle altre previste nell’art. 6 del GDPR.
Il titolare che abbia un legittimo interesse può procedere al trattamento anche in assenza del consenso da parte dell’interessato, di un rapporto contrattuale (o di misure precontrattuali), di obblighi legali, di esigenze di salvaguardia di interessi vitali dell’interessato o di altra persona fisica, di esercizio di poteri pubblici.
Nel Considerando 47 il GDPR elenca anche alcuni esempi di legittimo interesse, tra cui il rapporto tra cliente/fornitore o tra datore di lavoro e dipendente, situazioni in cui è evidente che l’interessato non può non aspettarsi che venga effettuato il trattamento dei propri dati personali proprio per la necessità di perseguire legittimi interessi. Il considerando in esame espressamente prevede anche che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Questo aspetto ha fatto nascere infondate considerazioni da parte dei titolari del trattamento sulla possibilità di condurre lecitamente una campagna di marketing fondandosi sul “legittimo interesse”.
Difatti, secondo una corretta interpretazione la frase contenuta nel considerando 47 sta ingenerando non poca confusione tra gli operatori del settore e da più parti si leggono commenti secondo cui non sarebbe più necessario acquisire il consenso degli interessati per attività di marketing diretto, in quanto, appunto, il legittimo interesse del titolare costituirebbe oramai la base giuridica per lo svolgimento di tale attività.
In realtà deve da subito precisarsi che detta interpretazione non può essere considerata corretta e ciò almeno fino a quando resterà in vigore la direttiva 2002/58/CE (cd. direttiva e-Privacy) che disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche.
La semplice menzione, da parte del considerando 47 delle finalità di marketing diretto quale attività che può essere considerata legittimo interesse del titolare, quindi ipoteticamente idonea a far venir meno la necessità di acquisire il consenso dell’interessato, deve essere letta sia alla luce di quanto chiarito nel medesimo considerando sia tenendo in considerazione il rapporto tra il GDPR e la direttiva sopra menzionata.
L’art. 95 del Regolamento, infatti, prevede che il GDPR “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE“.
Il rapporto tra le due norme di rango comunitario è preso in considerazione anche dal considerando n. 173, che, nel chiarire appunto la “neutralità” del GDPR rispetto agli obblighi specifici previsti dalla direttiva e-Privacy, espressamente dichiara la necessità di riesaminare la disciplina dettata da tale direttiva per assicurarne la coerenza con il GDPR, riesame che in realtà è già in atto avendo presentato la Commissione Europea, nel gennaio 2017, una proposta di regolamentazione specifica della materia (cd. Regolamento e-Privacy).
Si ricorda, inoltre, che il ricorso a processi decisionali automatizzati, compresa la profilazione automatizzata, si sta vieppiù diffondendo in diversi settori, sia privati che pubblici, perché il progresso tecnologico ha reso questi trattamenti maggiormente efficienti ed economici.
A riguardo, tuttavia, il GDPR ravvisa possibili rischi significativi per i diritti e le libertà degli individui riconnessi a:
- la tendenziale opacità dei processi e meccanismi automatizzati che porta spesso l’individuo, oggetto di profilazione, a non esserne a conoscenza;
- la creazione , da parte del titolare, di dati nuovi, aggiuntivi rispetto agli originali che potrebbero “inscatolare” l’interessato in una categoria a cui non si riconosce condizionando così le sue scelte e, in alcuni casi, portando anche a forme di discriminazione.
Pertanto, il GDPR, per correggere questo dislivello informativo tra titolare e interessato ed evitare pregiudizi alla sfera giuridica di quest’ultimo, individua una serie di requisiti su cui concentrarsi per rendere questi trattamenti automatizzati conformi alla normativa:
- specifiche prescrizioni in tema di trasparenza e correttezza;
- maggiori obblighi di accountability;
- basi giuridiche specifiche per la legittimazione del trattamento;
- garanzie per gli individui in tema di diritto di opposizione alla profilazione e, in particolare, alla profilazione per finalità di marketing;
- esecuzione di una valutazione d’impatto sulla protezione dei dati laddove non siano soddisfatte certe condizioni.
Mediante la profilazione, infatti:
- si raccolgono informazioni su un individuo (o gruppo di individui);
- si analizzano le sue caratteristiche o modelli di comportamento;
- si inserisce il profilo individuale in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un’attività, i suoi interessi o comportamento probabile.
Il processo decisionale automatizzato induce a prendere decisioni solo attraverso mezzi tecnologici, (ossia senza il coinvolgimento umano) e può basarsi su dati forniti direttamente dall’interessato (ad es. tramite form o un questionario), oppure su dati ricavati da programmi traccianti (ad es. la geolocalizzazione individuale fornita da un app) o dati derivanti da profili precedentemente creati (ad es. l’affidabilità finanziaria in ambito creditizio).
La decisione automatizzata e la profilazione a volte sono separate, altre volte no: infatti può succedere che una decisione automatizzata venga presa senza aver creato un profilo dell’individuo e, al contrario, una decisione automatizzata possa trasformarsi in profilazione a seconda del modo in cui i dati vengono utilizzati.
Le linee guida dei Garanti europei del 3 ottobre 2017, a questo proposito, riportano un esempio per chiarire i due concetti: una multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere è una decisione automatizzata che non coinvolge profili.
Si tratterebbe invece di profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori quali le abitudini di guida, altre violazioni al codice della strada, ecc.
L’art. 22, par. 1 stabilisce che: “l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Per il Gruppo dei Garanti, pertanto, l’art. 22, par. 1 istituisce un divieto per quel processo decisionale individuale completamente automatizzato, compresa la profilazione, che abbia un effetto legale o analogo sull’interessato.
Per “decisione basata unicamente sul trattamento automatizzato” si deve intendere una decisione presa senza il coinvolgimento di un essere umano che possa influenzare ed eventualmente cambiare il risultato attraverso la sua autorità o competenza.
Perché sia riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato è necessario che tale decisione “produca effetti giuridici o incida in modo analogo significativamente sulla sua persona”.
Il riferimento agli “effetti giuridici” concerne, ovviamente, l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo (ad es. penalizzando il diritto di associazione, di voto, di libertà negoziale, di libera circolazione eccetera). Oltre a questo la norma apre anche alle circostanze che “in modo analogo” possono potenzialmente e significativamente influenzare i comportamenti e le scelte degli individui interessati.
Il Considerando 71 del GDPR cita, come esempi di decisioni automatizzate che possono incidere sui diritti e le libertà degli individui in maniera rilevante, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.
Anche la pubblicità online che, solitamente non ha un effetto significativo sugli individui, può a secondo delle particolarità dei casi (cioè in base all’intrusione del processo di profilazione, alle aspettative degli interessati, al modo in cui viene pubblicato l’annuncio, ad aspetti emotivi e psicologici dell’interessato) creare un impatto negativo su alcuni gruppi sociali come gruppi di minoranza o adulti vulnerabili (si porta l’esempio del soggetto con difficoltà economiche che riceve regolarmente pubblicità per il gioco d’azzardo online e può essere così invogliato ad iscriversi per giocare, peggiorando ulteriormente la sua situazione patrimoniale).
L’art. 22 al par. 2 prevede tre eccezioni al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo:
- quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- quando la decisione si basa sul consenso esplicito dell’interessato.
In riferimento al primo punto, i Garanti europei chiariscono che la necessità di utilizzare decisioni automatizzate per l’esecuzione o conclusione di un contratto deve essere interpretata in modo restrittivo ciò significa che il titolare deve essere in grado di dimostrare che la profilazione è necessaria e non sono disponibili mezzi alternativi meno invasivi.
In riferimento al secondo punto, la legislazione degli Stati membri può, in casi specifici, autorizzare il ricorso ad un processo di decisione automatizzata per il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale o per garantire la sicurezza e l’affidabilità di un servizio fornito dal titolare.
Infine, per quanto riguarda la terza deroga, il Regolamento richiede il consenso esplicito dell’interessato ossia confermato da una dichiarazione espressa e non desunto da comportamento concludente.
Inoltre nell’ottica delle preoccupazioni manifestate dalla nostra Autorità il Considerando 71 del GDPR prevede che decisioni automatizzate, compresa la profilazione, non debbano applicarsi ai bambini, mentre l’art. 22 del Regolamento non fa distinzione se il trattamento riguarda adulti o bambini.
Secondo il Gruppo dei Garanti europei il divieto del considerando 71 non deve rappresentare un divieto assoluto e chiarisce che ci possono essere alcune circostanze in cui è necessario per i titolari effettuare trattamenti automatizzati con effetti giuridici nei confronti di bambini come, ad esempio, per proteggere il loro benessere. In tali casi il trattamento potrà essere effettuato nel rispetto dell’art. 22 e adottando adeguate garanzie per proteggere i diritti e le libertà dei bambini.
Le organizzazioni dovrebbero, invece, astenersi dal profilare i bambini a fini di marketing in quanto la loro età e maturità possono impedire loro di comprendere consapevolmente i rischi e le conseguenze di questo tipo di trattamento.
Infine, a conferma del provvedimento del nostro garante si può citare anche la Risoluzione del parlamento europeo del 25 marzo 2021.
L’organo comunitario rileva nella propria Risoluzione quella cattiva prassi di molte informative che citano in modo improprio come base giuridica del trattamento il “legittimo interesse” senza aver effettuato il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali. Le osservazioni del Parlamento UE sono particolarmente significative, poiché sottolineano come il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento giuridico, mentre sta accadendo che alcuni Stati membri adottano specifiche legislazioni nazionali per determinare le condizioni per il trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei rispettivi interessi del titolare del trattamento e delle persone interessate. L’aspetto rilevante è che, in tal caso, la preoccupazione del Parlamento UE riguardi una posizione restrittiva degli Stati membri nei confronti dello stesso legittimo interesse ed una conseguente possibile violazione del considerando 47 che però contiene quell’infelice espressione: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, che, purtroppo, ha dato luogo a diversi equivoci in materia.