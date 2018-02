Il regolamento generale sulla protezione dei dati GDPR entra in vigore a maggio del 2018 e uno dei punti di maggiore discussione per il settore del marketing digitale è che gli identificatori tecnici come i cookie e gli ID della pubblicità mobile vengono ora considerati dati personali.

Anche se a molte aziende con sede negli USA può sembrare uno sviluppo inatteso, in molti Paesi dell’UE come la Francia questo era già la norma.

La sola differenza è che, ora, tutti gli stati membri dell’UE devono trattare i cookie e gli altri identificatori tecnici come dati personali.

Con Alberto Torre, Managing Director di Criteo Italia chiariamo alcuni aspetti.

Quali sono le basi legali del GDPR e come si applicano?

Se si raccolgono dati personali di qualsiasi genere, la raccolta deve avere basi legali. Per questo il GDPR identifica sei basi legali per la raccolta e il trattamento dei dati in Europa:

L’interesse vitale dell’individuo L’interesse pubblico L’esigenza contrattuale La conformità a obblighi legali Il consenso non ambiguo dell’individuo L’interesse legittimo del controllore dei dati

È importante notare che tutte queste basi giuridiche hanno lo stesso valore legale, il che significa che sono autonome ed esclusive, l’una rispetto all’altra. Per le attività dei settori del marketing o del marketing digitale o per chi raccoglie dati a scopo di marketing, le due basi legali che potrebbero applicarsi sono il consenso non ambiguo dell’individuo e l’interesse legittimo del controllore dei dati.

Quale di queste basi consentirebbe a un’azienda di raccogliere dati personali sotto forma di identificatori tecnici, come cookie e ID mobile?

La base che si applica maggiormente a chi raccoglie dati personali, identificatori tecnici compresi, è quella del consenso non ambiguo, che si differenzia dal consenso esplicito.

Il consenso esplicito significa che l’utente deve esprimere in modo chiaro la propria autorizzazione. Ciò si applica a dati personali sensibili, quali religione, orientamento sessuale, affiliazione politica e stato di salute. È anche importante notare che gli identificatori online (ad es. i cookie) da soli, vengono considerati dati personali non sensibili, per cui non è necessario esprimere un consenso esplicito.

Prevediamo che le regole sul consenso non ambiguo si baseranno su direttive esistenti delle autorità locali preposte alla tutela dei dati (Data Protection Authorities, DPA). Per esempio, le DPA iberiche, tra le più protettive d’Europa, hanno pubblicato recentemente le linee guida sul GDPR e hanno affermato che il consenso può essere non ambiguo quando viene dedotto dall’azione dell’utente, e il caso specifico utilizzato dalle DPA è quello di un utente che continua a navigare in un sito Web che utilizza i cookie per monitorarne la navigazione.

Le condizioni richieste dal GDPR per un consenso valido e non ambiguo sono molto simili, se non identiche, alle condizioni già specificate in passato dal Gruppo di lavoro dell’Articolo 29:

Informazioni specifiche: “Per essere valido, il consenso deve essere specifico e basarsi su informazioni appropriate fornite all’individuo. In altre parole, il consenso generale senza specificare lo scopo esatto del trattamento dei dati non è accettabile.”

Tempistiche: “Come regola generale, il consenso deve essere dato prima dell’inizio del trattamento dei dati.”

Scelta attiva: “Il consenso deve essere non ambiguo. Perciò, la procedura di chiedere e dare il consenso non deve lasciare nessun dubbio riguardo alle intenzioni del soggetto. In linea di principio, non esistono limiti alla forma che il consenso può assumere. Tuttavia, perché il consenso sia valido, i desideri dell’utente devono essere indicati in modo attivo. L’espressione minima di un’indicazione potrebbe essere qualsiasi tipo di segnale abbastanza chiaro da essere in grado di indicare i desideri del soggetto titolare dei dati e da essere compreso dal controllore dei dati.”

Dato liberamente: “Il consenso può essere valido solo se il soggetto titolare dei dati è in grado di esercitare una vera scelta e non c’è il rischio di inganno, coercizione o significative conseguenze negative.”

Come si applica l’interesse legittimo del controllore dei dati?

Perché l’interesse sia legittimo, lo scopo del trattamento dei dati deve essere ragionevolmente previsto dagli utenti. L’elaborazione di dati personali per scopi di marketing diretto può essere considerata un interesse legittimo e come tale eseguita. Tuttavia, questo interesse legittimo non può prevalere sui diritti fondamentali della privacy degli utenti ed è necessario implementare misure di sicurezza appropriate per limitare i potenziali rischi per la privacy degli utenti. Le norme basilari da soddisfare prima di cercare di rivendicare un interesse legittimo sono:

Una spiegazione di quali dati vengono raccolti, lo scopo specifico di tale raccolta oltre che il modo in cui influisce sull’esperienza di navigazione online. Ad esempio: ”Il nostro [sito Web] / la nostra [ app ] utilizza cookie/ID pubblicitari a fini pubblicitari. Questo ci consente di mostrare i nostri annunci ai visitatori che sono interessati ai nostri prodotti anche su siti Web e app di partner. Le tecnologie di retargeting utilizzano i vostri cookie o ID pubblicitari e mostrano gli annunci in base al vostro comportamento di navigazione. Per approfondire e/o opporsi tali servizi, vi preghiamo di fare riferimento all’informativa sulla privacy elencata qui di seguito.”



Un modo per gli utenti di controllare la propria esperienza, che includa un’opzione di rinuncia di facile accesso e utilizzo, e una chiara spiegazione di come ciò influirà sull'esperienza pubblicitaria di chi naviga.

Facile accesso a un’informatica sulla privacy, oltre che a informazioni su qualsiasi standard o impegno del settore sulla privacy adottato dalla vostra azienda.

Quali sono gli standard per stabilire un interesse legittimo?

Alcune domande chiave a cui ogni azienda deve essere in grado di rispondere per stabilire se esiste un interesse legittimo:

Qual è lo scopo dell’operazione?

È necessario soddisfare uno o più obiettivi organizzativi specifici?

Il GDPR o altre normative nazionali identificano specificamente l’attività di trattamento come legittima, soggetta al completamento di un test di bilanciamento e a un risultato positivo?

Esiste un altro modo di raggiungere l’obiettivo?

L’individuo si aspetta che si verifichi l’attività di elaborazione?

Qual è la natura dei dati da elaborare? Questo tipo di dati ha speciali tutele da parte del GDPR?

Il trattamento dei dati limiterebbe o pregiudicherebbe i diritti dei singoli?

La persona riceve un avviso corretto sul trattamento? Se sì, come? È sufficientemente chiaro e preciso riguardo le finalità dell’elaborazione?

Mentre le aziende del marketing digitale aggiornano le proprie pratiche per adeguarsi al GDPR, è importante ricordare che i cittadini UE sono consapevoli della pubblicità mirata, conoscono gli identificatori che la guidano e si aspettano di vedere annunci pertinenti.

Criteo ha collaborato con Ipsos per condurre un sondaggio sui consumatori allo scopo di comprendere quali sono le aspettative degli utenti UE e quale rapporto hanno con la pubblicità mirata online.

Abbiamo intervistato 3.000 utenti Internet, di età compresa tra i 16 e i 65 anni in Francia, Regno Unito e Spagna, ritagliando un campione demografico rappresentativo per quanto riguarda genere, età, regione e livello di reddito.

Nello specifico, abbiamo scoperto che:

Il 90% di utenti Internet è consapevole del retargeting comportamentale

comportamentale Il 68% è consapevole del fatto che i cookie consentono la pubblicità mirata

consentono la pubblicità mirata Il 75% si aspetta di ricevere annunci adatti ai propri interessi

adatti ai propri interessi I 73% preferisce vedere annunci pertinenti piuttosto che spendere di più per evitare di vedere gli annunci.