01net

GDPR, cookie e interesse legittimo: come comportarsi

Il regolamento generale sulla protezione dei dati GDPR entra in vigore a maggio del 2018 e uno dei punti di maggiore discussione per il settore del marketing digitale è che gli identificatori tecnici come i cookie e gli ID della pubblicità mobile vengono ora considerati dati personali.

Anche se a molte aziende con sede negli USA può sembrare uno sviluppo inatteso, in molti Paesi dell’UE come la Francia questo era già la norma.

La sola differenza è che, ora, tutti gli stati membri dell’UE devono trattare i cookie e gli altri identificatori tecnici come dati personali.

Con Alberto Torre, Managing Director di Criteo Italia chiariamo alcuni aspetti.

Quali sono le basi legali del GDPR e come si applicano?

Se si raccolgono dati personali di qualsiasi genere, la raccolta deve avere basi legali. Per questo il GDPR identifica sei basi legali per la raccolta e il trattamento dei dati in Europa:

  1. L’interesse vitale dell’individuo
  2. L’interesse pubblico
  3. L’esigenza contrattuale
  4. La conformità a obblighi legali
  5. Il consenso non ambiguo dell’individuo
  6. L’interesse legittimo del controllore dei dati

È importante notare che tutte queste basi giuridiche hanno lo stesso valore legale, il che significa che sono autonome ed esclusive, l’una rispetto all’altra. Per le attività dei settori del marketing o del marketing digitale o per chi raccoglie dati a scopo di marketing, le due basi legali che potrebbero applicarsi sono il consenso non ambiguo dell’individuo e l’interesse legittimo del controllore dei dati.

Quale di queste basi consentirebbe a un’azienda di raccogliere dati personali sotto forma di identificatori tecnici, come cookie e ID mobile?

La base che si applica maggiormente a chi raccoglie dati personali, identificatori tecnici compresi, è quella del consenso non ambiguo, che si differenzia dal consenso esplicito.

Il consenso esplicito significa che l’utente deve esprimere in modo chiaro la propria autorizzazione. Ciò si applica a dati personali sensibili, quali religione, orientamento sessuale, affiliazione politica e stato di salute. È anche importante notare che gli identificatori online (ad es. i cookie) da soli, vengono considerati dati personali non sensibili, per cui non è necessario esprimere un consenso esplicito.

Prevediamo che le regole sul consenso non ambiguo si baseranno su direttive esistenti delle autorità locali preposte alla tutela dei dati (Data Protection Authorities, DPA). Per esempio, le DPA iberiche, tra le più protettive d’Europa, hanno pubblicato recentemente le linee guida sul GDPR e hanno affermato che il consenso può essere non ambiguo quando viene dedotto dall’azione dell’utente, e il caso specifico utilizzato dalle DPA è quello di un utente che continua a navigare in un sito Web che utilizza i cookie per monitorarne la navigazione.

Le condizioni richieste dal GDPR per un consenso valido e non ambiguo sono molto simili, se non identiche, alle condizioni già specificate in passato dal Gruppo di lavoro dell’Articolo 29:

Come si applica l’interesse legittimo del controllore dei dati?

Perché l’interesse sia legittimo, lo scopo del trattamento dei dati deve essere ragionevolmente previsto dagli utenti. L’elaborazione di dati personali per scopi di marketing diretto può essere considerata un interesse legittimo e come tale eseguita. Tuttavia, questo interesse legittimo non può prevalere sui diritti fondamentali della privacy degli utenti ed è necessario implementare misure di sicurezza appropriate per limitare i potenziali rischi per la privacy degli utenti. Le norme basilari da soddisfare prima di cercare di rivendicare un interesse legittimo sono:

Quali sono gli standard per stabilire un interesse legittimo?

Alcune domande chiave a cui ogni azienda deve essere in grado di rispondere per stabilire se esiste un interesse legittimo:

Mentre le aziende del marketing digitale aggiornano le proprie pratiche per adeguarsi al GDPR, è importante ricordare che i cittadini UE sono consapevoli della pubblicità mirata, conoscono gli identificatori che la guidano e si aspettano di vedere annunci pertinenti.

L’indagine di Ipsos sui consumatori

A margine riportiamo che Criteo ha collaborato con Ipsos per condurre un sondaggio sui consumatori allo scopo di comprendere quali sono le aspettative degli utenti UE e quale rapporto hanno con la pubblicità mirata online.

Sono stati intervistati 3.000 utenti Internet, di età compresa tra i 16 e i 65 anni in Francia, Regno Unito e Spagna, ritagliando un campione demografico rappresentativo per quanto riguarda genere, età, regione e livello di reddito.

Nello specifico, Criteo ha scoperto che: