La pubblicità comportamentale (behavioural advertising) è una tecnica basata sul tracciamento (tracking) delle attività online degli utenti (il comportamento), al fine di costruire dei profili degli utenti di Internet con lo scopo di offrire loro pubblicità più rilevante (mirata, tailored) per gli utenti stessi, e quindi più efficace (per cui più redditizia, e costosa).
Secondo il WP29 (predecessore dell'EDPB), in base al GDPR la profilazione è un'operazione automatizzata di trattamento di dati personali che mira a valutare aspetti personali, in particolare per analizzare o fornire previsioni sugli individui, aggiungendo che "valutare" suggerisce che la profilazione implica una qualche forma di valutazione o giudizio su una persona.
La realizzazione dei profili è piuttosto semplice. Grazie ai cookie e a numerosi strumenti di tracciamento online, un'azienda (o un circuito pubblicitario) riesce a "seguire" la navigazione dell'utente e quindi a collegare ad un medesimo numero identificativo una serie di comportamenti. Se l'utente, ad esempio, visita un primo sito, viene depositato sul suo dispositivo (computer desktop, smartphone, ecc...) un cookie o un tracciante (oppure grazie al fingerprinting), che poi sarà letto dai successivi siti che l'utente visita, e che fanno parte del medesimo circuito pubblicitario. Tali siti presentano plugin o tool di tracciamento che sono in grado di leggere i cookie o altri strumenti similari. Quindi collegando tutti i siti navigati e le attività compiute su di essi (click, condivisioni, ecc...) si riesce ad inferire un profilo dell'utente e i suoi interessi (i dati comportamentali). Più dati vengono raccolti (casomai anche attraverso il data onboarding) più il profilo diventa dettagliato, fino a poter addirittura ricavare l'identità fisica dell'utente. L'identificazione fisica generalmente non è un'obiettivo dei circuiti pubblicitari, perchè è indifferente sapere il nome reale di un utente piuttosto che collegarlo ad un semplice identificativo numerico che comunque è in grado di separarlo dal resto degli utenti. Inoltre in tal modo si può anche cercare di giustificare il tracciamento sostendo che non c'è identificazione fisica (nome e cognome) del soggetto tracciato.
Ovviamente alcune piattaforme sono in grado di identificare l'utente in quanto possono incrociare i dati del profilo con ulteriori informazioni provenienti da servizi online appartenenti allo stesso circuito (es. Google, Amazon, Facebook, Apple) nei quali è lo stesso utente a fornire i propri dati identificativi (tramite apertura dell'account). Le aziende giustificano l'uso di questa forma di pubblicità sostenendo che è nell'interesse degli stessi utenti, così possono ricevere pubblicità più efficace e utile.
Programmatic Advertising (RTB)
L'evoluzione della pubblicità comportamentale è la programmatic advertising (AdTech), una forma di pubblicità automatizzata. Un software (un algoritmo) si occupa di gestire il processo di acquisto e vendita degli annunci, offrendo agli inserzionisti la possibilità di incorporare enormi quantità di dati (demografici, psicografici, comportamentali) da più fonti (i siti partner, offline...), per offrire annunci sempre più pertinenti e personalizzati. Gli inserzionisti hanno già i loro dati proprietari che ricavano da fonti proprie (mail dei clienti, i prodotti acquistati, valore medio degli ordini), e che fondono con i dati proveniente da altre fonti, cioè i Data Broker (Acxiom, Datalogix, Experian, ecc…). Gli inserzionisti possono, così, selezionare un segmento di pubblico (segmentazione). Se l'identificatore del dispositivo (es. cookie) corrisponde ai criteri selezionati dall’inserzionista, il sistema di acquisto degli annunci farà automaticamente un’offerta per l’annuncio (una certa quantità di impressioni). È definito Real Time Bidding (RTB) perché il tutto avviene in tempo reale.
In breve un sito web o una App (l'editore o publisher) ha un certo numero di slot (banner, video, ecc...), definiti "inventario", che desidera vendere agli inserzionisti. La ricerca degli inserzionisti (la vendita degli slot) avviene tramite specifiche piattaforme di offerta (SSP, supply-side platforms). Gli SSP sono gli intermediari tra gli editori e i mercati delle aste pubblicitarie (ADX, advertising exchanges). Poi ci sono le piattaforme lato domanda (DSP, domand-side platforms), cioè gli intermediari che rappresentano gli inserzionisti. I DSP ricevono una copia della richiesta di offerta dei publisher (bid), che contiene le informazioni sull'utente a cui verrà consegnato l'annuncio. Si tratta in effetti dell'utente che visita in quel momento la pagina del sito web o della App in cui è presente lo slot da riempire con l'annuncio. Il tutto, infatti, avviene in tempo reale.
Il contenuto dell'offerta, cioè le informazioni, variano a seconda delle specifiche. Allo stato abbiamo una specifica determinata da Google (Authorized buyers) e una (OpenRTB/AdCOM) gestita da IAB (Interactive Advertising Bureau), una associazione di imprese pubblicitarie (tra le quali ci sono anche Google, Facebook, Twitter, ecc...). A questo punto entra in gioco il Data Management Platform (DMP, Cambridge Analytica era un DMP, anche Google gestisce DMP), cioè la piattaforma di gestione dati. i DSP inviano al DMP le offerte, e i DMP le arricchiscono tentando di identificare l'utente utilizzando varie ulteriori fonti di dati (come ad esempio i dati caricati direttamente dall'inserzionista, o quelli acquistati da Data Broker). Il DSP con l'offerta più alta vince il diritto di fornire l'annuncio (tramite l'SSP), ma si assicura anche il diritto di sincronizzare i propri cookie con quelli dell'ADX, abilitando il collegamento dei propri dati al profilo utente in futuro.
Immagine da: Adtech and Real-Time Bidding under European Data Protection Law (2021: Michael Veale e Frederik Zuiderveen Borgesius)
Occorre precisare che in teoria il RTB non necessita di dati personali, tale forma di pubblicità potrebbe funzionare senza problemi anche con dati contestuali (relativi ad esempio agli argomenti trattati dal sito web) piuttosto che con dati comportamentali degli utenti che navigano il sito. Ma attualmente quasi tutte le piattaforme che gestiscono annunci RTB prendono in considerazione dati comportamentali, e quindi l'acquisto e la vendita degli annunci pubblicitari avviene con riferimento a tali dati.
Ruoli e regolamentazione
In base alla normativa in materia di protezione dei dati personali (che si applica ai dati personali), alla direttiva ePrivacy (che si applica agli strumenti di tracciamento), e alle Guidelines 8/2020 on the targeting of social media users dell'EPBD, sia la piattaforma che l'inserzionista risultano titolari congiunti del trattamento dei dati, laddove per dati si intendono non solo quelli forniti dall'utente, ma anche quelli "osservati" (cioè derivanti dal tracciamento del comportamento online) e quelli "ricavati" (inferred) dalla piattaforma, come ad esempio la preferenza di un prodotto o un servizio. Questo perché sia la piattaforma che l'inserzionista partecipano alla determinazione della finalità (mostrare la pubblicità mirata ad un insieme finito di individui) e delle modalità del trattamento dei dati. L'inserzionista sceglie di utilizzare lo strumento messo a disposizione dalla piattaforma e sceglie i criteri di selezione del pubblico al quale sarà inviata la pubblicità. La piattaforma, dal canto suo, decide i mezzi per il trattamento, come ad esempio le categorie di dati da trattare, i criteri di targeting e chi ha accesso ai dati elaborati nel contesto di una particolare campagna.
La piattaforma non è un mero responsabile (processor) del trattamento poiché i criteri di targeting possono essere utilizzati dalla piattaforma per trattamenti futuri e propri. Inoltre non elabora i dati esclusivamente per conto degli inserzionisti e in base a loro istruzioni. Infine, la suddivisione dei ruoli rimane la stessa anche se l'inserzionista non ha un effettivo accesso ai dati, finché partecipa alle decisioni sulle finalità e i mezzi (vedi anche Corte di Giustizia europea, Wirtschaftsakademie C-210/16). Ed è importante tenere presente che le basi legali non sono trasmissibili da un titolare all'altro, ognuno dei titolari congiunti deve stabilire e giustificare la propria base giuridica perché il trattamento sia lecito. Questo punto è essenziale, perché nel RTB le piattaforme di gestione consensi (CMP) condividono un consenso globalmente (con tutti i titolari congiunti), per cui alcuni titolari congiunti (i siti web) di fatto basano il loro trattamento sul consenso ereditato dalla piattaforma (CMP) da un altro titolare (sito web), mentre invece la Corte di Giustizia europea (Caso C-40/17 Fashion ID, par. 102) ha chiarito che deve essere il gestore del sito web ad acquisire il consenso dall'interessato, perché quest'ultimo in quel momento naviga quel sito web:
"Per quanto riguarda il consenso di cui all’articolo 2, lettera h), e all’articolo 7, lettera a), della direttiva 95/46, risulta che quest’ultimo deve essere espresso prima della raccolta e della comunicazione mediante trasmissione dei dati della persona interessata. In tali circostanze, spetta al gestore del sito Internet, e non al fornitore del plug-in social, ottenere tale consenso, giacché è il fatto che un visitatore consulti tale sito Internet che attiva il processo di trattamento dei dati personali. Infatti, come ha rilevato l’avvocato generale al paragrafo 132 delle sue conclusioni, non sarebbe conforme a una tutela efficace e tempestiva dei diritti della persona interessata il fatto che il consenso sia prestato unicamente al corresponsabile del trattamento che interviene successivamente, ossia al fornitore di detto plug-in. Il consenso che deve essere prestato al gestore riguarda tuttavia unicamente l’operazione o l’insieme delle operazioni di trattamento dei dati personali di cui detto gestore determina effettivamente le finalità e gli strumenti.
Lo stesso vale per quanto riguarda l’obbligo di informazione previsto all’articolo 10 della direttiva 95/46".
La normativa, quindi, prevede una serie di tutele per gli interessati del trattamento. In particolare il soggetto "tracciato" deve ricevere una completa informativa con l'indicazione dei dati raccolti (per categorie) delle finalità del trattamento e dei soggetti ai quali i dati vengono comunicati (i circuiti pubblicitari), al fine di poter esprimere un corretto e libero consenso.
Per quanto riguarda la base giuridica, teoricamente quelle ammissibili sono i legittimi interessi e il consenso. I legittimi interessi, secondo il WP29 (predecessore dell'EDPB) sono difficilmente giustificabili come base giuridica per la profilazione intrusiva e per le pratiche di tracciamento per scopi di marketing o pubblicitari, ad esempio quelle che comportano il tracciamento degli individui su più siti web o più dispositivi (Article 29 Working Party, Opinion on profiling and automated decision making, WP 251, rev. 01, p. 15, e Article 29 WP, Opinion on legitimate interest, p. 32 and 48: "Overall, there is an imbalance between the company’s legitimate interest and the protection of users’ fundamental rights and Article 7(f) should not be relied on as a legal ground for processing. Article 7(a) would be a more appropriate ground to be used, provided that the conditions for a valid consent are met"). In effetti se anche i legittimi interessi possono essere collegati alla libertà di impresa, è difficile sostenere che l'unico modo per fare soldi tramite la pubblicità è quello di tracciare gli individui. Esistono molti altri metodi, come la pubblicità contestuale.
Più appropriato appare il consenso, anche perché la Direttiva ePrivacy richiede il consenso per i cookie di profilazione, e anche perché spesso i dati trattati consistono in dati a trattamento speciale ex art. 9 GDPR (ad esempio, la visita ad un sito che tratta argomenti religiosi, fa si che la url allegata all'offerta di acquisto dello slot dell'annuncio è un dato a trattamento speciale), per cui il consenso deve essere esplicito. Il consenso deve essere espresso prima che un cookie destinato a raccogliere dati a tal fine possa essere salvato sul dispositivo dell'interessato, oltre ad essere informato, libero e specifico. In particolare non è ammesso un sistema di opt-out come sostituto per la raccolta del consenso. E' importante tenere presente che il consenso raccolto dal gestore del sito non elide l'obbligo della piattaforma di assicurarsi che sia stato acquisito un valido consenso per tutte le finalità previste. Inoltre, se più titolari (congiunti) si basano sullo stesso consenso, qualora i dati debbano essere trasferiti ad altri titolari che fanno affidamento sul consenso originale, occorre che tutti i titolari siano indicati nelle informazioni fornite all'interessato (vedi art. 26 par. 3 GDPR). Se non tutti i titolari sono noti al momento della richiesta del consenso, questa informazione dovrà essere integrata successivamente.
Fondamentale è l'informazione preventiva che va data agli utenti, in modo che possano comprendere che tipo di trattamento di dati avviene, tra l'altro la durata del trattamento e se i dati sono forniti a terze parti. Le problematiche inerenti la raccolta del consenso hanno portato alla creazione delle CMP (Consent Management Platform), piattaforme (es. QuantCast) che si occupano specificamente della raccolta del consenso, tramite dei banner o simili (es. Transparent Consent Framework di IAB). In genere ogni CMP chiede il consenso per centinaia di "vendors" (se ne sono contati fino a 512).
Il problema non è di poco conto, in quanto molti dei circuiti pubblicitari si avvalgono, per la raccolta dei dati, di terze parti (partner) e non hanno contatti diretti con gli interessati. Ciò comporta non pochi problemi per la raccolta dei consensi, che deve essere delegata ai terzi, con obblighi stringenti di informazione e consenso espresso. Un meccanismo di opt-out non è più ammissibile. Inoltre le aziende hanno obblighi anche in materia di qualità dei dati (aggiornamento e correzione dei dati). E per quanto riguarda l'AdTech, il problema è dato dal fatto che la gestione degli annunci in tempo reale non consente una effettiva e completa informazione agli interessati in relazione ai soggetti ai quali i dati vengono poi comunicati (che non sono conosciuti prima dell'asta).
Infine, nel momento in cui il trattamento dei dati personali degli utenti comporta "profilazione", si applica l'art. 22 del GDPR e quindi necessita una valutazione di impatto del trattamento. Non solo, un processo automatizzato richiede maggiore sicurezza nell'implementazione dei processi, anche in considerazione dell'enorme quantità di dati che vengono trattati, spesso anche dati ex art. 9 GDPR.