La pubblicità comportamentale (behavioural advertising) è una tecnica basata sul tracciamento (tracking) delle attività online degli utenti, al fine di costruire dei profili degli utenti di Internet con lo scopo di offrire loro pubblicità più rilevante per gli utenti stessi, e quindi più efficace. 

Secondo il WP29 (predecessore dell'EDPB), in base al GDPR la profilazione è un'operazione automatizzata di trattamento di dati personali che mira a valutare aspetti personali, in particolare per analizzare o fornire previsioni sugli individui, aggiungendo che "valutare" suggerisce che la profilazione implica una qualche forma di valutazione o giudizio su una persona”.

La realizzazione dei profili è piuttosto semplice. Grazie ai cookie e a numerosi strumenti di tracciamento online, un'azienda riesce a "seguire" la navigazione dell'utente e quindi a collegare ad un medesimo numero identificativo una serie di comportamenti. Se l'utente, ad esempio, visita un primo sito, viene depositato sul suo dispositivo (computer desktop, smartphone, ecc...) un cookie o un tracciante, che poi sarà letto dai successivi siti che l'utente visita, e che fanno parte del medesimo circuito pubblicitario. Tali siti presentano plugin o tool di tracciamento che sono in grado di leggere i cookie o altri strumenti similari. Quindi collegando tutti i siti navigati e le attività compiute su di essi (click, condivisioni) si riesce ad inferire un profilo dell'utente e i suoi interessi. 
Più dati vengono raccolti (casomai anche attrraverso il data onboarding) più il profilo diventa dettagliato, fino a poter addirittura ricavare l'identità fisica dell'utente. L'identificazione fisica generalmente non è un'obiettivo dei circuiti pubblicitari, perchè è indifferente sapere il nome reale di un utente piuttosto che collegarlo ad un semplice identificativo numerico che comunque è in grado di separarlo dal resto degli utenti. 

Ovviamente alcune piattaforme sono in grado di identificare l'utente in quanto possono incrociare i dati del profilo con ulteriori informazioni provenienti da servizi online appartenenti allo stesso circuito (es. Google, Yahoo, Facebook) nei quali è lo stesso utente a fornire i propri dati identificativi (tramite apertura dell'account). Le aziende giustificano l'uso di questa forma di pubblicità sostenendo che è nell'interesse degli stessi utenti, così possono ricevere pubblicità più efficace e utile. 

 

Programmatic Advertising

L'evoluzione della pubblicità comportamentale è la programmatic advertising (AdTech), una forma di pubblicità estremamente automatizzata. Un software si occupa di gestire il processo di acquisto e vendita degli annunci, offrendo agli inserzionisti la possibilità di incorporare enormi quantità di dati (demografici, psicografici, comportamentali) da più fonti (i siti partner, offline...), per offrire annunci sempre più pertinenti e personalizzati. Gli inserzionisti hanno già i loro dati proprietari, che ricavano da fonti proprie (mail dei clienti, i prodotti acquistati, valore medio degli ordini), che fondono con i dati proveniente da altre fonti, cioè i Data Broker (Acxiom, Datalogix, Experian, ecc…). Gli inserzionisti possono, così, selezionare un segmento di pubblico (profilazione). Se l'identificatore del dispositivo (es. cookie) corrisponde ai criteri selezionati dall’inserzionista, il sistema di acquisto degli annunci farà automaticamente un’offerta per l’annuncio (una certa quantità di impressioni). È il Real Time Bidding (RTB), perché il tutto avviene in tempo reale. 

 

rtb

 

Ruoli e regolamentazione

In base alla normativa in materia di protezione dei dati personali e alle Guidelines 8/2020 on the targeting of social media users dell'EPBD, sia la piattaforma che l'inserzionista (targeter) risultano titolari congiunti del trattamento dei dati, laddove per dati si intendono non solo quelli forniti dall'utente, ma anche quelli "osservati" (cioè derivanti dal tracciamento del comportamento online) e quelli "ricavati" (inferred) dalla piattaforma, come ad esempio la preferenza di un prodotto o un servizio. Questo perché sia la piattaforma che l'inserzionista partecipano alla determinazione della finalità (mostrare la pubblicità mirata ad un insieme finito di individui) e delle modalità del trattamento dei dati. L'inserzionista sceglie di utilizzare lo strumento messo a disposizione dalla piattaforma e sceglie i criteri di selezione del pubblico al quale sarà inviata la pubblicità. La piattaforma, dal canto suo, decide i mezzi per il trattamento, come ad esempio le categorie di dati da trattare, i criteri di targeting e chi ha accesso ai dati elaborati nel contesto di una particolare campagna. 

La piattaforma non è un mero responsabile (processor) del trattamento poiché i criteri di targeting possono essere utilizzati dalla piattaforma per trattamenti futuri e propri. Inoltre non elabora i dati esclusivamente per conto degli inserzionisti e in base a loro istruzioni. Inoltre, la suddivisione dei ruoli rimane la stessa anche se l'inserzionista non ha un effettivo accesso ai dati, finché partecipa alle decisioni sulle finalità e i mezzi (vedi anche Corte di Giustizia europea, Wirtschaftsakademie C-210/16). 

La normativa, quindi, prevede una serie di tutele per gli interessati del trattamento. In particolare il soggetto "tracciato" deve ricevere una completa informativa con l'indicazione dei dati raccolti (per categorie) delle finalità del trattamento e dei soggetti ai quali i dati vengono comunicati (i circuiti pubblicitari), al fine di poter esprimere un corretto e libero consenso.

Per quanto riguarda la base giuridica, teoricamente quelle ammissibili sono i legittimi interessi e il consenso. I legittimi interessi, secondo il WP29 (predecessore dell'EDPB) sono difficilmente giustificabili come base giuridica per la profilazione intrusiva e per le pratiche di tracciamento per scopi di marketing o pubblicitari, ad esempio quelle che comportano il tracciamento degli individui su più siti web o più dispositivi (Article 29 Working Party, Opinion on profiling and automated decision making, WP 251, rev. 01, p. 15, e Article 29 WP, Opinion on legitimate interest, p. 32 and 48: "Overall, there is an imbalance between the company’s legitimate interest and the protection of users’ fundamental rights and Article 7(f) should not be relied on as a legal ground for processing. Article 7(a) would be a more appropriate ground to be used, provided that the conditions for a valid consent are met").

Più appropriato appare il consenso che deve essere espresso prima che un cookie destinato a raccogliere dati a tal fine possa essere salvato sul dispositivo dell'interessato, oltre ad essere libero e specifico. E' importante tenere presente che il consenso raccolto dal gestore del sito non elide l'obbligo della piattaforma di assicurarsi che sia stato acquisito un valido consenso per tutte le finalità previste. Inoltre, se più titolari (congiunti) si basano sullo stesso consenso, qualora i dati debbano essere trasferiti ad altri titolari che fanno affidamento sul consenso originale, occorre che tutti i titolari siano indicati nell'informazioni fornite all'interessato (vedi art. 26 par. 3 GDPR). Se non tutti i titolari sono noti al momento della richiesta del consenso, questa informazione dovrà essere integrata successivamente. 

Il problema non è di poco conto, in quanto molti dei circuiti pubblicitari si avvalgono, per la raccolta dei dati, di terze parti (partner) e non hanno contatti diretti con gli interessati. Ciò comporta non pochi problemi per la raccolta dei consensi, che deve essere delegata ai terzi, con obblighi stringenti di informazione e consenso espresso, un meccanismo di opt-out non è più ammissibile. Inoltre le aziende hanno obblighi anche in materia di qualità dei dati (aggiornamento e correzione dei dati). E per quanto riguarda l'AdTech, il problema è dato dal fatto che la gestione degli annunci in tempo reale non consente una effettiva e completa informazione agli interessati in relazione ai soggetti ai quali i dati vengono poi comunicati. 

Infine, nel momento in cui il trattamento dei dati personali degli utenti comporta "profilazione", si applica l'art. 22 del GDPR e quindi necessita una valutazione di impatto del trattamento.