loader image

Customer Match: opportunità e rischi privacy in Google Ads

Diritto Digitale

Customer Match è tra gli strumenti di advertising più interessanti tra quelli offerti da Google, ma quali sono le implicazioni relative al trattamento dei dati personali?

 

Customer Match 2

Fra i più diffusi strumenti di Advertising online vi è certamente Google Customer Match, strumento che consente alle aziende una migliore targetizzazione delle campagne di advertising partendo dal proprio database clienti (c.d. first-party context). Si tratta, tecnicamente. di un’attività di remarketing, ovvero di creazione di annunci pubblicitari diretti ad utenti che hanno già interagito con l’azienda.

Il “Match” consiste proprio nell’associazione dei dati di ogni cliente con quelli di cui è già in possesso Google, a condizione che l’utente disponga già di un account del colosso americano. Attraverso questo sistema Google è nelle condizioni ideali nel creare segmenti di mercato in linea con il business delle aziende, in quanto conosce alla perfezione la loro audience e, pertanto, il rating di conversione delle relative campagne advertising potrà crescere esponenzialmente.


Dati personali e attività di marketing

 

Il Garante Italiano, anche attraverso recenti sanzioni, si è mostrato sempre molto attento al trattamento di dati personali per finalità di marketing. Particolare attenzione è rivolta alle attività di marketing online che sono un elemento ormai imprescindibile per ogni attività di impresa, in primis per le startup che, sfruttando annunci pubblicitari sempre più personalizzati sul singolo utente, promuovono i propri prodotti e servizi innovativi in modo efficace e mirato.

Dunque, attività come quelle messe in campo da Google ads attraverso strumenti come Customer Match, sono sotto la lente di ingrandimento del garante, proprio perché si fondano sull’interazione diretta con i dati dei clienti. Ma quali sono i rischi in tema di privacy? Cosa devono fare le società che vogliono sfruttare le potenzialità di Google Customer Match rispettando la normativa privacy europea (c.d. GDPR)?


Il legittimo interesse del Titolare

 

Customer Match 3

Il primo passo è individuare la base giuridica che rende lecito il trattamento di dati personali necessario per attivare il Match, ovvero l’estrazione del database clienti dell’azienda e il successivo upload da parte di Google.

Ad una prima analisi, la più appropriata potrebbe essere il legittimo interesse del Titolare. Tuttavia, se da una parte elimina l’ipotesi del consenso dell’utente, che soprattutto nel settore del marketing viene considerato un nemico del tasso di conversione, dall’altra rappresenta, in ogni caso, la più delicata fra le base giuridiche indicate dal regolamento GDPR (cfr. art. 6 pgf 1 lett. f).

L’interesse legittimo, infatti, non si riferisce ad una finalità precisa, come potrebbe essere il trattamento di dati personali effettuato sulla base di un obbligo legale o di un adempimento contrattuale, ma è un concetto più flessibile, che va modellato caso per caso, al punto da essere potenzialmente applicabile a qualsiasi tipologia di trattamento, a patto che il Titolare sia in grado di individuare le ragioni che ne giustificano la scelta. È questa sua flessibilità a renderlo così funzionale rispetto a diversi scenari, ma altrettanto pericoloso, in quanto è facile abusarne senza che ce ne siano in realtà i presupposti di legittimità.


Il bilanciamento tra interesse del Titolare e campagne advertising

 

Il legislatore, proprio per i suddetti motivi, chiede al Titolare di compiere a monte un attento bilanciamento tra il proprio interesse e quello relativo agli utenti oggetto del trattamento di dati. Nel caso di Google Customer Match è fondamentale bilanciare l’interesse del Titolare, volto a migliorare l’efficacia delle proprie campagne di advertising mediante un servizio che identifica con più precisione il proprio segmento di pubblico, rispetto all’interesse dei propri clienti, che ricomprende anche la sfera dei loro diritti e libertà (es. i diritti dei consumatori, la libertà di rifiutare gli annunci targetizzati ecc..). 

Non è quindi sufficiente individuare un legittimo interesse e definire un trattamento di dati personali basato su di esso. Prima di iniziare ogni attività è necessario dare prova di aver fatto uno specifico bilanciamento di interessi in ossequio al principio di accountability, che impone al Titolare di essere in grado di dimostrare la propria conformità alla normativa, anche in sede di ispezione del Garante.

La valutazione del legittimo interesse

La migliore prassi, in questi casi, è di redigere una LIA (Legitimate Interest Assessment), vale a dire una valutazione circa la applicabilità o meno del legittimo interesse, che si basa proprio su un bilanciamento degli interessi in gioco.
Si tratta di un vero e proprio test di bilanciamento la cui struttura è libera, perché il GDPR non pone vincoli al riguardo, ma le linee guida in materia (come quella dell’Autorità Garante Inglese) offrono degli spunti in questo senso.

Il nostro Studio si affida a queste linee guida per suddividere il test in 3 parti:

Test della finalità

Per individuare lo specifico interesse legittimo che rende lecito il trattamento oggetto di valutazione. In questa fase sarà importante descrivere le ragioni di quel trattamento, quali sono i benefici che puà trarre l’utente, se il vantaggio è di terzi o di un pubblico più ampio; qual è l’impatto conseguente al trattamento sui diritti e le libertà degli utenti, e dall’altra quale sarebbe l’impatto del Titolare se non potesse procedere con il trattamento.

Test della necessità

Una volta identificato il legittimo interesse, occorre valutare se il trattamento è davvero necessario per soddisfarlo. In particolare, si dovrà specificare se è possibile raggiungere quella finalità anche senza il trattamento in questione oppure elaborando meno dati o in un modo meno invadente.

Test di bilanciamento

Rappresenta il punto focale dell’intero test, in cui dimostrare che l’interesse del Titolare non è superato da quello del cliente, tenendo conto in particolare della sensibilità dei dati trattati e delle ragionevoli aspettative del cliente stesso, vale a dire se questi, in virtù del rapporto già esistente tra le parti, si aspetti o meno quel trattamento dei suoi dati.

Tutte queste valutazioni andranno quindi calate sul tipo di trattamento effettuato per mezzo di Google Customer Match. Sono molti gli scenari che potrebbero cambiare, a partire dal modo in cui i dati dei clienti sono stati raccolti (es. di persona o tramite un form online?), da quali dati decidiamo poi di estrarre e fornire a Google, fino al tipo di rapporto che abbiamo instaurato con il nostro cliente, essendo questo un elemento che incide sul principio delle “ragionevole aspettative”.
Ci sono infatti numerosi elementi che depongono per l’applicabilità del legittimo interesse: dalla circostanza che gli annunci saranno destinati solo a chi ha già un account Google ed è quindi già sogetto a promozioni simili fino ai benefici che questo servizio può offrire agli utenti mediante un re-marketing più vicino ai loro interessi e preferenze.

Vi ricordiamo che, però, a completamento di ogni valutazione si dovrà prendere anche in esame la questione connessa all’invalidità del Privacy Shield, che pone delle problematiche aperte riguardanti l’utilizzo di provider americani a causa del trasferimento di dati extra UE (per un approfondimento potete leggere il nostro articolo sul tema).

In ogni caso, il nostro Studio offre pieno supporto per conformare alla normativa privacy l’attività di marketing effettuata con l’ausilio del servizio Google Customer Match (o di servizi analoghi, come Facebook Custom Audience). In questo senso, si dovrà procedere ad una attenta analisi dello scenario specifico che condurra poi alla redazione della LIA, per identificare la presenza di un interesse legittimo e quindi legittimare il trattamento in piena sicurezza.

Vorresti una consulenza legale?

Programma la tua Videocall

Articoli recenti

NFT: come creare e vendere senza problemi legali

NFT: come creare e vendere senza problemi legali

Quali possono essere le problematiche legali in merito a come creare, vendere e comprare NFT? E soprattutto, come possiamo fare per non scottarci? Abbiamo messo in fila alcune domande che probabilmente ti stai facendo, provando a fornirti suggerimenti e spunti utili per orientarti tra i Non Fungible Token.

leggi tutto

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti approfondire ?

Contattaci 

Tipologia