loader image
TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

Le pagine social aziendali (c.d. fanpage) sono uno strumento di marketing indispensabile – anche e sopratutto – per i servizi di targeting offerti dai fornitori (come Facebook), che consentono ai titolari di quelle pagine di trasmettere messaggi commerciali e/o promozionali ad utenti mirati, così da generare le famose conversioni, dal click all’acquisto del prodotto o servizio.

1. LE RESPONSABILITÀ DELL’AMMINISTRATORE DELLA FAN PAGE E DEL SOCIAL NETWORK

Le campagne di targeting possono offrire ritorni economici macroscopici, ma allo stesso tempo pongono serie criticità sotto il profilo del trattamento dei dati personali degli utenti; criticità di cui l’amministratore della pagina social deve tenere conto, ma di cui spesso si è poco consapevoli.

E di fatti, proprio perchè la campagna di targeting viene creata all’interno di un social network, si è portati erronamente a ritenere che il fornitore del servizio – il Facebook o Linkedin di turno – sia l’unico responsabile ai sensi della normativa privacy.
Niente di più sbagliato!

La Corte di Giustizia Europea, a partire dal caso “Wirtschaftsakademie” (C-210/16), ha infatti chiarito che l’amministratore di una “fan page” incide sulla tipologia di trattamento dei dati personali degli utenti, ad esempio definendo i criteri in base ai quali devono essere elaborate le statistiche o designando le categorie di persone a cui inviare messaggi o annunci, selezionando una audience mirata.

Per questo motivo, l’amministratore va inteso come un “soggetto attivo” che, come tale, ha delle proprie responsabilità in materia di privacy nel momento in cui progetta campagne di targeting.

Richiamandoci al gergo specialistico della normativa privacy europea (c.d. GDPR), esiste quindi un rapporto di co-titolarità fra il social media provider (es. Facebook) e l’amministratore della pagina. Bisogna però fare chiarezza sul punto: co-titolarità non significa necessariamente uguale responsabilità in ogni fase del trattamento dei dati.

Il concetto è piuttosto intuitivo se lo associamo ad un caso concreto: l’amministratore di una pagina Facebook può certo scegliere fra un ventaglio di criteri di targeting degli utenti (età, genere, residenza ecc…), ma il numero e la tipologia di tali criteri sono stati già decisi a monte dal Social Network.

Pertanto la responsabilità congiunta si estenderà a quelle fasi di trattamento in cui entrambi gli attori coinvolti hanno inciso sulle modalità del trattamento; nel caso di prima, si estenderà al trattamento dei dati personali conseguenti alla selezione dei criteri di targeting e alla successiva visualizzazione dell’annuncio pomozionale al pubblico scelto; coprirà anche la fase di report statistico, qualora il provider fornisca all’amministratore i risultati della campagna di targeting.

Ma di certo non si estenderà alle operazioni di trattamento che si verificano ad esempio prima della selezione dei criteri di targeting pertinenti, su cui l’amministratore non avrà avuto alcun potere decisionale.

2. I RISCHI PRIVACY DI UNA CAMPAGNA DI TARGETING

  • Un primo rischio riguarda il minor controllo che gli utenti esercitano sui propri dati personali, che spesso vengono utilizzati per finalità ulteriori e non previste rispetto a quelle per le quali gli stessi utenti li hanno ceduti o divulgati all’interno della piattaforma social.
  • Un secondo tipo di rischio riguarda la possibilità di discriminazione. Le campagne di targeting possono infatti generare effetti discriminatori in relazione alla razza o all’origine etnica, allo stato di salute o all’orientamento sessuale di un individuo o ad altre caratteristiche ritenute sensibili. Ad esempio, l’uso di tali criteri nel contesto dell’annuncio di una offerta di lavoro può ridurre la visibilità di questa opportunità di lavoro a persone che rientrano in determinati gruppi di individui, spesso sulla base di deduzioni maturate dagli algoritmi del social network (es. orientamento politico in base alle pagine social di partiti o politici che segui). Questa tipologia di rischio ovviamente aumenta con l’uso di sistemi di intelligenza artificiale (ne abbiamo parlato QUI)
  • Un altro rischio è la possibile manipolazione degli utenti; un rischio accentuato nelle campagne di targeting, che hanno lo scopo di influenzare le scelte degli utenti. La vastità dei dati raccolti dai social permette di creare profili degli utenti basati anche su “emozioni” o preoccupazioni su cui fare leva per aumentare l’efficacia di un messaggio (il caso Facebook-Cambride Analytica è emblematico).

3. COME CREARE CAMPAGNE TARGETING CHE SIANO CONFORMI ALLE NORME PRIVACY?

Il primo passo è compiere una valutazione dei rischi privacy connessi alla campagna di targeting che vogliamo intraprendere.

Ogni caso è a sè stante, e quindi necessario il supporto di un consulente legale specializzato o del DPO (Data Protection Officer) se nominato, al fine di ponderare tutti i rischi conseguenti e il vostro livello di responsabilità, escludendo le responsabilità proprie del Social Network.

Questa valutazione è fondamentale, perchè laddove emerga che il trattamento dei dati connesso al targeting degli utenti presenta un rischio elevato, sarà necessario procedere ad una valutazione di impatto (c.d. Data Protection Impact Assessment), per mettere in campo una serie di misure atte a mitigare quel rischio (qui per approfondire).
Si pensi al caso di messaggi o annunci che sono inviati ad una audience vulnerabile (es. minori) o all’ipotesi di un advertising piuttosto intrusivo (es. messaggi in chat private).

Il tema è certamente complesso e richiede competenze specialistiche, le quali però saranno fondamentali per sfruttare a pieno e in sicurezza i servizi di targeting che oggi sono messi a disposizione di tutte le aziende che hanno deciso di avere una forte presenza sui Social.

PRIVACY: palestra condannata al risarcimento per foto non autorizzata

PRIVACY: palestra condannata al risarcimento per foto non autorizzata

Una palestra è stata condannata a risarcire un proprio abbonato, rea di averlo fotografato nel corso degli allenamenti senza il suo consenso e in assenza di una adeguata informativa che lo avesse reso consapevole della pubblicazione sui social delle immagini che lo ritraevano.

La richiesta di risarcimento danni da parte dell’abbonato trae origine da un’altra vicenda, piuttosto singolare ma che ci fa comprendere quanto sia importante per una palestra dotarsi di una corretta politica di trattamento dei dati personali.
In una precedente causa di separazione, la moglie dell’abbonato aveva prodotto in Tribunale alcune foto del marito sorpreso in atteggiamenti ritenuti compromettenti insieme alla presunta amante.
Le foto in questione erano state scattate nel corso degli allenamenti che il consorte frequentava settimanalmente nella palestra del quartiere e poi pubblicate nell’account Instagram gestito dalla palestra stessa.

La questione “privacy” ha un peso in questa vicenda, perchè il marito – a suo dire – non era per nulla al corrente di tale prassi, nè tantomeno aveva espresso il suo consenso alla pubblicazione – e quindi diffusione – di foto che lo ritraevano durante gli allenamenti.

Ne è nata, pertanta, una causa civile di risarcimento danni da questi promossa nei confronti della palestra, che si è trovata dunque ad affrontare una situazione spiacevole (anche per motivi di immagine), accorgendosi però di non avere i mezzi necessari per difendersi al meglio in aula.

Le nuove norme in materia di trattamento dei dati personali (Reg. UE 679/16, c.d. GDPR), richiedono infatti che il titolare (in questo caso, la palestra) sia in grado di dimostrare la propria conformità alla normativa.

Per ottemperare a questo adempimento, la palestra avrebbe dovuto fornire la prova di aver ottenuto un consenso specifico, libero ed informato da parte del proprio associato alla diffusione di sue immagini nei relativi canali social (art. 6 pgf 1 lett. a); art. 7 GDPR)

Purtroppo, la palestra – in persona del suo legale rappresentante – non aveva richiesto il consenso all’interessato, nè tantomeno aveva predisposto una informativa adeguata in cui si facesse espresso richiamo alla pubblicazione sui social di foto degli abbonati.

Il Giudice, pertanto, ha condannato la palestra al risarcimento danni a favore dell’abbonato, il quale peraltro potrebbe anche proprorre – proprio sulla base di questa sentenza favorevole – un reclamo di fronte all’Autorità Garante nella diversa sede amministrativa (potendosi in quel caso applicare le pesanti sanzioni del GDPR).

Diventa pertanto decisivo, per ogni palestra, predisporre una corretta e dettagliata politica di trattamento dei dati, che riesca a mettere il titolare nelle condizione di dimostrare in maniere agevola la leggittimità dei trattamenti dei dati che gli potrebbero essere contestati.

In questo caso, ad esempio, sarebbe stato necessario dimostrare in giudizio di aver raccolto un consenso:

  • specifico: l’abbonato deve dare uno consenso specifico alla diffusione della sua immagine sui canali social; quindi non vale un consenso generico alla diffusione dei dati; non vale neppure un consenso alla pubblicazione delle foto sul sito web della palestra, se il sito web non è l’unico canale di promozione in cui sono pubblicate le foto in questione;
  • libero: all’abbonato deve essere data la lbertà di negare il consenso; quindi il consenso non può rappresentare, ad esempio, una pre-condizione all’iscrizione in palestra. In questo caso, sarebbe un consenso del tutto illegittimo, che peraltro esporrebbe la palestra a pesanti sanzioni amministrative (fino a 20 milioni di € o il 4% del fatturato annuo globale);
  • informato: occorre spiegare in maniera chiara qual è il trattamento dei dati a cui si ricollega il consenso; la persona interessata deve conoscere chi tratta i suoi dati, per quali finalità, a chi potrebbero essere condivisi. Solo una informativa completa di tutti i requisiti normativi, scritta in un linguaggio semplice, può venire in soccorso del titolare in caso di reclami o contestazioni da parte dell’interessato.

Da una errata procedura sulla raccolta del consenso o di altre politiche di trattamento dei dati può derivare un danno non solo materiale ma anche di immagine della palestra, trattandosi di luogo davvero “sensibile” su questo fronte.
Si pensi alle schede degli abbonati, che potrebbero contenere dati sanitari in relazione ad alcuni test effettuati anche per mezzo di consulenti terzi (ad esempio per verificare il rapporto massa grassa/ massa magra), oppure l’elenco delle intolleranze o delle allergie degli iscritti (per predisporre diete personalizzate).
Si pensi ancora al caso in cui vengano utilizzate app per agevolare l’iscrizione ai corsi. I gestori delle palestre in questi casi dovrebbero conservare documenti che certificano la loro sicurezza; dovrebbero, ad esempio, sapere quali sono i dati che vengono registrati e dove gli stessi sono conservati (se in data center collocati dentro o fuori l’Unione Europea).

Come si intuisce la casistica è amplissima.
I gestori delle palestre dovrebbere considerare il tema della protezione dei dati personali come una questione non più rinviabile, tenuto conto della natura dei dati – spesso anche sensibili – che gli stessi detengono.

Non è più solo una questione di rispetto della normativa, per essere appunto “in regola” con i nuovi requisiti del GDPR; è piuttosto una questione di tutela della propria immagine e di eventuale difesa di fronte a possibili contestazioni e reclami dei propri abbonati