Pubblicità comportamentale online: quali regole per la privacy ?

1279664_10824501

Tra le varie forme di pubblicità esistenti, quella "online" rappresenta, senza dubbio, un segmento molto dinamico ed importante per lo sviluppo di un economia legata alla rete Internet.

Esistono, però, degli aspetti di legalità da considerare, soprattutto per quanto riguarda la cd. pubblicità comportamentale, termine con il quale si indica il tracciamento degli utenti in rete, attuato con lo scopo di derivare dall'osservazione delle loro azioni un profilo comportamentale che funga da base per la trasmissione di messaggi pubblicitari "personalizzati" [...]

A causa della invasività delle principali tecniche di tracciamento, nonchè della loro, pressocchè totale,  invisibilità per gli utenti, questa pratica presenta aspetti che possono incidere significativamente sulla protezione dei dati personali e della vita privata perchè, almeno potenzialmente, offre la possibilità di ricostruire, in modo molto dettagliato, le attività online degli interessati, a totale insaputa di questi ultimi.
Per questo motivo essa viene presa in grande considerazione da tutti i legislatori e le autorità di protezione nazionali ed europei; proprio in questo ambito, il gruppo di lavoro dell'articolo 29 della direttiva 95/46/CE (l'organismo rappresentativo delle autorità di protezione europee), ha adottato nel 2010 un parere che fornisce un quadro giuridico di riferimento abbastanza articolato.

Tecniche e strumenti di tracciamento

Sono per lo più basati sull'elaborazione lato client delle informazioni derivanti da motori di ricerca e dall'apparecchiatura terminale dell'utente, con una predominanza dei cd. cookies, frammenti di testo memorizzati e, successivamente, recuperati dal sistema dell'utente con lo scopo di alimentare ed identificare il  profilo comportamentale di quest'ultimo.

Dei cookies si è occupata recentemente anche ENISA - Agenzia Europea per la sicurezza delle informazioni e della rete - con un documento ufficiale (in lingua inglese) intitolato "Bittersweet cookies. Some security and privacy considerations".

Inoltre esistono anche i cd. flash cookies, la cui adozione è in forte aumento perchè consentono di superare le limitazioni insite nella cancellazione (al momento della chiusura del browser) o nel rifiuto (attraverso le impostazioni di privacy) dei cookies tradizionali; tra l'altro, i flash cookies non possono essere cancellati mediante le impostazioni tradizionali di privacy di un web browser, essendo la loro gestione separata e, come tale, poco conosciuta dagli utenti non esperti (vedi Come cancellare i flash cookies dal proprio sistema).

Le regole applicabili

Secondo l'interpretazione fornita, la pubblicità comportamentale soggiace alle disposizioni delle direttive e-privacy (2002/58/CE) e privacy (95/46/CE) o, meglio, della relativa normativa italiana di attuazione, vale a dire il T.U privacy (D.Lgs. 196/2003). Peraltro, la direttiva e-privacy è stata modificata dalla recente direttiva 2009/136/CE che dovrebbe ricevere attuazione nel territorio italiano entro la data del 25 maggio 2011.

Partendo dalla direttiva e-privacy (art. 5, par. 3), risulta che per memorizzare od accedere lecitamente ad informazioni archiviate nell'apparecchiatura terminale di un utente sia necessario il consenso preventivo ed informato dell'interessato.

Le informazioni cui si fa riferimento possono essere di qualsiasi tipo (es. cookies), e non necessariamente dati di natura personale, poichè l'obbligo opera in funzione generica di protezione di un aspetto della vita privata; questo spiega anche il perchè tale obbligo non si applichi soltanto ai servizi di comunicazione elettronica, ma ad ogni altro servizio che si avvalga di tecniche similari.

Quando poi le informazioni raccolte con i cookies od altri simili dispositivi sono di natura personale, si applicano, in aggiunta, i dettami della direttiva privacy (95/46/CE), tra cui vi sono i principi relativi ai diritti degli interessati, alla qualità dei dati, alla sicurezza dei trattamenti ed ai limiti per il trasferimento internazionale dei dati.

Un ulteriore aspetto è quello riguardante l'ambito territoriale di applicazione, in particolare:

  • la tutela offerta dalla direttiva 2002/58/CE riguarda le informazioni conservate nell'apparecchiatura terminale degli interessati che utilizzano reti di comunicazione pubbliche nell'unione europea;

  • la tutela offerta dalla direttiva 95/46/CE riguarda: a) il trattamento dei dati personali effettuato nell'ambito delle attività di un responsabile del trattamento, stabilito nel territorio dell'unione europea; b) il trattamento dei dati personali effettuato da un responsabile del trattamento che, pur non essendo stabilito nel territorio dell'unione europea, ricorre, ai fini del trattamento stesso, a strumenti situati in tale territorio;

Nel parere si evidenzia, da un lato, l'assoluta inadeguatezza degli strumenti tradizionali offerti dal  browser, basati sul rifiuto preventivo e generalizzato dei cookies, e, dall'altro, l'opportunità di implementare, anche con la cooperazione dei produttori di software, meccanismi incentrati su un azione positiva dell'utente, dalla quale risulti la sua volontà di ricevere cookies e di accettare il relativo monitoraggio delle attività online, con lo scopo di ricevere messaggi pubblicitari personalizzati.

Per quanto concerne invece gli obblighi informativi, sul rispetto dei quali si basa la validità del consenso, si considera insufficiente la semplice menzione dell'uso della pubblicità comportamentale all'interno delle condizioni generali del sito e/o dell'informativa privacy; occorre, piuttosto, che agli utenti sia comunicato, in modo chiaro e semplice: a) chi è il responsabile del trasferimento dei cookies e della raccolta delle informazioni, b) il fatto che i cookies sono utilizzati per creare profili dell'utente, c) il tipo di informazioni raccolte, d) l'utilizzo dei profili per la trasmissione di messaggi pubblicitari personalizzati, e) la possibilità che l'utente sia identificato attraverso i cookies su diversi siti web.

Non mancano, infine, considerazioni sulla ripartizione dei profili di responsabilità tra i vari soggetti che risultano coinvolti nel circuito della pubblicità comportamentale, vale a dire i fornitori di reti pubblicitarie, gli editori e gli inserzionisti.

Photo-courtesy: Yello-Dog

0 commenti: