Protezione dei dati personali: l’intero sistema di pubblicità online viola la legge
7 min letturaIl 12 settembre 2018 il direttore esecutivo di Open Rights Group, Jim Killock, Michael Veale dell’University College di Londra, e Johnny Ryan, chief policy e industry relations officer di Brave (un web browser), presentano una serie di ricorsi contro aziende del settore pubblicitario online.
In particolare contro IAB (Internet Advertising Bureau, cioè la principale associazione di categoria, che rappresenta oltre 600 aziende pubblicitarie negli Usa e in Europa) e Google, quest'ultima quale azienda che partecipa all’associazione IAB e che ha collaborato alla realizzazione del sistema pubblicitario. Il 28 gennaio si unisce anche la Panoptykon Foundation. I ricorsi sono indirizzati alle Autorità Garanti per la protezione dei dati personali del Regno Unito e dell’Irlanda.
Nei ricorsi si sostiene che l’associazione, e le aziende aderenti, violano le norme in materia di protezione dei dati personali. In particolare l’accusa si concentra sul sistema di “offerte in tempo reale” (Real Time Bidding), utilizzato da quasi tutte le aziende pubblicitarie online.
Del RTB abbiamo già parlato, precisando che si tratta di un sistema di vendita-acquisto della pubblicità online che avviene in tempo reale. Gli scambi degli annunci sono già da tempo regolati da software che automatizzano il tutto velocizzandolo.
Gli inserzionisti acquisiscono dati personali sulla base dei quali possono selezionare un segmento di pubblico al quale inviare gli annunci rilevanti (tailored). I dati in questione (fino a 595 categorie) possono riguardare anche: la fascia di reddito, l’età, il sesso, le abitudini, l’etnia, l’orientamento sessuale, la religione, l’inclinazione politica, ecc... Quindi anche dati definiti “sensibili” (oggi dati soggetti a trattamento speciale). Ad esempio, una delle categorie è "IAB7-28 Incest/Abuse Support", che consente la targettizzazione di soggetti (presumibilmente) vittime di incesto o abuso. Altre riguardano condizioni di salute, disordini alimentari, ecc.
Il sistema di acquisto degli annunci effettua un’offerta reale per una certa quantità di “impressioni” degli annunci, sulla base dei “marcatori” (cookie o tecnologie simili che consentono l’identificazione dell’utente). Se l’utente, selezionato in base ai criteri definiti dall’inserzionista, corrisponde al segmento richiesto (segmentazione), l’acquisto si conclude in frazioni di secondo.
Questa tecnologia viene definita Programmatic Advertising (o AdTech).
Il sistema RTB usato da IAB utilizza una grande quantità di dati personali degli utenti, che vengono spesso condivisi da ogni società aderente all’associazione (in questo caso IAB). Tale condivisione avviene miliardi di volte al giorno. Le società con le quali vengono condivisi i dati sono quelle che, appunto, partecipano alle aste del RTB, aste realizzate negli Ad Exchange, una vera e propria Borsa per gli annunci pubblicitari, dove ogni singola “impressione” (visualizzazione di banner) è messa all’asta.
Sintetizzando, il sistema funziona così:
- L’utente visita una pagina web.
- Il browser dell’utente invia una richiesta al server per caricare una pubblicità (banner).
- Il network pubblicitario mette in vendita lo spazio pubblicitario sull’Ad Exchange.
- L’Ad Exchange inizia l’asta tra tutti gli inserzionisti (bidders).
- Gli inserzionisti fanno le loro offerte per l’acquisto dello spazio pubblicitario, in base ai loro criteri di segmentazione degli utenti.
- L’Ad Exchange stabilisce chi ha vinto l’asta.
- La pubblicità del vincitore dell’asta viene inviata al server e quindi al browser dell’utente.
- L’utente visualizza la pubblicità.
Il tutto avviene in meno di 100 millisecondi.
Gli utenti vengono etichettati tracciando le loro attività online, al fine di “vendere” gli spazi pubblicitari presenti sui siti che navigano su veri e propri mercati tipo Borsa. Il problema principale sta nel fatto che il tutto avviene in tempi brevissimi. Come facevamo notare in un articolo dello scorso aprile:
se tutto avviene in pochi secondi, come sarà possibile spiegare all’utente in anticipo dove finiscono i suoi dati e chi li utilizzerà?
Il punto è che il GDPR, ma in generale la normativa in materia di protezione dei dati personali, prevede che l’utente sia informato preventivamente su: quali dati vengono raccolti, chi è il titolare del trattamento, cosa ci farà coi suoi dati, a chi li trasferirà e per quali finalità sono trasferiti a terzi. Poi l’utente dovrà, se vuole, fornire il consenso al trattamento. Il problema è che il consenso fornito non potrà mai essere realmente informato per il semplice motivo che nel momento in cui tale consenso viene dato non si sa ancora a chi saranno trasferiti i dati, cioè quale sarà l’azienda aggiudicataria dell’asta in real time, e quindi i dati vengono condivisi con tutti i partecipanti all'asta.
Nel corso dell'istruttoria conseguente ai ricorsi presentati, sono state acquisite nuove prove. In base a queste già nel 2017 (quindi ben prima dell’attuazione del GDPR) il CEO di IAB Europe, Townsend Feehan, sapeva che il sistema RTB violava probabilmente le norme del GDPR. In una mail Feehan allega un documento nel quale si legge:
“Consent under the GDPR must be 'informed', that is, the user consenting to the processing must have prior information as to the identity of the data controller processing his or her personal data and the purposes of the processing.
As it is technically impossible [...] in a real-time bidding (RTB) scenario, programmatic trading, the area of fastest growth in digital advertising spend, would seem, at least prima facie, to be incompatible with consent under GDPR.”(Il consenso in base al GDPR deve essere “informato”, cioè l'utente che acconsente al trattamento deve disporre di informazioni preliminari in merito all'identità del titolare che tratta i suoi dati e alle finalità del trattamento.
Essendo tecnicamente impossibile [...] in uno scenario di offerte in tempo reale (RTB), il trading programmatico, l'area di maggiore crescita della spesa pubblicitaria digitale, sembrerebbe, almeno a prima vista, non conforme al consenso come previsto dal GDPR)
Nonostante ciò, IAB ha comunque proseguito, lanciando ad aprile del 2018 il "sistema di consenso IAB". In un nuovo documento, a maggio del 2018, IAB riconosce nuovamente che “non esiste un modo tecnico per limitare come i dati vengono utilizzati dopo che sono stati ricevuti dal venditore per l’asta”.
In conclusione, sia prima che dopo il lancio del meccanismo di consenso dell’IAB, che avrebbe dovuto essere conforme al GDPR, IAB riconosce che non è conforme. I dati, anche sensibili, delle persone, vengono trasmessi al sistema di aste pubblicitarie e condivisi centinaia di miliardi di volte al giorno, al fine di consentire agli inserzionisti di poter selezionare il “segmento” di popolazione al quale inviare le pubblicità. I sistemi di aste pubblicitarie sono scarsamente trasparenti per design (altro che privacy by design e by default come prevista dal GDPR), ed è impossibile per gli utenti conoscere che fine fanno i loro dati, e quindi esercitare i loro diritti. E non c'è niente che impedisca alle aziende che ricevono i dati di passarli ad altre aziende.
È importante capire che non si tratta solo delle piattaforme online, come Google, qui si sta parlando dell’intero settore pubblicitario online (che in Europa vale circa 12 miliardi di euro), e quindi anche i giornali online che vivono di AdTech, ma anche molti dei siti privati che presentano pubblicità aderenti al circuito IAB.
L’attuale sistema pubblicitario viene presentano come l’unico possibile, come a sostenere che dovremmo tenercelo perché non c’è modo di fare pubblicità online diversamente. Ma questo non può essere un motivo per consentire la violazione delle leggi, farsi beffe dei diritti dei cittadini e della tutela dei dati personali. Il settore pubblicitario può cambiare, deve cambiare, se vuole riguadagnare la fiducia dei cittadini.
IAB Europe ha pubblicato sul suo blog un articolo in risposta alle accuse presentate dinanzi ai Garanti europei. Secondo IAB le accuse non solo sarebbero false, ma intenzionalmente dannose per l’industria della pubblicità digitale e per i media digitali che dipendono dalla pubblicità come flusso di entrate.
Nell’articolo si sostiene che il documento sarebbe risalente all’aprile 2017, epoca nella quale effettivamente sussistevano dei problemi di conformità col GDPR sopravveniente, problemi che, però, sarebbero stati poi risolti.
Il sistema, prosegue l’articolo, consente agli utenti di ricevere informazioni e dare il proprio consenso “in anticipo” a un numero di venditori, che sono quindi in grado di elaborare i propri dati personali in modo lecito. I destinatari che ricevono il consenso al trattamento o all’accesso al dispositivo dell’utente (ad esempio per inserire i cookie). Secondo IAB il risultato è lo stesso che se vi fosse un rapporto solo tra venditore e utente. In tal modo il sistema non è incompatibile col GDPR.
Il sistema, come qualsiasi protocollo, è neutro, non può impedire che i dati siano condivisi da alcuni soggetti con terzi, ma questo è una responsabilità del soggetto, non del sistema. Tali informazioni sono state fornite a coloro che hanno presentato le accuse ai Garanti, ma questi hanno “deliberatamente” scelto di ignorarle.
Per dovere di correttezza riportiamo la risposta di IAB. Occorre però precisare che il documento menzionato nelle accuse è di dicembre 2018, e che comunque vi sarebbe il secondo documento successivo all’attuazione del GDPR. Inoltre, proprio per la sua natura di sistema in tempo reale, non è materialmente possibile fornire accurate informazioni agli utenti sul trattamento dei loro dati, per il semplice motivo che tali informazioni non sono disponibili che dopo la conclusione dell’asta (e quindi dopo la fornitura del consenso).
L’articolo 5 del GDPR, par. 1, lett. f), richiede che i dati personali siano “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, ma non è materialmente possibile un controllo del genere data la particolarità del sistema (link ad uno dei ricorsi).
I dati condivisi vanno ben oltre quelli strettamente necessari per fornire pubblicità personalizzata, sono utilizzati per finalità che vanno ben oltre l’invio di pubblicità personalizzatale, le informazioni che possono essere fornite all’utente sono solo informazioni generiche e insufficienti a consentire l’esercizio dei diritti degli utenti. Cosa che finisce per essere in contrasto con le norme e lo spirito della nuova normativa.
Foto via www.reforge.com