Avv. Andrea Baldrati +39 340 4895530 Avv. Armando Strinati +39 333 5247665

TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

Le pagine social aziendali (c.d. fanpage) sono uno strumento di marketing indispensabile - anche e sopratutto - per i servizi di targeting offerti dai fornitori (come Facebook), che consentono ai titolari di quelle pagine di trasmettere messaggi commerciali e/o promozionali ad utenti mirati, così da generare le famose conversioni, dal click all'acquisto del prodotto o servizio.

1. LE RESPONSABILITÀ DELL'AMMINISTRATORE DELLA FAN PAGE E DEL SOCIAL NETWORK

Le campagne di targeting possono offrire ritorni economici macroscopici, ma allo stesso tempo pongono serie criticità sotto il profilo del trattamento dei dati personali degli utenti; criticità di cui l'amministratore della pagina social deve tenere conto, ma di cui spesso si è poco consapevoli.

E di fatti, proprio perchè la campagna di targeting viene creata all'interno di un social network, si è portati erronamente a ritenere che il fornitore del servizio - il Facebook o Linkedin di turno - sia l'unico responsabile ai sensi della normativa privacy.
Niente di più sbagliato!

La Corte di Giustizia Europea, a partire dal caso "Wirtschaftsakademie" (C-210/16), ha infatti chiarito che l'amministratore di una "fan page" incide sulla tipologia di trattamento dei dati personali degli utenti, ad esempio definendo i criteri in base ai quali devono essere elaborate le statistiche o designando le categorie di persone a cui inviare messaggi o annunci, selezionando una audience mirata.

Per questo motivo, l'amministratore va inteso come un "soggetto attivo" che, come tale, ha delle proprie responsabilità in materia di privacy nel momento in cui progetta campagne di targeting.

Richiamandoci al gergo specialistico della normativa privacy europea (c.d. GDPR), esiste quindi un rapporto di co-titolarità fra il social media provider (es. Facebook) e l'amministratore della pagina. Bisogna però fare chiarezza sul punto: co-titolarità non significa necessariamente uguale responsabilità in ogni fase del trattamento dei dati.

Il concetto è piuttosto intuitivo se lo associamo ad un caso concreto: l'amministratore di una pagina Facebook può certo scegliere fra un ventaglio di criteri di targeting degli utenti (età, genere, residenza ecc...), ma il numero e la tipologia di tali criteri sono stati già decisi a monte dal Social Network.

Pertanto la responsabilità congiunta si estenderà a quelle fasi di trattamento in cui entrambi gli attori coinvolti hanno inciso sulle modalità del trattamento; nel caso di prima, si estenderà al trattamento dei dati personali conseguenti alla selezione dei criteri di targeting e alla successiva visualizzazione dell'annuncio pomozionale al pubblico scelto; coprirà anche la fase di report statistico, qualora il provider fornisca all'amministratore i risultati della campagna di targeting.

Ma di certo non si estenderà alle operazioni di trattamento che si verificano ad esempio prima della selezione dei criteri di targeting pertinenti, su cui l'amministratore non avrà avuto alcun potere decisionale.

2. I RISCHI PRIVACY DI UNA CAMPAGNA DI TARGETING

3. COME CREARE CAMPAGNE TARGETING CHE SIANO CONFORMI ALLE NORME PRIVACY?

Il primo passo è compiere una valutazione dei rischi privacy connessi alla campagna di targeting che vogliamo intraprendere.

Ogni caso è a sè stante, e quindi necessario il supporto di un consulente legale specializzato o del DPO (Data Protection Officer) se nominato, al fine di ponderare tutti i rischi conseguenti e il vostro livello di responsabilità, escludendo le responsabilità proprie del Social Network.

Questa valutazione è fondamentale, perchè laddove emerga che il trattamento dei dati connesso al targeting degli utenti presenta un rischio elevato, sarà necessario procedere ad una valutazione di impatto (c.d. Data Protection Impact Assessment), per mettere in campo una serie di misure atte a mitigare quel rischio (qui per approfondire).
Si pensi al caso di messaggi o annunci che sono inviati ad una audience vulnerabile (es. minori) o all'ipotesi di un advertising piuttosto intrusivo (es. messaggi in chat private).

Il tema è certamente complesso e richiede competenze specialistiche, le quali però saranno fondamentali per sfruttare a pieno e in sicurezza i servizi di targeting che oggi sono messi a disposizione di tutte le aziende che hanno deciso di avere una forte presenza sui Social.