Con Daniela De Pasquale parliamo di Online Behavioural Advertising
La pubblicità comportamentale online, come è noto, consente di realizzare campagne pubblicitarie particolarmente efficaci, in quanto basate sui gusti e gli interessi degli utenti grazie al monitoraggio dei loro percorsi di rete ed alla loro conseguente profilazione.
Essa può costituire una minaccia alla sfera della riservatezza degli individui, spesso del tutto inconsapevoli di essere spiati mentre navigano, scrivono una mail o esprimono il proprio pensiero su un social network. L’utente una volta profilato, magari anche in base alla sua posizione, grazie alla geolocation, riceve messaggi pubblicitari che hanno ovviamente maggiori possibilità di suscitare un suo atto di acquisto, in quanto relative a prodotti o servizi che lo interessano.
Pertanto il collocamento di un mezzo di monitoraggio (c.d. cookie) nel terminale di un utente deve essere basato sul consenso libero ed esplicito di questo.
Nel febbraio 2009 la Federal Trade Commission, sulla scorta di una risoluzione già intrapresa nel 2007[1], ha stabilito quali principi debbano ispirare l’adozione di un codice di autoregolamentazione con riferimento a questo particolare tipo di pubblicità.
Nel luglio 2009, un gruppo di associazioni operanti nell’ambito dell’industria pubblicitaria americana, capitanati da IAB, Internet Advertising Bureau. (http://www.iab.net/self-reg) ha dato vita ad un di codice di autoregolamentazione, denominato “Self-Regulatory Principles for Online Behavioral Advertising”. Esso racchiude sette principi di trasparenza ed informazione che le aziende aderenti si sono impegnate a rispettare, a partire dal 2010, allo scopo di aumentare la consapevolezza degli utenti su questi meccanismi
Nel frattempo il legislatore comunitario con la direttiva 136/2009 (c.d. Telecom’s Package) ha stabilito alcuni principi proprio con riferimento alle tecniche basate sull’installazione dei cookies.
Il 66° considerando di tale direttiva prevede che: «Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio, alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva n. 95/46/Ce».
Ai sensi della medesima direttiva l’art. 5, comma terzo, della direttiva n. 2002/58/Ce (ossia la Direttiva e-Privacy, relativa alla vita privata e alle comunicazioni elettroniche) é stato così modificato: «Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva n. 95/46/Ce, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica,o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».
A questo punto, l’Article 29 Working Party (di seguito, anche, WP29, organismo che raggruppa le authority comunitarie in materia di privacy), prima della scadenza del termine per il recepimento della detta Direttiva negli Stati Membri ha stilato un documento di indirizzo in materia di behavioural advertising (Opinione 2/2010 sulla pubblicità comportamentale). Esso stabilisce che: «i) il consenso, che di norma è denominato “previo consenso”, deve essere ottenuto prima del collocamento del cookie e/o della raccolta delle informazioni archiviate nell’apparecchiatura terminale dell’utente, e ii) il consenso informato può essere ottenuto soltanto se all’utente sono state fornite informazioni preventive circa l’invio e le finalità del cookie. In questo contesto è importante considerare che, affinché il consenso sia valido indipendentemente dalle circostanze in cui è stato espresso, esso deve essere libero, specifico e costituire una manifestazione informata di volontà dell’interessato. Il consenso deve essere ottenuto prima che si proceda alla raccolta dei dati personali, in modo che gli interessati siano pienamente consapevoli del fatto che stanno esprimendo un consenso e dell’oggetto del medesimo. Inoltre, il consenso deve poter essere revocato».
Dopo questa prima serie di indicazioni normative EASA (European Advertising Stardards Alliance), organismo che raggruppa le autorità di autodisciplina pubblicitarie europee insieme a numerose associazioni rappresentative delle imprese pubblicitarie, tra cui IAB (Internet Advertising Bureau) Europe, nel 2011 varava un documento (EASA Best Practice Reccomandation on Online Behavioural Advertising, il quale comprende anche lo IAB Europe EU Framework for Online Behavioural Advertising) atto a sollecitare l’industria pubblicitaria ad adottare alcune regole standard per affrontare in maniera uniforme la materia del behavioural advertising. È auspicata l’adozione di regole specifiche in relazione a questo tipo di attività pubblicitaria nell’ambito dei vari codici di autodisciplina nazionali ed è previsto che le dispute relative siano devolute alle autorità autodisciplinari locali (in Italia l’Istituto di Autodisciplina Pubblicità). Inoltre un’icona rinvia ad informative specifiche in relazione all’utilizzo di cookies da parte dei vari soggetti coinvolti in questa attività, l’espressione del consenso esplicito potrà svolgersi mediante il link ad un sito web (www.youronlinechoices.eu), e poi si prevede l’utilizzo di un “seal”, una sorta di marchio di riconoscimento che può essere apposto dai siti web che si conformano alle regole autodisciplinari ed ovviamente un sistema di risoluzione di reclami e dispute.
Questo slancio dell’industria pubblicitaria e degli organismi di autodisciplina è stato rallentato, tuttavia, da un successivo provvedimento del WP29, datato dicembre 2011, (Opinion 16/2011 on EASA/IAB best practice recommendation on online behavioural advertising) che ha sostanzialmente “bocciato” il sistema così proposto.
Il WP29 ha segnalato che, diversamente da quanto indicato dall’industria pubblicitaria, esistono numerose tecnologie facilmente applicabili che consentirebbero al consumatore anche intervenendo sugli attuali software di navigazione, di esprimere o negare il proprio assenso alla pubblicità comportamentale in via preventiva. Ciò richiede naturalmente una collaborazione attiva da parte degli operatori del settore, i quali sono invitati ad avvalersi delle indicazioni fornite nel suddetto parere. Il WP 29 ha sottolineato, infine, che deve anche essere garantita una protezione rafforzata per bambini e utenti minorenni e che i dati raccolti devono essere conservati per un periodo di tempo limitato.
Infine, oggi le regole comunitarie sono state recepite finalmente anche in Italia, con effetto dal 1 giugno 2012 (d.lgs. 28 maggio 2012, n. 69), mediante una modifica all’art. 122 del Codice Privacy. Secondo le nuove regole, l’utilizzo dei cookies è consentito a condizione che l’utente abbia espresso il proprio consenso dopo essere stato informato, seppur con modalità semplificate. L’archiviazione tecnica o l’accesso alle informazioni già archiviate saranno sempre possibili se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio esplicitamente richiesto dall’utente di erogare un determinato servizio. Resta al Garante il non facile compito di individuare tali modalità semplificate, tenuto conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte. Ai fini dell’espressione del consenso possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per l’utente. Non esistono in questo momento specifiche indicazioni del Garante della Privacy su come procedere in ordine alla informativa semplificata né al consenso preventivo. Esse tuttavia sono attese ad horas.
Mentre all’estero queste nuove regole sono già applicate e sanzionate in Italia il capitolo della concreta applicazione delle norme recentemente entrate in vigore in materia di behavioural advertising è ancora tutto da scrivere.
In questo contesto, il 12 ottobre 2012 l’EASA, insieme all’industria pubblicitaria statunitense ed europea ha lanciato il programma denominato European Interactive Digital Advertisng Alliance (www.edaa.eu) iniziativa pan-europea che si prefigge di coadiuvare gli organismi di autodisciplina nazionali nella introduzione di un sistema di regole uniformi e nella promozione dell’”icona” prevista dal sistema IAB Europe EU framework for OBA.
Da segnalare il lancio dell’OBA Self-regulation Code il 4 dicembre 2012 da parte dell’International Chamber of Commerce, finalizzato alla creazione di un sistema regole coerente con quello varato dall’EASA.
Quello dell’OBA, insomma è un fronte molto caldo, trasversale rispetto alla materia della privacy ed a quella della pubblicità ed a ben vedere è possibile che in futuro ci si trovi a considerarne anche altri aspetti: basti pensare al rischio di pratiche come quelle sanzionate dalla Corte di Giustizia della Unione Europea con riferimento alle parole chiave ed annunci sponsorizzati (si veda il noto caso Interflora[3]). Chi effettua una determinata ricerca potrebbe, infatti, essere raggiunto dalla pubblicità di una azienda concorrente rispetto a quella produttrice del prodotto o servizio ricercato o addirittura da quella di un contraffattore.
La strada dell’autodisciplina si profila come la soluzione più efficace e forse l’unica possibile in un ambiente caratterizzato dal forte dinamismo e tenuto conto della diffusione e frequenza del fenomeno nelle economie mondiali.
Daniela De Pasquale
[1] FTC Staff, Online Behavioral Advertising: 1 Moving the Discussion Forward to Possible Self-Regulatory Principles (Dec. 20, 2007), inhttp://www.ftc.gov/os/2007/12/P859900stmt.pdf.
[2] Innanzitutto (1) la necessità di creare cultura ed aumentare la consapevolezza del pubblico su questo fenomeno. Le imprese si impegnano (2) ad una maggiore trasparenza, mediante chiare comunicazioni ed informative ai consumatori circa la raccolta e l’utilizzo di dati con riguardo a i tutti i soggetti che a vario titolo sono coinvolti nella pubblicità comportamentale. Il consumatore (3) deve avere un potere di controllo sui propri dati mediante strumenti che gli permetteranno di scegliere se i dati siano trasferiti a terzi. La possibilità di questa scelta dovrebbe essere portata a conoscenza dell’utente da parte di quei soggetti terzi che raccolgono ed usano i dati per la pubblicità comportamentale on line. Ne discende, altresì, (4) l’obbligo di garantire un livello ragionevole di sicurezza dei dati raccolti ed una limitata memorizzazione degli stessi. È necessario (5) ottenere il consenso dell’utente allorché si dia corso ad un cambiamento sostanziale delle finalità per le quali i dati sono stati raccolti i dati. Ancora, (6) dovrebbero essere osservate particolari cautele nel trattare determinate tipologie di dati – si pensi ai dati relativi all’utilizzo del web da parte del minore, alla raccolta di dati relativi a titoli finanziari, prescrizioni di medicinali o altre informazioni sanitarie. Infine (7) i soggetti aderenti che utilizzano tale forma di pubblicità dovrebbero impegnarsi affinché tutti i soggetti coinvolti nella pubblicità comportamentale on line si conformino a questi principi.
[3] Interflora Inc. e Interflora British Unit / Marks & Spencer Plc Flowers Direct Online Ltd C-323/09