Online behavioural advertising
A cura di Daniela De Pasquale, Partner Studio La Scala & Associati
In uno degli anni peggiori della economia mondiale, il più autorevole report nel mercato pubblicitario, lo IAB Internet Advertising Report 2011[1], annuncia una crescita degli investimenti nella pubblicità on line negli Stati Uniti nei primi sei mesi dell’anno pari al 23%.
Si tratta di una trend che è destinato ad essere registrato anche negli anni futuri, con un sempre maggiore coinvolgimento dei social networks, secondo le previsioni, e che è basato sulla effettiva redemption delle tecniche pubblicitarie che sfruttano l’interattività del web.
Le stime di IAB Italia prevedono addirittura che nel 2012 l’advertising digitale diventerà il secondo media pubblicitario, dopo la TV. E nell’ambito di questo segmento, la pubblicità “display” (ossia gli spazi pubblicitari che si visualizzano sulle pagine web) torna a guadagnare terreno rispetto a quella basata sulle parole chiave (“search”) che sino ad ora era prevalente ed aveva segnato l’ascesa dei motori di ricerca.
Parte di questo successo è dovuto al Behavioural Advertising, una tecnica pubblicitaria basata sulla raccolta di dati online relativi al comportamento su internet degli utenti ed ai loro percorsi di navigazione. Mediante l’elaborazione di queste informazioni è possibile prevedere le preferenze ed i gusti degli utenti onde poter indirizzare pubblicità mirata sulla base di tali informazioni che appare sui siti visitati dagli utenti al momento del loro accesso.
Il Behavioral Advertising utilizza le informazioni raccolte sull’attività in rete del singolo utente, come, ad esempio, le pagine visitate o le ricerche effettuate su un motore di ricerca, per identificare la tipologia di contenuti pubblicitari da proporre a tale utente.
Le informazioni raccolte ai fini del Behavioural Advertising non consentono di identificare il singolo soggetto nell’accezione tradizionale del termine nel senso che esse non comprendono il nome dell’utente, il suo indirizzo anagrafico o altri simili dati identificativi usualmente necessari in modalità off line per identificare un destinatario: in realtà viene identificato solo il terminale (il p.c.) da cui l’utente effettua il proprio accesso ad internet, ossia il suo indirizzo IP.
Tutte le informazioni vengono raccolte attraverso i “cookies”, file di testo che tengono traccia delle attività dell’utente ed associano tali informazioni ad un determinato computer o altro dispositivo, inviati dagli operatori pubblicitari.
Questa pratica è effettuata dai principali motori di ricerca e dai “Network Advertisers” ossia concessionarie di vendita di spazi pubblicitari che selezionano ed inviano pubblicità on line a siti web che fanno parte del proprio network. Il Network Advertiser, in altri termini, dispone di una rete di siti web “affiliati” (che possono considerarsi “editori”) che, in cambio di un corrispettivo (le formule di remunerazione sono di vario tipo) offrono spazi sulle proprie pagine a beneficio dei suoi inserzionisti.
Sulla possibilità di profilare gli utenti mediante l’utilizzo dei cookies si appuntano, quindi, notevoli interessi economici, tenuto conto che allo studio del comportamento sulla rete dell’utente, magari associato ai dati sulla sua posizione geografica (geomarketing), è possibile associare non soltanto l’offerta di una determinata categoria di beni ma anche una specifica politica dei prezzi.
Incidentalmente, tale profilazione degli utenti è preziosissima anche ai fini delle ricerche di mercato che consentono alla industria di orientare i propri investimenti su nuovi prodotti. Non stupisce quindi che il tema dell’utilizzo dei cookies sia oggi nell’agenda dei legislatori in ogni parte del mondo.
Questo fenomeno desta naturalmente vive preoccupazioni in ordine al pericolo di un utilizzo indiscriminato dei dati personali raccolti nella rete ed alla necessità di prevedere forme di tutela della privacy degli utenti.
Nel febbraio 2009 la Federal Trade Commission, sulla scia di una risoluzione già intrapresa nel 2007[2], ha stabilito quali principi debbano ispirare l’adozione di un codice di autoregolamentazione con riferimento a questo particolare tipo di pubblicità.
Il 2 luglio 2009, un gruppo di associazioni operanti nell’ambito dell’industria pubblicitaria americana[3] ha dato vita ad un di codice di autoregolamentazione, denominato “Self-Regulatory Principles for Online Behavioral Advertising”. Esso racchiude sette principi di trasparenza ed informazione che le aziende aderenti si sono impegnate a rispettare, a partire dal 2010, allo scopo di aumentare la consapevolezza degli utenti su questi meccanismi[4].
Nel frattempo anche il legislatore comunitario è intervenuto stabilendo alcuni principi nel quadro di un complessivo riassetto della materia delle telecomunicazioni (il cd. Telecoms Package, Direttiva 2009/136/CE) proprio con riferimento alle tecniche basate sulla installazione dei cookies.
Il 66° considerando di tale direttiva stabilisce che: “Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio, alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE.”.
Ai sensi della medesima Direttiva l’art. 5, comma terzo, della Direttiva 2002/58/CE (ossia la Direttiva e-Privacy, relativa alla vita privata e alle comunicazioni elettroniche) é stato così modificato:”Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica,o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
L’Art. 29 Working Party (di seguito, anche, WP29, organismo che raggruppa le authority comunitarie in materia di privacy), prima della scadenza del termine per il recepimento della detta Direttiva negli Stati Menbri ha stilato un documento di indirizzo in materia di behavioural advertising (Opinione 2/2010 sulla pubblicità comportamentale). Esso stabilisce che: “i) il consenso, che di norma è denominato “previo consenso”, deve essere ottenuto prima del collocamento del cookie e/odella raccolta delle informazioni archiviate nell’apparecchiatura terminale dell’utente, e ii) ilconsenso informato può essere ottenuto soltanto se all’utente sono state fornite informazioni preventive circa l’invio e le finalità del cookie. In questo contesto è importante considerare che, affinché il consenso sia valido indipendentemente dalle circostanze in cui è stato espresso, esso deve essere libero, specifico e costituire una manifestazione informata di volontà dell’interessato. Il consenso deve essere ottenuto prima che si proceda alla raccolta dei dati personali, in modo che gli interessati siano pienamente consapevoli del fatto che stanno esprimendo un consenso e dell’oggetto del medesimo. Inoltre, il consenso deve poter essere revocato.
Alla luce di questi criteri, sempre secondo la citata Opinione 2/2010 del WP29, un consenso espresso mediante le impostazioni del browser di navigazione web é in grado di soddisfare detti requisiti in maniera assai limitata. Innanzitutto a causa della scarsa familiarità degli utenti con questi strumenti. Poi perché esistono cookies in grado di forzare queste impostazioni (fenomeno del “respawning”). Infine, perché il consenso a ricevere cookie in massa, espresso mediante le impostazioni del browser, implica che l’utente accetti qualsiasi trattamento futuro, eventualmente senza conoscere le finalità o gli usi dei cookie. Il consenso in massa a qualsiasi trattamento futuro senza conoscere le circostanze del trattamento non può essere considerato un consenso valido.
In sintesi, il WP29 solleva forti perplessità sulla idoneità di un meccanismo basato sulle sole impostazioni dei browser di navigazione web e parrebbe più incline all’adozione di meccanismi basati sul consenso preventivo espresso dell’utente.
I fornitori di reti pubblicitarie sono stati pertanto invitati a provvedere alla creazione di meccanismi di “opt-in” preliminare che richiedano un’azione positiva dell’interessato da cui risulti la volontà di ricevere cookie o dispositivi analoghi e di accettare il conseguente monitoraggio del comportamento di navigazione ai fini della trasmissione di pubblicità personalizzata. L’accettazione dei singoli utenti a ricevere un cookie può comportare anche l’accettazione delle letture successive del cookie e, quindi, del monitoraggio del comportamento di navigazione in rete. “Pertanto, al fine di soddisfare i requisiti di cui all’articolo 5, paragrafo 3, non sarebbe necessario chiedere il consenso per ogni lettura dei cookie. Tuttavia, affinché gli interessati siano costantemente tenuti al corrente del monitoraggio, i fornitori di reti pubblicitarie dovrebbero: i) limitare nel tempo la portata del consenso; ii) offrire la possibilità di revocarlo con facilità; iii) creare strumenti visibili che appaiano durante il monitoraggio. Questo approccio consentirebbe di risolvere il problema del sovraccarico di messaggi agli utenti, assicurando nel contempo che l’invio dei cookie e il conseguente monitoraggio del comportamento di navigazione in rete ai fini della trasmissione di pubblicità personalizzata abbiano luogo solo con il consenso informato dell’interessato”
Siffatta interpretazione della Direttiva e-Privacy risulta in contrasto con le best practices che pure l’industria pubblicitaria europea ha voluto codificare nell’aprile 2011, nel tentativo di promuovere condotte conformi alle regole vigenti, mediante le regole che sono state espresse da IAB Europe (Interactive Advertsing Bureau Europe) e EASA (European Advertising Standards Alliance). Si tratta dell’EASA/ IAB Best Practice Recommendation on Online Behavioural Advertising[5]
Questo documento ha promosso la identificazione delle pratiche di Behavioural Advertising attraverso l’impiego di un’icona che consente mediante un click l’accesso ad un meccanismo che garantisce agli utenti trasparenza sulla presenza di cookies e consente loro di determinare le proprie scelte sull’utilizzo dei dati che li riguardano. Detta icona segnalerà l’impiego di tale tecnica, sarà interattiva e consentirà agli utenti di sapere quali aziende stanno inviando al loro terminale pubblicità comportamentale mediante l’operatività a livello europeo del sito www.youronlinechoices.eu, eventualmente inibendo tale attività
Quanto al consenso espresso richiesto dalla Direttiva e-Privacy esso dovrà essere ottenuto in via preventiva, ed a seguito di una chiara informativa. dalle aziende che raccolgono i dati, allo scopo di inviare pubblicità comportamentale.
Puntuale è arrivata la bocciatura del WP29 che con la sua “Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising” dell’8 dicembre 2011 ha ribadito la propria avversità ad un sistema improntato su meccanismi di opt-out come quello in essere sul sito web, “www.youronlinechoices.eu“, basato sulla possibilità che gli utenti, una volta informati mediante l’icona, escludano di ricevere messaggi da un determinato operatore, sollevando perplessità anche sulla idoneità informativa dell’icona proposta da EASA / IAB..
E così mentre l’industria pubblicitaria, da una parte, cerca di innalzare i propri standard qualitativi dandosi delle regole di autodisciplina atte a creare un censo di operatori virtuosi (da ultimo nel novembre 2011 la Digital Advertising Alliance ha varato un altro documento: “Self Regulatory Principles for MultiSite data”) le authority comunitarie si mostrano poco sensibili a queste iniziative.
Ed in Italia che accade?
Sino ad oggi, in stridente contrasto con la realtà dei fatti, la lettera della legge (art. 122 del Codice Privacy) poneva sostanzialmente in contrasto con le disposizioni vigenti l’installazione di cookies con finalità di profilazione degli utenti.
Proprio in questi giorni, invece, l’Italia si è allineata agli altri paesi europei recependo i principi comunitari del Telecoms Package relativamente alla disciplina dei cookies. Con un certo ritardo, rispetto alla scadenza imposta dal legislatore comunitario (prevista per il maggio 2011) il Parlamento ha varato la legge comunitaria 2010[6], la quale prenderà effetti dal 17 gennaio 2012. Essa contiene all’art. 9, anche una delega al Governo ad adottare entro tre mesi un decreto legislativo di recepimento della Direttiva 2009/136/CE e, ciò che più conta, individua i criteri che dovranno ispirare il legislatore delegato, allorchè verrà riformato il testo dell’art. 122 del Codice Privacy. Al riguardo la lettera (i) dispone che le nuove norme pongano in essere un “rafforzamento delle prescrizioni in tema di sicurezza e riservatezza delle comunicazioni, nonche’ di protezione dei dati personali e delle informazioni gia’ archiviate nell’apparecchiatura terminale, fornendo all’utente indicazioni chiare e comprensibili circa le modalita’ di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete internet o altre applicazioni”.
Si direbbe che il legislatore italiano abbia voluto ascoltare le istanze dell’industria pubblicitaria e degli operatori web che a gran voce avevano sollecitato la possibilità di ritenere le impostazioni del browser idonee ad ottenere il consenso richiesto dalla Direttiva e-Privacy.
Ma è facile immaginare una febbrile azione dei lobbisti presso Palazzo Chigi nei prossimi mesi ed una altrettanto fiera opposizione all’utilizzo delle sole impostazioni di browser da parte del Garante per la Protezione dei Dati Personali, giacché esso verrà richiesto del proprio parere. E nel frattempo le associazioni europee che promuovono meccanismi di autodisciplina torneranno alla carica presso i regolatori europei per fare sentire le proprie ragioni.
In Italia come all’estero il tema su cui si confronteranno il legislatore, le authority e l’industria pubblicitaria è, dunque, quando e come possa intendersi validamente richiesto e manifestato il consenso all’utilizzo dei cookies.
[1] Ogni anno l’Interactive Adverstising Bureau, associazione che raggruppa i principali operatori di marketing e pubblicità negli Stati Uniti, pubblica il proprio report sull’andamento della industria pubblicitaria: www.iab.net
[2] FTC Staff, Online Behavioral Advertising: 1 Moving the Discussion Forward to Possible Self-Regulatory Principles (Dec. 20, 2007), available at http://www.ftc.gov/os/2007/12/P859900stmt.pd.f
[3] comprendenti l’American Association of Advertising Agencies (A.A.A.A.), l’Association of National Advertisers (A.N.A.), il Council of Better Business Bureaus (B.B.B.), la Direct Marketing Association (D.M.A.) e l’Interactive Advertising Bureau (I.A.B.)
[4] Innanzitutto (1) la necessità di creare cultura ed aumentare la consapevolezza del pubblico su questo fenomeno. Le imprese si impegnano (2) ad una maggiore trasparenza, mediante chiare comunicazioni ed informative ai consumatori circa la raccolta e l’utilizzo di dati con riguardo a i tutti i soggetti che a vario titolo sono coinvolti nella pubblicità comportamentale. Il consumatore (3) deve avere un potere di controllo sui propri dati mediante strumenti che gli permetteranno di scegliere se i dati siano trasferiti a terzi. La possibilità di questa scelta dovrebbe essere portata a conoscenza dell’utente da parte di quei soggetti terzi che raccolgono ed usano i dati per la pubblicità comportamentale on line. Ne discende, altresì, (4) l’obbligo di garantire un livello ragionevole di sicurezza dei dati raccolti ed una limitata memorizzazione degli stessi. E’ necessario (5) ottenere il consenso dell’utente allorché si dia corso ad un cambiamento sostanziale delle finalità per le quali i dati sono stati raccolti i dati. Ancora, (6) dovrebbero essere osservate particolari cautele nel trattare determinate tipologie di dati – si pensi ai dati relativi all’utilizzo del web da parte del minore, alla raccolta di dati relativi a titoli finanziari, prescrizioni di medicinali o altre informazioni sanitarie. Infine (7) i soggetti aderenti che utilizzano tale forma di pubblicità dovrebbero impegnarsi affinché tutti i soggetti coinvolti nella pubblicità comportamentale on line si conformino a questi principi.
[5] Raccomandazione del 14 aprile 2011: “Setting out a European advertising industry-wide self-regulatory standard and compliance mechanism for consumer controls in Online Behavioural Advertising””
[6] LEGGE 15 dicembre 2011, n. 217 -Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunita’ europee – Legge comunitaria 2010. (12G0001) (GU n.1 del 2-1-2012 )
