Con un articolo del 22 marzo, Google aggiorna la sua politica in tema di annunci commerciali al fine di conformarsi alla sopravveniente regolamentazione europea in materia di tutela dei dati personali, il GDPR, il quale avrà piena attuazione dal 25 maggio 2018. Si tratta di una questione importantissima, date le pesanti sanzioni finanziarie che una mancata conformità potrebbe comportare.

Nell’articolo si legge che saranno i publisher e gli advertiser (editori e inserzionisti) che utilizzano i suoi servizi a dover ottenere il consenso degli utenti finali.

Occorre precisare che già il ruolo nel trattamento dei dati di Google non è semplice da definire, poiché in molti casi opera come controller (titolare del trattamento), come ad esempio per AdSense, AdWords, DoubleClick e in genere per i servizi pubblicitari, mentre in altri casi opera come processor (responsabile esterno del trattamento), per quanto riguarda servizi come Analytics.

Google si occupa di raccogliere il consenso degli utenti di prima parte con riferimento ad alcuni servizi (Gmail, YouTube, Google search), mentre non lo farà per i servizi pubblicitari. Dall’annuncio sul blog possiamo evincere che Google qualifica se stesso come contitolare (joint controller) per i servizi pubblicitari, insieme ovviamente agli inserzionisti (in realtà sembrerebbero più che altro due titolari indipendenti). Saranno, però, editori ed inserzionisti a dover raccogliere il consenso dei consumatori (cioè dei propri utenti finali), se vogliono utilizzare pubblicità personalizzate. Quindi, qualsiasi sito o App, che utilizza prodotti Google, deve ottenere il consenso (valido) dell’utente finale, per utilizzare i cookie, raccogliere dati o condividere dati per la personalizzazione degli annunci (Google spiega in altro post cosa intende per consenso valido).

Questo è simile a ciò che Google ha fatto nel 2008, quando ha richiesto ai publisher di notificare agli utenti l’uso di cookie e di raccoglierne il consenso. E dipende dal fatto che Google non può acquisire il consenso all’uso dei servizi pubblicitari attraverso i normali servizi rivolti al consumatore finale (Gmail ecc…).

In questo approccio alla conformità alle nuove regole il punto debole appare essere il consenso raccolto dall’editore. Per essere valido il consenso deve essere specifico, cioè occorre un consenso separato per ogni finalità. Ma, soprattutto, occorre che sia informato, cioè l'editore (il sito che usa il servizio Google) dovrebbe comunicare all’utente finale come i suoi dati verranno utilizzati. Ma l’editore in realtà non sa quali dati Google condivide coi propri partner commerciali, né a quali scopi vengono utilizzati, per cui l’informativa dell’editore sarebbe sempre limitata, e probabilmente non conforme alle regole in materia di tutela dei dati personali.

Ovviamente si pone il problema che gli utenti finali potrebbero non concedere il consenso alla profilazione a fini di invio di pubblicità mirata. Per ovviare a tale eventualità, non del tutto remota, Google lancerà una soluzione per supportare gli editori i quali preferiscono utilizzare pubblicità non personalizzata.

 

Proposta di IAB Europe

Il settore comunque non rimane in attesa delle mosse di Google, ma sta intraprendendo altre strade. Ad esempio, IAB Europe (associazione di categoria che rappresenta oltre 600 aziende di comunicazione e pubblicità) propone uno strumento per l’acquisizione del consenso. Si tratta di un framework che fornisce trasparenza nell'utilizzo dei dati e raccoglie il consenso. 

IAB propone, purtroppo, un form di consenso con una breve informativa nella quale sono raggruppate diverse finalità ed un unico pulsante Ok che farebbe accettare tutte le finalità. Tale form non appare conforme alle norme del GDPR che richiedono, invece, un consenso granulare e separato per finalità (art. 5 GDPR). Inoltre, nel testo che accompagna il form non viene indicato ciò che verrà fatto con i dati dell’utente, anche questo in violazione del GDPR.

L’utente, invece, in base al GDPR deve essere informato del fatto che i suoi dati verranno inviati a una serie di aziende che combineranno tali dati con altri dati che già conservano o che otterranno da altre fonti, al fine di costruire un profilo sull’utente, profilo che contiene dati quali il reddito, l’età, il sesso, l’etnia, l’orientamento sessuale, la religione, il credo politico. E che tali dati potrebbero essere utilizzati da altre società (alle quali i dati saranno venduti) non solo per marketing online (invio pubblicità mirata) ma anche a fini di credit scoring (quindi per l’utilizzo da finanziarie e assicurazioni) ed altro.
Niente di tutto questo è indicato nel form di IAB. E anche se lo fosse, l’utente dovrebbe dire “si” a tutte le società eventualmente elencate oppure a nessuna, senza poter scegliere tra aziende che presentino minore o maggiore tutela per i dati personali.