Analizzare il pubblico per comunicare meglio... quali sono le regole?

Osservatorio Legale n. 49 – Luglio 2022

Analizzare il pubblico per comunicare meglio... quali sono le regole? Oggi, i media e i social network consentono alle aziende di analizzare il proprio pubblico per poterlo raggiungere in modo più mirato, migliorare la propria immagine e adattare la propria strategia di marketing.

È quindi possibile, e sempre più frequente, rivolgersi a una società di "social media monitoring" che scandagli il web, segua le conversazioni più rilevanti sui social network e fornisca ai propri clienti report e analisi adatti alle loro esigenze.

Sebbene pubblici, i dati così analizzati sono spesso dati personali che restano protetti dal GDPR, che si tratti di influencer, giornalisti o altre persone attive sui social network.

Chi deve rispettare questi obblighi?

Quando si stipula un contratto con un partner esterno per valutare la propria percezione sui social media, l'azienda cliente è considerata il titolare del trattamento dei dati per il servizio contrattuale, mentre la società di monitoraggio dei media è il subappaltatore.

Le implicazioni sono significative, poiché implicano la responsabilità per il modo in cui i dati dei social media vengono raccolti, elaborati e archiviati.

È pertanto opportuno verificare diversi elementi al momento della conclusione di un contratto di questo tipo, al fine di garantire che le pratiche della società che effettua il “monitoraggio dei media” siano conformi al GDPR:

• Dove si trova l'azienda?

Se la società è costituita al di fuori dell'UE, è importante verificare la legge applicabile, in particolare se la società non ha sede in un paese che offre un livello di protezione adeguato.

In questo caso dovrà ricorrere a garanzie specifiche per assicurare la protezione dei dati, il più delle volte clausole contrattuali standard.

• L'azienda fornisce il nome e i recapiti del proprio DPO?

• Pubblica la sua informativa sulla privacy e sulla protezione dei dati sul suo sito web oppure può essere resa disponibile su richiesta?

Si prega di notare che in questo caso è necessario distinguere tra la politica sulla protezione dei dati per il sito web e la politica sul trattamento dei dati per i servizi di monitoraggio dei media.

• I seguenti dettagli sono inclusi nel presente documento e/o nel contratto?

• Rispettivi ruoli di subappaltatore o titolare del trattamento dei dati, ambito delle responsabilità di ciascuna persona;

• Condizioni per la raccolta dei dati personali, fonte dei dati, tipi di dati raccolti e luogo di conservazione, modalità in cui tali dati vengono aggregati o pseudonimizzati, ove applicabile;

• Base giuridica;

• Periodo di conservazione dei dati;

• Misure di sicurezza e riservatezza;

• Trasferimento dei dati al di fuori dell'UE;

• Informazioni agli interessati e modalità di esercizio dei loro diritti.

È meglio affidarsi alle aziende che forniscono il massimo livello di dettaglio riguardo a questi vari elementi.

Ciò non esonera la società cliente dall'adottare misure aggiuntive in qualità di titolare del trattamento dei dati.

Per quanto riguarda in particolare l'informazione delle persone interessate, si può ritenere che l'informazione diretta comporti sforzi sproporzionati.

Tuttavia, è possibile aggiungere un'informativa alla politica sulla protezione dei dati del sito web, che informi il pubblico in generale sulle analisi di audience effettuate, specifichi le varie responsabilità e diritti e rimandi al sito web del partner esterno per maggiori dettagli.

E anche

Francia:

La CNIL ha pubblicato la sua posizione sulle telecamere aumentate il 19 luglio e sollecita una riflessione complessiva sul corretto utilizzo di questi strumenti negli spazi pubblici.

La Commissione sottolinea il rischio di una sorveglianza e di un'analisi diffuse che potrebbero, di conseguenza, modificare il comportamento delle persone che camminano per strada o vanno nei negozi.

Sottolinea che la legge francese non autorizza l'uso di telecamere potenziate da parte delle autorità pubbliche per l'individuazione e il perseguimento di reati e ritiene che sia necessario stabilire limiti per non utilizzare mai queste telecamere allo scopo di "valutare" le persone.

Il 26 luglio la CNIL ha pubblicato delle raccomandazioni in merito al controllo dell'età sui siti web: Richiede lo sviluppo di soluzioni più efficaci e rispettose della privacy, con riferimento all'uso delle carte bancarie e al riconoscimento facciale.

Supporta inoltre lo sviluppo del ruolo di terze parti fidate.

Il 21 luglio la CNIL ha inoltre imposto una multa di 175.000 euro alla società Ubeeqo International. società di autonoleggio, in particolare per aver causato un'invasione sproporzionata della privacy dei propri clienti geolocalizzandoli in modo quasi permanente.

Europa:

I due regolamenti europei sui mercati e sui servizi digitali (DMA e DSA) sono stati adottati dal Parlamento europeo il 5 luglio a larghissima maggioranza.

Il DMA è stato infine approvato dal Consiglio a luglio, mentre si prevede che il DSA sarà approvato a novembre.

La Commissione sta già valutando la creazione di una divisione specializzata per garantire il rispetto del DMA da parte dei giganti digitali.

Il Comitato europeo per la protezione dei dati (EDPB) ha risposto alla raccolta di dati personali da parte di TikTok in una lettera del 28 luglio indirizzata a diverse ONG.

Evidenzia la rapida azione intrapresa dalle autorità di vigilanza irlandesi, italiane e spagnole in seguito all'annuncio di TikTok di non richiedere più il consenso degli utenti per inviare annunci personalizzati (la base giuridica diventa l'interesse legittimo di TikTok e dei suoi partner).

A seguito di queste azioni, TikTok ha annunciato la sospensione di questo cambiamento di base giuridica.

Il Comitato ha inoltre preso posizione presso il Garante europeo della protezione dei dati (GEPD) in merito alla proposta di regolamento per prevenire e contrastare gli abusi sessuali sui minori.

La proposta mira a imporre obblighi a vari servizi web in relazione al rilevamento, alla segnalazione, alla rimozione e al blocco di materiale online contenente abusi sessuali su minori (CSAM) e adescamento di minori.

Pur ricordando che considerano tali reati particolarmente gravi e odiosi, le autorità di vigilanza osservano che la natura invasiva della proposta, nella sua forma attuale, può presentare maggiori rischi per gli individui e, di conseguenza, per la società nel suo complesso, rispetto ai criminali perseguiti dal CSAM.

Il Comitato europeo per la protezione dei dati (CEPD) e il GEPD hanno espresso il loro parere sulla proposta della Commissione europea relativa allo Spazio europeo dei dati sanitari (EHDS).

La proposta mira a creare un'"Unione europea della salute" "sfruttando appieno il potenziale offerto dallo scambio, dall'uso e dal riutilizzo sicuri dei dati sanitari".

Il parere evidenzia in particolare i rischi associati all'uso secondario dei dati sanitari elettronici, che può generare benefici per il bene pubblico, ma non è esente da rischi per i diritti e le libertà degli individui.

Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato la sua posizione sui trasferimenti verso la Russia il 12 luglio.

Il Comitato non commenta l'evoluzione del livello di protezione dei dati in questo Paese dall'inizio della guerra, ma sottolinea che i trasferimenti devono essere sottoposti a un'analisi d'impatto caso per caso.

La Corte di giustizia dell'Unione europea ha pubblicato il 1° agosto un'importante sentenza riguardante la portata della protezione dei dati sensibili.

Il concetto di “categorie particolari” di dati personali dovrebbe essere interpretato in senso ampio, in particolare per garantire il raggiungimento dell’obiettivo dell’art. 9(1) del GDPR.

La legge lituana in questione, relativa alla prevenzione dei conflitti di interesse e della corruzione, richiedeva la pubblicazione del nome del partner del funzionario pubblico.

La Corte ha ritenuto che tali informazioni potessero rivelare informazioni sulla vita o l'orientamento sessuale dell'agente e della sua compagna.

In Norvegia, l'autorità per la protezione dei dati ha avviato una collaborazione con i sindacati per monitorare la videosorveglianza sul posto di lavoro.

Il Comitato di appello dell'Autorità ha inoltre concordato che una società acquirente si assume la responsabilità del titolare del trattamento dei dati pre-acquisizione, e ha confermato la decisione di multarla di circa 12.000 € per punteggio di credito illecito in violazione dell'articolo 6(1) del GDPR (tramite GDPRhub)

L'autorità per la protezione dei dati della Bassa Sassonia ha multato la Volkswagen di un milione di euro per violazioni della protezione dei dati nell'uso di un veicolo di prova dotato di telecamere. destinato a migliorare i sistemi di assistenza alla guida e di prevenzione degli incidenti.

L'auto di prova è stata guidata senza alcuna informazione visibile nel campo di sorveglianza delle telecamere.

L'autorità danese per la protezione dei dati ha rimproverato l'autorità per la protezione dei dati sanitari per non aver testato il suo database sui medicinali. per rilevare errori nell'architettura del servizio, che hanno portato a una violazione dei dati che ha interessato 267 persone (tramite GDPRhub).

L'DPA ha inoltre rimproverato il Comune di Helsingør per aver utilizzato Google Chromebook e "Google Workspace for Education" nelle scuole primarie.

Ha vietato tale trattamento finché non sarà reso conforme al GDPR e ha sospeso tutti i trasferimenti di dati correlati verso gli Stati Uniti (tramite GDPRhub).

A tal proposito, nei Paesi Bassi, studenti e personale vengono ora indirizzati a DuckDuckGo per le loro ricerche su Internet anziché a Google Search.

L'autorità slovena per la protezione dei dati ha riclassificato un accordo tra un fornitore di servizi cloud e i suoi clienti: ha rilevato che non esisteva alcun rapporto titolare/responsabile del trattamento, bensì responsabilità condivise., poiché entrambe le parti hanno preso decisioni sulle finalità e sui mezzi del trattamento (tramite GDPRhub)

La Camera degli appalti pubblici del Baden-Württemberg rileva che il trasferimento di dati personali verso un paese terzo (al di fuori dell'UE) è inammissibile ai sensi del GDPR., anche se il server corrispondente è gestito da una società con sede nell'UE, purché faccia parte di un gruppo americano.

Internazionale:

L'ONG Data Rights e le sue organizzazioni partner keniane, la Kenya Human Rights Commission e il Nubian Rights Forum, hanno intentato causa contro IDEMIA, un'azienda francese leader nel settore della tecnologia biometrica, presso il tribunale di Parigi..

Queste organizzazioni accusano IDEMIA di non aver tenuto conto dei diritti umani nel suo piano di vigilanza riguardante la raccolta di dati biometrici della popolazione per lo sviluppo di un sistema nazionale di identificazione digitale in Kenya.

Il Daily Mail del 13 luglio discute dell'uso dell'intelligenza artificiale da parte della Cina per "migliorare" il funzionamento dei suoi tribunali: I computer correggerebbero gli errori umani percepiti in un verdetto, richiedendo ai giudici di inviare una spiegazione scritta alla macchina se non fossero d'accordo con le correzioni dell'IA.

La Gran Bretagna e gli Stati Uniti inizieranno a condividere i dati relativi alle indagini delle forze dell'ordine a partire da ottobre, nell'ambito di un accordo CLOUD tra i due Paesi.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.