Quando entrò in vigore la GDPR (la nuova norma europea sulla tutela dei dati personali), a maggio 2018, si sapeva che avrebbe sollevato questioni e problemi. Forse però non era chiaro a molti che il regolamento europeo metteva in discussione alla base il sistema pubblicitario online nel suo complesso. Non si tratta solo di Facebook e Google (e Cambridge Analytica non c’entra nulla), ma di qualunque sito internet che utilizzi il sistema di gestione degli annunci pubblicitari Ad Exchange, cioè ormai una larga maggioranza di siti.

Questo sistema si basa sulla profilazione degli utenti, ed è il motivo per cui molti dei siti che visitiamo ci chiedono il consenso all’utilizzo di “cookie di terze parti”. I cookie sono dei piccoli file che raccolgono i nostri dati di navigazione e li mettono a disposizione del sito internet che stiamo visitando. Autorizzando quest’ultimo a utilizzare cookie di terze parti, gli stiamo dicendo che tali dati potranno essere ceduti anche ad altre aziende, che li raccolgono per costruire un profilo dell’utente. Una grande azienda che raccolga cookie da un gran numero di siti (per esempio Facebook) avrà dunque a disposizione una grandissima quantità di dati su di noi: quali siti di notizie visitiamo, quali notizie leggiamo, se abbiamo fatto ricerche di voli aerei, treni, articoli sportivi, cure dentarie, ecc.

Tutte informazioni teoricamente anonime, ma in realtà associate spesso a un id pubblicitario unico, col quale è possibile aggregare tutte le informazioni attorno a un unico utente. Il profilo costruito serve poi a cercare di inviarci pubblicità mirate in base ai nostri interessi, con un sistema di aste online in tempo reale (Real time bidding). Come spiega Bruno Saetta su ValigiaBlu, «I dati in questione (fino a 595 categorie) possono riguardare anche: la fascia di reddito, l’età, il sesso, le abitudini, l’etnia, l’orientamento sessuale, la religione, l’inclinazione politica, ecc… Quindi anche dati definiti “sensibili” (oggi dati soggetti a trattamento speciale). Ad esempio, una delle categorie è “IAB7-28 Incest/Abuse Support”, che consente la targettizzazione di soggetti (presumibilmente) vittime di incesto o abuso. Altre riguardano condizioni di salute, disordini alimentari, ecc.».

Un sacco di roba, insomma, al cui utilizzo non abbiamo mai acconsentito esplicitamente, o forse l’abbiamo fatto senza accorgercene. La questione è oggetto di controversia tra lo IAB (Interactive Advertising Bureau, la principale associazione di categoria sulla pubblicità online) e alcune autorità che si occupano di protezione dati (in particolare quelle di Regno Unito, Irlanda e Polonia).

Riprendiamo dall’articolo di Saetta un’efficace sintesi di come funziona il Real time bidding:

  • «L’utente visita una pagina web.
  • Il browser dell’utente invia una richiesta al server per caricare una pubblicità (banner).
  • Il network pubblicitario mette in vendita lo spazio pubblicitario sull’Ad Exchange.
  • L’Ad Exchange inizia l’asta tra tutti gli inserzionisti (bidders).
  • Gli inserzionisti fanno le loro offerte per l’acquisto dello spazio pubblicitario, in base ai loro criteri di segmentazione degli utenti.
  • L’Ad Exchange stabilisce chi ha vinto l’asta.
  • La pubblicità del vincitore dell’asta viene inviata al server e quindi al browser dell’utente.
  • L’utente visualizza la pubblicità.

Il tutto avviene in meno di 100 millisecondi».

Se l’utente non sa esattamente a chi andranno i suoi dati (perché lo si deciderà ad asta avvenuta), come si può considerare “informato” il suo consenso? Lo IAB ha risposto che il suo sistema di trattamento dei dati prevede che l’utente abbia accesso a una lista di potenziali destinatari (cioè tutte le aziende che parteciperanno all’asta), e che dia quindi il proprio consenso preventivo a tutti i soggetti menzionati. In questo modo, sostiene IAB, è come se si stabilisse una transazione diretta tra l’utente e l’azienda che vincerà l’asta.

Secondo Saetta, se anche questo ragionamento fosse plausibile, resterebbero aperte molte questioni sulla comunicazione all’utente di quali dati saranno comunicati, a chi e per quale scopo: «L’articolo 5 del GDPR, par. 1, lett. f), richiede che i dati personali siano “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. I dati condivisi vanno ben oltre quelli strettamente necessari per fornire pubblicità personalizzata, sono utilizzati per finalità che vanno ben oltre l’invio di pubblicità personalizzata, le informazioni che possono essere fornite all’utente sono solo informazioni generiche e insufficienti a consentire l’esercizio dei diritti degli utenti. Cosa che finisce per essere in contrasto con le norme e lo spirito della nuova normativa».

Sono questioni di cui è difficile parlare, perché appaiono molto distanti dalla nostra esperienza concreta, eppure dietro queste tecnologie si giocano importanti questioni etiche e giuridiche sul rispetto dei diritti del cittadino. In questo caso, poi, c’è un intero settore economico a rischio. Cosa succederebbe se venisse dichiarato illegale il sistema di Ad Exchange nel suo complesso?

(Foto di Thomas Lefebvre su Unsplash)