Il digital marketing alla prova della privacy

Le problematiche aperte sul tracciamento dei dati a seguito di attività digitali.

Una delle motivazioni principali, che ha ispirato la creazione del modello legislativo per la protezione dei dati personali, realizzato dall’Unione Europea con l’adozione del GDPR, che si concluderà con l’approvazione, per quanto riguarda digital marketing, del Regolamento sulla vita privata e le comunicazioni elettroniche (c.d. regolamento E-privacy), ancora in discussione, che abroga la direttiva 2002/58/CE, è stata la necessità di disciplinare, nel rispetto dei diritti fondamentali delle persone fisiche, la creazione e la gestione di enormi banche di dati, conseguenti a un impiego sempre più pervasivo e personalizzato, per ragioni di promozione dell’immagine, di prodotti, servizi, beni, persone etc. di nuove tecnologie.

Si è volutamente usata l’espressione nuove tecnologie, senza darle un contesto specifico riferito alla modalità caratteristiche di realizzazione dell’attività di promozione, per sottolineare come, oltre alla difficoltà intrinseca di definire, da un punto di vista strettamente giuridico, cosa sia effettivamente il digital marketing, risulta altresì difficile, in ragione della continua evoluzione delle tecnologie e delle metodologie di digital marketing, individuare un perimetro applicativo delle norme che si applicano.

Definizione ed esempi concreti

Posto che possiamo definire, il marketing come: “il complesso dei metodi atti a collocare con il massimo profitto i prodotti in un dato mercato attraverso la scelta e la programmazione delle politiche più opportune di prezzo, di distribuzione, di vendita, di pubblicità, di promozione, dopo aver individuato, attraverso analisi di mercato, il potenziale consumatore” (vocabolario Treccani voce marketing), riterrei di poter considerare, per fare degli esempi in modo tale da delimitare l’ambito di operatività della nostra indagine relativa alle norme applicabili, quali attività di digital marketing quelle svolte mediante strumenti elettronici di elaborazione grazie all’utilizzo delle tecnologie della società dell’informazione.

In questo contesto rientrano, dal mio punto di vista, le operazioni svolte mediante l’impiego di tecnologie di tracciamento e/o profilazione degli utenti online, siti web, mobile app e social media, tecnologie di raccolta dei dati, come per es.: digital signage, cookies, facebook pixel, e tecniche di comunicazione online quali motori di ricerca, partnership o adesione a circuiti pubblicitari, social media marketing, e-mail marketing e digital advertising.
Già nel 2017, il Garante per la Privacy, nel provv. n. 551 del 21 dicembre, doc. web. n. 7496252, era intervenuto a seguito di alcune segnalazioni, in relazione all’avvenuta installazione di apparati promozionali del tipo digital signage, definiti anche ‘totem’, presso la stazione ferroviaria di Milano-Centrale che, nel mostrare messaggi pubblicitari, utilizzavano un sistema di riconoscimento e tracciamento facciale di coloro che si trovavano davanti agli stessi.

Il sistema, interconnesso, era dotato di uno monitor, sul quale venivano trasmessi messaggi pubblicitari e informazioni, di un apparato pc/media player, che inviava al monitor i contenuti digitali da visualizzare, e di sensori in grado di effettuare la raccolta di dati di audience per valutare l´efficacia della comunicazione pubblicitaria trasmessa. La raccolta dei dati di audience, svolta attraverso algoritmi di face detection e non di face recognition, che consentono di rilevare solo genericamente la presenza di un volto umano, senza però identificarlo attraverso caratteristiche biometriche specifiche, veniva effettuata mediante una specifica applicazione in grado di analizzare le immagini raccolte dal sensore video installato sulla colonnina, in genere una webcam, al fine di determinare la presenza di un volto umano nell’area ripresa, di rilevare il tempo di permanenza di fronte alla pubblicità, ovvero il tempo di persistenza di un certo volto nel campo visivo del sensore, di fornire alcune informazioni, per quanto con un certo grado di approssimazione, desunte dalle caratteristiche del volto quali: sesso, fascia d’età, distanza dalla colonnina e di effettuare analisi statistiche volte a individuare il livello di gradimento dei diversi messaggi pubblicitari.

La tracciatura elettronica dei dati

Nello specifico dei sistemi di Emotion Detection and Recognition (EDR), la spinta tecnologica correlata alla sempre maggiore disponibilità di capacità computazionale nella disponibilità dei big player del settore IT, lascia prevedere un incremento nell’utilizzo di tali strumenti per finalità di marketing, e in tal senso, sono già disponibili alcune API in grado di consentire, su flussi video attinti da telecamere appositamente configurate, di interpretare espressioni emotive del viso, come felicità, tristezza o sorpresa e informazioni demografiche come il genere, dalle immagini del viso stesso, oltre che analizzare le immagini ed elaborare le emozioni e gli attributi demografici rilevati, in appositi rapporti periodici, sui trend commerciali nei punti vendita.

Analogamente a quanto avviene, con riferimento alla nostra immagine, anche digitalizzata, con le tecniche di emotion detection and recognition appena ricordate, anche il semplice impiego di uno strumento elettronico di elaborazione, quale può essere per esempio un personal computer o uno smartphone, implica che possa realizzarsi una vera e propria tracciatura elettronica di un soggetto in relazione a una serie di dati personali che lo riguardano, più o meno volontariamente conferiti.

Si pensi, per fare un esempio di immediata comprensione, alle disposizioni applicabili ai trattamenti di dati personali, relativi alla posizione o alla localizzazione geografica, effettuati, per finalità di proximity marketing per effetto del consenso prestato all’impiego di cookies di profilazione, da parte di un determinato sito internet all’atto del primo collegamento.

Conclusioni

Come si può agevolmente comprendere dagli esempi sopra riportati, il rapporto tra diritto alla protezione dei dati personali e attività di digital marketing, nelle sue varie forme, qualora non si svolga in modo trasparente, nel rispetto dei diritti degli interessati, quali quelli previsti, in particolare, dall’art. 13 del GDPR, può atteggiarsi in modo conflittuale, come dimostrano anche gli eclatanti casi di sanzioni recentemente comminate dal Garante per la Protezione dei Dati Personali ad altrettante società italiane.

Viceversa, deve conclusivamente osservarsi, anche in relazione ai principi di valorizzazione dei dati, che possono caratterizzare le descritte, attuali, opportunità di mercato, che una corretta applicazione delle norme richiamate, sin dalla progettazione delle fasi di raccolta dei dati attraverso lo svolgimento di specifiche operazioni di valutazione del rischio e acquisizione nei casi previsti del necessario consenso libero ed informato, conduca alla creazione di veri e propri beni digitali aziendali, misurabili ed economicamente valutabili anche ai sensi dell’art. 810 del Codice Civile, sono beni le cose che possono formare oggetto di diritti.


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Copertina
Officelayout
Progettare, arredare, gestire lo spazio ufficio

Ottobre-Dicembre
N. 179 - Sommario

Abbonati

copertina
Executive.it
Da Gartner, strategie per il management d'impresa

Novembre-Dicembre
N. 11/12 - Sommario

Abbonati

copertina
Innovazione.PA
La Pubblica Amministrazione digitale

Luglio-Settembre
N. 07/09 - Sommario

Abbonati