L’analisi comportamentale e il target advertising violano il GDPR e costano caro a LinkedIn

di Lorenzo Baudino Bessone

La Data Protection Commision (in seguito“DPC”), l’autorità garante irlandese per la protezione dei dati personali, ha comunicato, in data 24 ottobre 2024, di aver concluso l’indagine condotta sul Social Network di proprietà di Microsoft dopo aver riscontrato numerose violazioni del Regolamento (UE) 2016/679 (in seguito, “GDPR”), che hanno condotto ad una triplice sanzione per un valore totale di 310 milioni di euro. Il DPC ha annunciato che il provvedimento integrale verrà pubblicato nei giorni a venire sul sito internet dell’autorità.

Breve premessa sul quadro normativo

Le attività di pubblicità mirata (cd. “target advertising”) e di analisi comportamentale (cd. “behavioural analysis”) costituiscono una prassi di marketing sempre più frequente nell’ambito dei servizi digitali. Nel recente parere 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, l’European Data Protection Board (in seguito, “EDPB”), il Comitato europeo delle autorità garanti, ha infatti osservato che: “i meccanismi che consentono di fornire pubblicità online personalizzata agli interessati sono proliferati nel tempo e che anche la loro sofisticazione è aumentata. Gli utenti possono essere indirizzati a pubblicità personalizzate sulla base di diversi criteri e tecniche, anche sulla base di informazioni relative al loro comportamento online e offline”. 

In realtà, il fenomeno era già ampiamente conosciuto nel 2010, quando il Working Party art. 29 (predecessore dell’EDPB) aveva adottato il parere 2/2010 on Online behavioural advertising in un contesto normativo ben differente a quello successivo all’entrata in vigore, nel 2016, del GDPR. 

Con la rivoluzione apportata dal GDPR, il fenomeno pare continuare a sollevare conflitti con i principi della normativa sulla protezione dei dati personali: in particolare, con i principi di liceità, correttezza e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del GDPR. Tali principi richiedono, infatti, al titolare del trattamento di informare adeguatamente l’interessato in merito alle finalità e modalità del trattamento; inoltre, al titolare è richiesto di non trattare i dati personali in assenza di un’idonea base giuridica ai sensi dell’art. 6, GDPR (o ai sensi dell’art. 9, se il trattamento ha ad oggetto particolari categorie di dati personali). L’elevato grado di trasparenza richiesto dal GDPR non è però rispettato, frequentemente, dalle società, e in particolare dai fornitori di piattaforme digitali di grandi dimensioni, come accaduto nel caso in commento. 

Esito dell’indagine e violazioni contestate a LinkedIn 

L’indagine è stata avviata nel lontano 2018 dalla DPC, quale autorità capofila, a seguito di alcuni reclami ricevuti dal CNIL, l’autorità garante francese, sulla verifica dei principi di liceità, equità e trasparenza dei dati personali, sia forniti direttamente a LinkedIn (cd. “first party data”) dai suoi membri (cioè gli utenti che avevano creato un profilo sul Social), sia ottenuti tramite i suoi partner (cd. “third party data”). 

La decisione, che secondo quanto comunicato dalla DPC è stata condivisa con il meccanismo di cooperazione previsto dall’art. 60, GDPR senza ricevere alcuna obiezione, ha comportato l’ingiunzione per la somma di euro 310 milioni oltre al rimprovero e l’ordine di provvedere alla conformità rispetto alle violazioni accertate.

Alla base di tale decisione, la DPC ha accertato la violazione dei seguenti articoli: 

1. Articolo 6 GDPR e articolo 5(1)(a) GDPR, in relazione al principio di liceità, in quanto LinkedIn: 

• non si è validamente basato sull'articolo 6, paragrafo 1, lettera a), del GDPR (consenso) per il trattamento dei third party data dei suoi membri ai fini dell’analisi comportamentale e della pubblicità mirata, sulla base del fatto che il consenso ottenuto da LinkedIn non è stato dato liberamente, non è stato sufficientemente informato o specifico, né è stato reso in modo inequivocabile. 

• non ha validamente fondato sulla base dell’articolo 6, paragrafo 1, lettera f), del GDPR (interesse legittimo) il trattamento dei first party data dei suoi membri a fini di analisi comportamentale e pubblicità mirata, o dei third party data per finalità di analisi, in quanto gli interessi di LinkedIn sono stati superati dagli interessi e dai diritti e libertà fondamentali degli interessati. 

• non si è validamente basato sull’articolo 6(1)(b) GDPR (necessità contrattuale) per trattare i first party data dei suoi membri a fini di analisi comportamentale e pubblicità mirata. 

2. Articolo 13, paragrafo 1, lettera c), e articolo 14, paragrafo 1, lettera c), del GDPR, in relazione alle informazioni fornite da LinkedIn agli interessati in merito al ricorso all’articolo 6, paragrafo 1, lettera a), all'articolo 6, paragrafo 1, lettera b), e all’articolo 6, paragrafo 1, lettera f), del GDPR come basi legittime. 

3. Articolo 5(1)(a) GDPR, in relazione al principio di correttezza. 

Conclusioni 

In attesa di poter esaminare il provvedimento integrale, per comprendere non solo le motivazioni di tale ingente sanzione ma anche le risultanze tecniche della lunga indagine condotta dal DPC, ci si limita ad osservare come un utilizzo non conforme di tali tecniche di marketing potrebbe avere un impatto negativo non solo alla luce del GDPR, ma anche del Digital Services Act, entrato in vigore quest’anno; tale ultima normativa ha infatti introdotto obblighi ristretti per i fornitori di piattaforme online in tema di trasparenza, vietando di fatto l’utilizzo di pubblicità mirata che faccia uso della profilazione di utenti minorenni o di dati personali appartenenti a particolari categorie, ai sensi dell’art. 9, GDPR.
 

Avv. Lorenzo Baudino Bessone
Studio Previti
Associazione Professionale