Pubblicità Mirata e Profilazione in Tribunale

Nell'era del marketing digitale, la pubblicità mirata e la profilazione degli utenti sono diventati strumenti chiave per piattaforme, editori e inserzionisti. Tuttavia, queste tecniche basate sui dati sono sottoposte a un intenso controllo legale, soprattutto ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) e della Direttiva ePrivacy. I tribunali europei e le autorità di protezione dei dati (DPA) stanno esaminando sempre più spesso la legalità, la trasparenza e i meccanismi di consenso alla base della pubblicità comportamentale, con sentenze che hanno implicazioni significative per l'ecosistema dell'ad tech.

Questo articolo esplora casi studio e azioni esecutive di alto profilo in tutta l'UE, concentrandosi su come la profilazione a fini pubblicitari è stata contestata ai sensi delle leggi sulla privacy e su quali lezioni dovrebbero trarre piattaforme e marketer.

1. CNIL contro Google (Francia, 2020): Consenso ai Cookie e Tracciamento

Nel 2020, l'Autorità francese per la protezione dei dati (CNIL) ha multato Google per 100 milioni di euro per aver inserito cookie pubblicitari senza il previo consenso degli utenti sui suoi domini francesi. I cookie consentivano il tracciamento per annunci personalizzati, ma sono stati attivati prima che gli utenti prendessero una decisione significativa.

Questioni Chiave:

• Mancanza di consenso valido ai sensi della direttiva ePrivacy.
• Gli utenti non sono stati sufficientemente informati sullo scopo dei cookie o su come rifiutarli.
• Il banner dei cookie forniva solo un'opzione "Accetta", senza un equivalente "Rifiuta".

Basi Giuridiche:

• Direttiva ePrivacy (2002/58/CE) come implementata nel diritto francese.
• L'articolo 5, paragrafo 3, della direttiva ePrivacy richiede il consenso preventivo prima di memorizzare o accedere alle informazioni sul dispositivo di un utente.

Esito:
Google è stata multata e successivamente ha aggiornato i suoi banner di consenso per fornire scelte granulari e opzioni simmetriche per l'accettazione e il rifiuto.

Lezione:
Il consenso per la profilazione e la pubblicità mirata deve essere dato liberamente, in modo specifico, informato e inequivocabile ed essere implementato prima che inizi qualsiasi tracciamento.

2. Bundeskartellamt contro Meta (Germania, in corso): Combinazione di Dati tra Servizi

L'Autorità tedesca per la concorrenza (Bundeskartellamt) ha avviato un procedimento contro Meta (precedentemente Facebook) per la combinazione di dati degli utenti da Facebook, Instagram, WhatsApp e siti web di terzi senza un adeguato consenso.

Peculiarità Giuridica Chiave:
Sebbene il caso abbia avuto origine nell'ambito del diritto della concorrenza, l'autorità si è basata fortemente sulle violazioni del GDPR, sostenendo che la mancata acquisizione di un consenso valido da parte di Meta le ha conferito un vantaggio sleale nel mercato pubblicitario.

Sviluppi Giudiziari:

• La Corte federale di giustizia tedesca ha confermato la decisione del regolatore di limitare le pratiche di trattamento dei dati.
• Alla CGUE è stato chiesto un pronunciamento pregiudiziale per chiarire l'intersezione tra protezione dei dati e diritto della concorrenza (causa C-252/21, pendente al 2025).

Questioni Giuridiche:

• Se la combinazione di dati tra servizi senza consenso violi gli articoli 6 e 9 del GDPR.
• Se all'utente venga offerta una scelta reale o se sia costretto all'accettazione tramite servizi in bundle.

Lezione:
La profilazione basata sui dati multipiattaforma deve essere supportata da una base giuridica valida, di solito il consenso opt-in, e non deve essere una condizione per l'utilizzo del servizio principale.

3. Reclami NOYB contro il TCF di IAB Europe (a livello UE): Controllo del Real-Time Bidding

L'organizzazione no-profit NOYB (None of Your Business) ha presentato molteplici reclami contro il Transparency and Consent Framework (TCF) di IAB Europe, ampiamente utilizzato nel real-time bidding (RTB) per annunci mirati.

Principali Allegazioni:

• Il TCF non è riuscito a fornire un consenso genuino e informato.
• La profilazione nell'ambito dell'RTB ha condiviso i dati degli utenti con centinaia di fornitori in tempo reale, spesso senza la consapevolezza dell'utente.
• Il framework è stato ritenuto non conforme ai principi del GDPR di minimizzazione dei dati, limitazione delle finalità e base giuridica.

Decisione del DPA belga (2022):

• Ha ritenuto IAB Europe responsabile come controllore congiunto per il trattamento dei dati nel TCF.
• Ha ordinato modifiche significative al meccanismo di consenso e alle pratiche di condivisione dei dati.

Esito:
IAB Europe è stata tenuta a riprogettare il TCF, a introdurre maggiori garanzie e a controllare meglio l'uso dei dati a valle da parte dei fornitori.

Lezione:
I framework di consenso utilizzati per la pubblicità programmatica non devono solo soddisfare gli standard del GDPR, ma anche garantire una governance applicabile lungo tutta la catena dell'ad tech.

4. Caso Planet49 (CGUE, C-673/17): Caselle Pre-Spuntate e Validità del Consenso

Il caso Planet49 dinanzi alla Corte di Giustizia dell'UE (CGUE) ha esaminato se le caselle pre-spuntate costituiscono un valido consenso per i cookie utilizzati nei giochi promozionali e nella pubblicità comportamentale.

Sentenza della CGUE:

• Il consenso deve essere attivo, il che significa che le caselle pre-spuntate non sono sufficienti.
• Anche la durata e l'accesso di terzi ai cookie devono essere comunicati all'utente in anticipo.

Implicazioni Giuridiche:

• Ha confermato che sia il GDPR che l'ePrivacy richiedono un'azione affermativa e una chiara divulgazione per una profilazione lecita.

Lezione:
Le piattaforme devono progettare interfacce di consenso che garantiscano un chiaro coinvolgimento dell'utente, non un accordo passivo o implicito.

Punti Chiave per le Piattaforme e gli Operatori Ad Tech

Il consenso è centrale e deve essere granulare, informato e revocabile.
La profilazione per annunci mirati richiede una base giuridica valida, in genere l'articolo 6, paragrafo 1, lettera a), del GDPR.
La trasparenza deve essere completa: chi tratta i dati, per quali scopi e per quanto tempo.
Può valere la contitolarità del trattamento: le piattaforme e i partner pubblicitari possono condividere la responsabilità della conformità al GDPR.
I framework di consenso (ad es. CMP, TCF) devono essere verificabili e applicabili a tutti i destinatari dei dati dell'utente.

Prospettive Future: Il Ruolo del Regolamento ePrivacy e del DSA

Man mano che l'applicazione del GDPR si intensifica, il futuro della regolamentazione della profilazione sarà plasmato anche da:

• Il regolamento ePrivacy, a lungo rimandato, che potrebbe standardizzare le regole di consenso in tutta l'UE.
• Il Digital Services Act (DSA), che introduce obblighi sulla trasparenza della pubblicità online e dei sistemi di raccomandazione, soprattutto per le Very Large Online Platforms (VLOP).

Insieme, questi framework influenzeranno in modo significativo i modelli di pubblicità mirata, in particolare quelli che si basano sul real-time bidding, sul data brokering o sulla personalizzazione opaca.

Conclusione

La profilazione e la pubblicità mirata non sono più aree grigie nel diritto UE sulla privacy. I tribunali e le autorità di regolamentazione stanno fissando limiti chiari su come i dati degli utenti possono essere utilizzati, condivisi e monetizzati, soprattutto quando si tratta di targeting comportamentale. Le piattaforme e i fornitori di ad tech che non si allineano agli standard GDPR ed ePrivacy devono affrontare crescenti rischi legali, finanziari e di reputazione.