Il GDPR, o Regolamento generale per la protezione dei dati (https://www.garanteprivacy.it/regolamentoue) è stato indubbiamente un grande passo avanti per la gestione della nostra privacy, ha imposto regole a volte un po’ farraginose ma senza dubbio molto importanti ed efficaci per proteggerla. Ma come sempre c’è chi è molto creativo nel trovare alternative per aggirare ogni forma di regola, soprattutto quando di mezzo possono esserci forti guadagni.

La più grave di queste è probabilmente il Real-Time Bidding, che in italiano si traduce in Offerte in tempo reale. La cosa emerge da un’inchiesta di Iccl Irish Council for Civil Liberties (https://www.iccl.ie/)

Il real-time bidding è un processo a cui tutti siamo costantemente sottoposti nella nostra navigazione Internet o nell’uso di app che riportano pubblicità. Un processo a cui siamo tutti sottoposti e che quasi nessuno (dei non addetti ai lavori) conosce.

Ho già parlato di come la pubblicità sfrutti massivamente informazioni legate alla nostra navigazione nell’articolo Cosa sa Facebook di me? Cosa sa Google di me? (https://wp.me/pQMJM-26S), ma la scelta di quale pubblicità venga veicolata è legata al meccanismo del real-time bidding.

Come funziona il real-time bidding

Nel momento in clicchiamo su un risultato di un motore di ricerca o digitiamo l’indirizzo di un sito di una specifica tematica potenzialmente commerciale, in pochi millesimi di secondo viene lanciata una specie di asta tra le agenzie pubblicitarie. In quel momento Google/Microsoft/Facebook/Amazon… sa una tematica a cui siete certamente interessati in quell’istante e dove vi trovate permettendo di avvisare le agenzie pubblicitarie di questa informazione e attendendo offerte -automatizzate- da parte di queste per scegliere quale mostrarvi. Quella che ha offerto di più.

Non sembra nulla di spaventoso, asta a parte è esattamente quello che ci si aspetta da questo genere di sistema pubblicitario, giusto?

Il rapporto del dell’Irish Council for Civil Liberties o ICCL sul real-time bidding

Secondo il rapporto dell’ICCL il real-time bidding sarebbe “la più grande violazione di dati personali mai vista”, e che “agisce dietro le quinte nei siti web e nelle app, traccia quello che guardi, non importa quanto sia privato o sensibile, e registra dove vai. Ogni giorno trasmette continuamente questi dati su di te a una serie di aziende, permettendo loro di profilarti”.

Le principali aziende che si occupano di real-time bidding, come ci si può immaginare, sono anche le più grandi multinazionali dell’informatica, Google, Microsoft, Meta (la società che controlla Facebook, Instagram e WhatsApp) e Amazon. Tutte queste raccolgono una grande quantità di dati per ogni utente creando per ognuno una sorta di identikit virtuale, e non ci sono molti modi per proteggersi da questo tipo di dossieraggio senza smettere di usare ogni forma di tecnologia. Nulla di nuovo ne ho già parlato in parecchi articoli.

• La modalità in incognito del browser protegge la mia privacy?
• Perché ognuno vede risultati diversi nelle ricerche su Internet?
• Parliamo dei dati rubati a Facebook?
• Parliamo anche dei dati rubati a Linkedin?
• Nuovo aggiornamento della privacy su WhatsApp (Maggio 2021)
• La modalità in incognito del browser protegge la mia privacy?
• Cosa sa Facebook di me? Cosa sa Google di me?
• Cosa sono i Cookies?

Il problema è che non ci sono neppure modi per avere la certezza che i dati inviati da questi colossi alle agenzie pubblicitarie per permettere l’asta del real-time bidding non siano a loro volta utilizzati in maniera scorretta.

A sua volta un’indagine del Financial Time (https://short.staipa.it/6vv0k) indica come esista un mercato illegale di scambio di questi dati, tra i quali appaiono informazioni delicate come l’orientamento sessuale, lo stato di salute, le posizioni politiche e l’etnia, religione, divorzio, lutto, salute mentale, infertilità e malattie sessualmente trasmissibili.

Grazie al GDPR i dati non possono essere legati ad una anagrafica in stile umano, non possono esserci il nome e il cognome di un utente, ma questo non impedisce che tale profilo sia sufficientemente dettagliato da rappresentare una persona in maniera puntuale e così volendo non è impossibile attraverso i dati rappresentati risalire alla persona specifica, tanto più collegando la geolocalizzazione. Ne avevo parlato in maniera molto più limitata in La modalità in incognito del browser protegge la mia privacy? mostrando come sia facile identificare in maniera univoca un utente anche senza usare o cookies e simili tecnologie.

Il rapporto dell’ICCL indica come Google invii dati per il real-time bidding a più di 4500 aziende e che alcuni di questi abbiano usato, in particolare i dati di geolocalizzazione, per profilare chi avesse partecipato alle manifestazioni di Black Lives Matter i come perfino il Dipartimento per la Sicurezza Interna statunitense abbia usato lo stesso tipo di dato per tracciare persone senza richiedere un mandato.

Il problema però non può essere circoscritto al suolo americano e nonostante il GDPR, secondo lo stesso rapporto, i dati europei vengono tracciati 71 mila volte l’anno, a fronte di 107 mila di quelli statunitensi. Una differenza tutto sommato non così grande, anche se consideriamo che la popolazione europea è poco più del doppo di quella statunitense capiamo che il GDPR allo stato attuale ci riesce a proteggere solo fino ad un certo punto.

In Italia le attività online di un singolo utente vengono inviate per il real-time bidding una media di 284 volte al giorno.

Il rapporto include però solamente Google, e di questo un archivio di trenta giorni, A questi dati vanno quindi aggiunti teoricamente quelli di Microsoft, Meta (la società che controlla Facebook, Instagram e WhatsApp) e Amazon.

Le industrie del settore del real-time bidding tendono a giustificare il loro operato usando il GDPR stesso, che prevede la clausola «motivi di legittimo interesse» (https://short.staipa.it/4au2j)

In qualità di azienda/organizzazione, è spesso necessario trattare dati personali per svolgere compiti legati alle attività aziendali. Il trattamento dei dati personali in questo contesto può non essere necessariamente giustificato da un obbligo giuridico o dall’esecuzione delle clausole di un contratto con una persona fisica. In questi casi, il trattamento dei dati personali può essere giustificato sulla base del legittimo interesse.

La tua azienda/organizzazione deve informare le persone del trattamento al momento della raccolta dei dati.

La tua azienda/organizzazione deve anche verificare che, perseguendo i propri legittimi interessi, i diritti e le libertà di tali persone non siano seriamente pregiudicate, altrimenti la tua azienda/organizzazione non potrà invocare il legittimo interesse come giustificazione per il trattamento dei dati e bisognerà trovare un’altra base giuridica.

Esempio

La tua azienda/organizzazione ha un interesse legittimo quando il trattamento avviene all’interno di una relazione con il cliente, quando si trattano dati personali per scopi di marketing diretto, per prevenire frodi o per garantire la sicurezza della rete e dei dati dei sistemi informatici dell’azienda.

Fonte: Sito dell’Unione euiropea https://short.staipa.it/4au2j

Ma già diversi enti di regolamentazione hanno respinto l’uso di questa clausola e ci sono azioni legali in corso su questo tema in Regno Unito, Belgio, Germania e Irlanda nel tentativo di limitare il real-time bidding.