Il remarketing è attualmente uno dei sistemi di tracciamento più proficui in ambito tecnologico al fine di poter utilizzare dal Titolare della piattaforma on line i dati personali rilasciati dall’utente che ha navigato all’interno di un determinato spazio web.
Dal punto di vista più squisitamente tecnico, accedendo alla home page di siti caratterizzati dal meccanismo per il “remarketing“, viene “rilasciato” un cookie (un file di testo) – invisibile all’utente – in grado di tracciare le operazioni compiute.
Attraverso tale cookie, il Titolare del sito internet può quindi analizzare, seppur in anonimato (il cookie non è in grado di capire chi sia l’utente-navigatore) le varie azioni compiute dal soggetto visitatore di un determinato sito internet.
Tipico esempio è l’accesso al proprio profilo Facebook, a seguito del quale si palesano pubblicità di un bene-servizio in precedenza cercato attraverso Google o altri siti.
Non solo; nel caso dei social networks il “remarketing” viene sempre più utilizzato anche per proporre notizie “correlate” ai propri interessi fino ad arrivare a porre in evidenza post di utenti che l’algoritmo alla base del remarketing ha considerato “in linea” con le preferenze ed azioni dell’utente visitatore.
Con l’avvento del Regolamento Ue 679/2016, tale attività, un tempo svolta per lo più in maniera indisturbata, comporta evidenti rischi alla luce delle pesanti sanzioni previste dalla nuova normativa.
E’ pertanto necessario che tutti i titolari di trattamento dei dati che gestiscono siti web provvedano a conformarsi alla normativa.
Quali i passi che il titolare del trattamento dei dati personali – proprietario o gestore di un sito internet deve fare?
In generale, il gestpre di uno spazio web che vuole avvalersi del “remarketing“ deve andare ad agire sulle impostazioni del sito in questione.
E’ in ogni caso necessario non procedere in maniera automatica, ma svolgere un’approfondita e attenta “mappatura” dei dati utilizzati di volta in volta.
Nello specifico, è fondamentale analizzare diversi punti e aspetti quali plugin, pixel, social plugin, per poi verificare le specifiche finalità del trattamento collegate all’utilizzo di dati derivanti dall’attività di tracciamento.
Ecco che quindi è importante fornire al lettore alcune indicazioni in ordine alle problematiche che un titolare del trattamento deve porsi per risultare compliant al GDPR qualora intenda svolgere questo tipo di attività.
Per prima cosa, l’analisi deve vertere sul tipo di strumento utilizzato per raccogliere i dati e nel caso specifico quale tipologia di cookies, i quali devono necessariamente essere specificati nella cd. Cookie policy, documento che solitamente deve essere pubblicata sul sito internet, unitamente alla privacy policy e alle note legali del sito internet in questione.
Ciò per consentire all’utente di decidere se accettarne o meno la loro esecuzione.
La richiesta di consenso dell’interessato-utente al rilascio dei cookies, unitamente alle informazioni ai sensi dell’art. 13 del Reg. UE 679/2016, è infatti fondamentale per raccogliere in maniera lecita e legittima i dati personali attraverso tali strumenti. La richiesta deve essere esplicita e non è ammesso utilizzare caselle di raccolta del consenso preflaggate.
Per ogni tipologia di cookie utilizzato, dunque, l’utente deve essere messo nelle condizioni di eseguire consapevolmente un’azione specifica, positiva ed inequivocabilmente attraverso il suo diretto consenso o accettazione.
Altro aspetto fondamentale è informare l’utente, una volta prestato il consenso, sui tempi di conservazione dei dati (ossia, la cd. Data Retention) e delle modalità di conservazione stessa nonché fornire il proprio spazio web delle misure tecniche e organizzative adeguate a garanzia della sicurezza dei dati personali trattati ai sensi degli articoli 25 e 32 del Reg. Ue 679/2016. I criteri alla base di questa sezione sono uguali a quelli che bisogna porsi relativamente alla modalità di archiviazione dei dati raccolti e trattati: se si tratta di dati pseudonomizzati o anonimizzati, se sono protetti e in che modo, se minimizzati relativamente alle finalità del trattamento, se è stato individuato il tempo di conservazione.
Inoltre, qualora i dati raccolti oltre al titolare del trattamento, siano trattati, gestiti, analizzati, registrati, utilizzati dai soggetti autorizzati, sarò necessario nominarli come soggetti dei designati al trattamento ai sensi dell’art 29 GDPR e 2-quaterdecies del nostro codice privacy.
Infine, è inoltre raccomandato aggiornare il registro dei trattamenti e monitorare la prestazione del consenso espresso dall’utente nonché le richieste degli utenti relativamente alla loro modifica e/o cancellazione dei dati e banalmente alla revoca del consenso stesso.