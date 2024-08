Xandr, azienda sussidiaria di Microsoft e specializzata in pubblicità mirata, è finita nel mirino dell'associazione europea guidata da Max Schrems. Tra le violazioni contestate, la condivisione indiscriminata dei dati degli utenti e la mancata gestione delle richieste pervenute dagli interessati ex articoli 15-22 del GDPR (con un tasso di evasione dello 0% nel 2022).

Cosa sono le piattaforme di gestione della domanda (o DSP) come quelle offerte da Xandr

Xandr Inc., acquisita da Microsoft nel 2021, gestisce una piattaforma di aste in tempo reale per la pubblicità online (la c.d. "Real Time Bidding" o "RTB") attraverso la quale consente a diversi inserzionisti di acquistare spazi pubblicitari da rendere visibili ad utenti profilati in cluster eterogenei (cd. "segmenti"). Nel momento in cui un utente visita un qualsiasi sito web, ha inizio l'asta tra i diversi inserzionisti per acquistare, in real time, lo spazio pubblicitario "targetizzato" che l'utente vedrà in quel momento.

Xandr, in particolare, offre ai diversi inserzionisti una piattaforma "di gestione della domanda" ("Demand Side Platform" o "DSP") cui partecipano centinaia di inserzionisti interessati ad acquistare spazi pubblicitari mirati verso utenti specifici. Poiché gli interessi e le caratteristiche degli utenti rappresentano informazioni strategiche per il marketing mirato, gli inserzionisti hanno notevoli interessi a partecipare alle diverse RTB e acquistare slot per i loro annunci personalizzati. Per questi motivi, le DSP come quella gestita da Xandr raccolgono e condividono con gli inserzionisti un'enorme quantità di dati personali, anche acquisiti da data broker. Tra gli altri dati, le DSP elaborano segmenti di mercato (cui ciascun utente potrebbe risultare interessato) estremamente dettagliati e granulari che mirano alla profilazione degli utenti facilitando l'asta in tempo reale.

Perché le DSP abbiano successo e più inserzionisti partecipino all'asta, i dati vengono trasmessi, tramite la piattaforma di gestione della domanda, ad un numero indeterminato di aziende che potrebbero essere interessate a pubblicizzare i propri prodotti al cluster utente. Di conseguenza, i dati personali degli utenti, riferibili anche ad abitudini di vita e di consumo, nonché riguardanti informazioni reddituali, lavorative, sul proprio stato di salute o orientamento sessuale, vengono condivisi a numerosi inserzionisti, nonostante soltanto uno di quest'ultimi di aggiudicherà l'asta.

Nel giugno 2023 alcuni giornalisti d'inchiesta statunitensi ed europei hanno reso pubblici decine di migliaia di segmenti raccolti da Xandr per finalità di pubblicità personalizzata, denunciando un impressionante livello di granularità dei dati raccolti e un potere predittivo sufficiente a trarre informazioni dettagliate sulla vita personale dei consumatori, sulle proprie abitudini di consumo e preferenze.

Il reclamo presentato da Noyb

Lo scorso 9 luglio l'associazione europea senza scopo di lucro noyb - European Center for Digitai Rights con sede a Vienna ha depositato reclamo innanzi al Garante italiano per la Protezione dei Dati Personali (GPDP), avverso Xandr, nell'interesse di un utente che si era visto negato l'esercizio dei propri diritti di accesso e di cancellazione ai sensi degli artt. 15 e 17 del GDPR.

Alla luce di quanto sostenuto da Noyb, Xandr avrebbe acquisito, da un proprio data broker, i dati del reclamante che erano stati raccolti tramite i cookie di tracciamento presenti su alcune pagine web da quest'ultimo visitate. La raccolta dei diversi segmenti riferibili all'utente avrebbe consentito poi a Xandr di comunicare tali informazioni alle aziende inserzioniste interessate ad acquistare uno spazio pubblicitario mirato nei modi precedentemente descritti.

Le violazioni contestate

Oltre a lamentare la mancata gestione delle richieste di accesso e cancellazione ex artt. 15 e 17 del GDPR formulate dall'utente - e da altri migliaia di interessati europei – nei confronti della Xandr, l'associazione guidata da Max Schrems ha contestato la legittimità dell'intero processo di trattamento dei dati effettuato dalla società di Microsoft.

In particolare, Noyb ha rilevato come il trattamento effettuato da Xandr sia in contrasto con i principi di minimizzazione ed esattezza dei dati di cui all'art. 5 del GDPR, in quanto verrebbero raccolte informazioni eccedenti rispetto alle finalità del trattamento e spesso contraddittore – vanificando, pertanto, la reale personalizzazione degli annunci pubblicitari. "Più in dettaglio", si legge, "decine di segmenti sono in palese contraddizione tra loro e, lunghi dal facilitare la personalizzazione, creano solo confusione sugli interessi e le caratteristiche del reclamante". Ciò in danno non solo degli utenti cui i dati si riferiscono, ma anche delle aziende che acquistano spazi pubblicitari sulla base di informazioni inesatte, non pertinenti o, addirittura, in contraddizione che riguardano milioni di utenti in tutto il territorio europeo.

Infine, la società non consentirebbe agli interessati di esercitare agevolmente i propri diritti di cui agli artt. 15-22 del GDPR, in violazione dell'art. 12, par. 2 del GDPR.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.