Il broker pubblicitario Xandr (un'affiliata di Microsoft) raccoglie e condivide i dati personali di milioni di europei per ottenere pubblicità mirate e dettagliate. Ciò consente a Xandr di mettere all'asta spazi pubblicitari a migliaia di inserzionisti. Ma: anche se alla fine agli utenti viene mostrato un solo annuncio, tutti gli inserzionisti ricevono i loro dati. Questi possono includere dettagli personali riguardanti la salute, la sessualità o le opinioni politiche degli utenti. Inoltre, nonostante venda il suo servizio come "mirato", l'azienda detiene informazioni piuttosto casuali: a quanto pare il denunciante è sia uomo che donna, impiegato e disoccupato. Questo potrebbe permettere a Xandr di vendere spazi pubblicitari a più aziende che pensano di rivolgersi a un gruppo specifico. Alcuni dettagli sono ancora sconosciuti, poiché Xandr ha anche rifiutato di soddisfare la richiesta di accesso e cancellazione del denunciante. noyb ha ora presentato un reclamo GDPR.
Premessa: pubblicità mirata. Se le aziende vogliono utilizzare la pubblicità mirata per promuovere i propri prodotti o servizi online, devono rivolgersi alle cosiddette piattaforme di Real Time Bidding (RTB). Una di queste è gestita da Xandr, società controllata da Microsoft, che consente agli inserzionisti di acquistare spazi pubblicitari su siti web o applicazioni mobili in modo completamente automatico. Quando un utente visita un sito web, si svolge un'asta algoritmica per decidere quale azienda può visualizzare una pubblicità. Poiché gli interessi e le caratteristiche di un utente determinano in ultima analisi la disponibilità di un inserzionista a pubblicare un annuncio, Xandr raccoglie e condivide un'enorme quantità di dati personali per profilare gli utenti e consentire il targeting. Molti di questi dati vengono acquistati da soggetti esterni come emetriq, una filiale della Telecom tedesca.
Disabilità? Incinta? LGBT? Ricerche precedenti hanno dimostrato che Xandr raccoglie centinaia di profili sensibili di cittadini europei contenenti informazioni sulla loro salute, sulla vita sessuale o sull'orientamento sessuale, sulle opinioni politiche o filosofiche, sulle credenze religiose o sullo stato finanziario. Tra i segmenti specifici figurano: "French_disability", "pregnant", "lgbt", "gender_equality" e "jewishfrench".
0% di conformità alle richieste del GDPR. Secondo il GDPR, tutti hanno il diritto di accedere alle proprie informazioni. Tuttavia, nonostante la raccolta di grandi quantità di informazioni dettagliate sulle persone, Xandr riporta un sorprendente tasso di risposta dello 0% alle richieste di accesso e cancellazione nel 2022. Xandr pubblica addirittura queste statistiche interne su un sito web nascosto, a disposizione di tutti. Il denunciante ha sperimentato questo approccio in prima persona: Quando ha richiesto l'accesso ai suoi dati, Xandr ha affermato di non poterlo identificare e ha negato la sua richiesta di accesso e cancellazione. In realtà, l'azienda dispone di tutte le informazioni necessarie per individuare soggetti specifici. L'identificazione e il targeting delle persone è, dopo tutto, il loro core business.
Massimiliano Gelmi, avvocato specializzato in protezione dei dati presso noyb: "L'attività di Xandr si basa ovviamente sulla conservazione dei dati di milioni di europei e sul loro targeting. Eppure, l'azienda ammette di avere un tasso di risposta dello 0% alle richieste di accesso e cancellazione. È sorprendente che Xandr illustri pubblicamente le sue violazioni del GDPR"
pubblicità (non) mirata. Inoltre, il GDPR richiede che i dati sulle persone siano "accurati". Tuttavia, le informazioni disponibili suggeriscono che il sistema di Xandr utilizza tonnellate di informazioni false sugli utenti. Anche dal punto di vista commerciale, Xandr sembra farsi beffe dell'idea di pubblicità mirata. Grazie a una richiesta di accesso al broker di dati - e fornitore di Xandr - emetriq, sappiamo che almeno una parte del database di Xandr è costituita da dati personali estremamente imprecisi e contraddittori sulle persone: Secondo emetriq, il denunciante è sia maschio che femmina, ha un'età stimata tra 16-19, 20-29, 30-39, 40-49, 50-59 e 60+. Il denunciante ha anche un reddito compreso tra 500 e 1.500 euro, 1.500 e 2.500 euro e 2.500 e 4.000 euro. Inoltre, la stessa persona è alla ricerca di un lavoro, è occupata, è uno studente, un alunno e lavora in un'azienda. Quest'ultima, a sua volta, impiega contemporaneamente 1-10, 1.000+ e 1.100-5.000 persone. È difficile immaginare come queste categorie di dati possano essere utilizzate per un accurato targeting pubblicitario. Sebbene emetriq non sia l'unico data broker a fornire dati a Xandr, si deve presumere che queste informazioni vengano utilizzate per il targeting degli annunci.
Massimiliano Gelmi, avvocato specializzato in protezione dei dati presso noyb: "Sembra che alcuni settori dell'industria pubblicitaria non si preoccupino di fornire agli inserzionisti informazioni accurate. Al contrario, il set di dati contiene una varietà caotica di informazioni contrastanti. Questo può potenzialmente avvantaggiare aziende come Xandr, che possono vendere lo stesso utente giovane e anziano a diversi partner commerciali"
Reclamo presentato in Italia. noyb ha ora presentato un reclamo GDPR all'autorità italiana per la protezione dei dati (Garante) in merito a questioni di trasparenza, diritto di accesso e utilizzo di informazioni imprecise sugli utenti. Nel complesso, Xandr sembra violare l'articolo 5, paragrafo 1, lettere c) e d), l'articolo 12, paragrafo 2, l'articolo 15 e l'articolo 17 del GDPR. Chiediamo pertanto all'autorità di indagare sulle operazioni di trattamento di Xandr e di ordinare all'azienda di soddisfare la richiesta di accesso e cancellazione del ricorrente. In relazione a tutti gli interessati, suggeriamo inoltre che il Garante ordini a Xandr di conformare i propri trattamenti ai principi di minimizzazione e accuratezza dei dati. Infine, suggeriamo che l'autorità competente imponga una sanzione amministrativa efficace, proporzionata e dissuasiva fino al 4% del fatturato annuo di Xandr.