Una sentenza della corte europea potrebbe rendere le regole per il monitoraggio e tracciamento pubblicitario molto più severe nel prossimo futuro in Europa, un problema per numerose società IT, ma non per Apple che ha anticipato mercato e legislazione con le sue policy rigorose per la trasparenza delle app e la protezione della privacy degli utenti e dei loro dati implementate a ogni livello del suo ecosistema.
In sostanza la nuova sentenza stabilisce che i dati dedotti continuano comunque ad essere dati personali, di conseguenza tutto quello che un’azienda può supporre su uno specifico utente è comunque una informazione che va protetta perché si basa su qualcosa che invece è stato fornito dall’utente.
Il caso è nato in Lituania, dove si ritiene che se il governo pubblica il nome del coniuge di qualcuno, da lì si può dedurre se quella persona è gay e questa – dicono – sarebbe una informazione, seppur dedotta, che non può essere utilizzata senza consenso perché è un dato sensibile che è tutelato dall’articolo 9 del GDPR.
Questo potrebbe avere enormi implicazioni sul tipo di attività che le società che effettuano elaborazione dei dati sono autorizzate a fare quando si tratta di profilare i clienti e predisporne i target pubblicitari. L’articolo 9 infatti è applicabile in diversi contesti e comprende la pubblicità online, le app di appuntamenti, i dati sulla posizione che indicano i luoghi di culto o le cliniche visitate, le scelte alimentari (per i viaggi in aereo, ad esempio) e via dicendo.
Il GDPR implica che i cittadini dell’Unione Europea debbano acconsentire all’utilizzo dei propri dati, con poche eccezioni, ma fino ad ora si riteneva che ciò proteggesse soltanto i dati forniti direttamente da un individuo, ritenendo di conseguenza che i dati invece dedotti e usati per il monitoraggio pubblicitario non fossero invece coperti dalla legislazione.
Di fatto prima di queste sentenza l’opinione condivisa dalle aziende che elaboravano i dati era che potevano combinare qualsiasi dato fornito dall’utente per costruire un profilo quanto più completo possibile, usando quindi anche i dati dedotti oltre a quelli raccolti direttamente, e farne ciò che volevano. La sentenza dice invece che non è così. Ciò avrà quindi un impatto sul monitoraggio pubblicitariò perché le aziende fanno sempre questo tipo di incrocio dei dati per creare e inviare pubblicità mirate. 
Ad esempio se qualcuno acquista un prodotto associabile a una gravidanza, come l’abbigliamento premaman, sarà probabilmente profilato come genitore in attesa e targettizzato con annunci relativi a prodotti per donne incinte e genitori di neonati. Oppure, se si guardano le recensioni dei MacBook su YouTube, è probabile che si venga presi di mira con annunci su accessori per MacBook come custodie, dock, dongle e così via.
In tutto questo marasma, Apple è quella che meno dovrà preoccuparsi della sentenza perché con il suo App Tracking Trasparency consente proprio agli utenti iPhone di scegliere se consentire o meno questo tipo di profilazione. Perciò al massimo ciò potrebbe significare che non dovrà più chiederlo ai cittadini dell’UE (visto che è illegale) e abilitarlo a prescindere.
Per chi non lo sapesse, ad esempio su iPhone l’App Tracking assegna un identificatore univoco al dispositivo in modo tale che non venga rivelato alcun dettaglio sul suo proprietario mantenendone l’anonimato, pur consentendo a una data rete pubblicitaria di vedere ad esempio che l’utente iOS 30255BCE-4CDA-4F62-91DC-4758FDFF8512 ha visitato siti web di gadget e quindi potrebbe essere interessato ad annunci di gadget.
Il sistema di Apple consente anche di vedere che all’utente iOS 30255BCE-4CDA-4F62-91DC-4758FDFF8512 è stato mostrato un annuncio per un determinato prodotto su un determinato sito web e che successivamente è andato su un determinato sito per acquistarlo, e che quindi quell’annuncio ha probabilmente funzionato.
Il dottor Lukasz Olejnik, consulente indipendente nonché ricercatore di sicurezza e privacy in Europa, è stato inequivocabile nel prevedere gravi impatti, specialmente per l’adtech, a seguito di questa sentenza sul tracciamento in Europa, eccetto che per Apple. «Questa è l’unica, più importante e inequivocabile interpretazione del GDPR finora. E sostiene l’approccio di Apple».
