Il caso O'Carroll contro Meta evidenzia la crescente attenzione normativa al consenso degli utenti e alla pubblicità mirata. Gli enti regolatori, come l'ICO, affermano che la pubblicità mirata è marketing diretto e soggetta al GDPR. Le aziende devono rispettare le clausole di opt-out, evitare dark pattern e ottenere un consenso autentico e informato per costruire la fiducia dei consumatori e garantire la conformità.
La conformità alle normative di marketing non è mai stata così controversa, poiché gli individui stanno diventando più protettivi della propria privacy e agiscono per esercitare il loro diritto di accettare o meno il tracciamento e il targeting in base alle loro attività online e al consenso all'uso dei cookie. E le ripercussioni legali si stanno manifestando a livello globale, portando tutti nell'ecosistema del marketing digitale e nel settore normativo a chiedersi esattamente cosa significhi il consenso e come possa essere applicato alla pubblicità mirata.
Nel corso del 2025 sono emerse diverse denunce che mettono alla prova la solidità del GDPR, delle normative sulla privacy dei dati e del consenso. Recentemente, il caso O'Carroll contro Meta è stato risolto nel Regno Unito dall'Information Commissioner's Office (ICO), che indica l'approccio dell'ICO alla pubblicità mirata e al consenso. Nel caso, il ricorrente ha affermato che Meta ha continuato a raccogliere ed elaborare i suoi dati personali per pubblicare annunci mirati, nonostante avesse esplicitamente optato per l'opt-out.
In un test su cosa sia considerato "personale", Meta ha sostenuto che, poiché gli annunci non erano mirati individualmente, non costituivano marketing diretto. Gli annunci erano invece rivolti a gruppi. L'ICO ha respinto questa distinzione, affermando che la pubblicità mirata online dovrebbe essere considerata marketing diretto e pertanto soggetta alle restrizioni del GDPR, laddove si applichino il consenso esplicito e informato e il diritto di opt-out dalla pubblicità.
Il caso non è andato in tribunale: è stato risolto prima di raggiungere tale fase. E se si tratta di un indicatore delle interpretazioni della legge sulla privacy dei dati e sul consenso, significa che le autorità di regolamentazione sono inclini a schierarsi dalla parte dei singoli consumatori.
In definitiva, la risoluzione del caso, pur non essendo giuridicamente vincolante, conferma i principi fondamentali del GDPR e i suoi requisiti in materia di marketing diretto e consenso dell'utente. Questi includono:
Gli annunci mirati sono marketing diretto: l'ICO ha affermato che la pubblicità mirata online dovrebbe essere considerata marketing diretto ed è soggetta alle restrizioni del GDPR.
Diritto di opposizione: l'ICO ha sottolineato che gli individui devono poter opporsi all'utilizzo dei propri dati personali a fini pubblicitari e che le organizzazioni sono legalmente tenute a rispettare tali obiezioni.
Reclami e applicazione della legge: l'ICO ha incoraggiato gli individui a segnalare le non conformità, segnalando che le autorità di regolamentazione sono pronte ad agire se le aziende non interrompono il trattamento dei dati per gli annunci mirati quando richiesto.
Il caso O'Carroll evidenzia problemi sistemici nell'ecosistema della pubblicità digitale, dove le aziende spesso aggirano i propri obblighi e inventano giustificazioni per ignorarli. Alcuni esempi includono:
"Dark pattern" nei banner dei cookie: molti siti web utilizzano banner di consenso che inducono gli utenti ad accettare tutti i cookie attraverso un design poco chiaro, opzioni di "rifiuto" nascoste o rendendo più difficile rifiutare il tracciamento. Ciò indebolisce il requisito del GDPR di un consenso libero, informato e inequivocabile.
Abuso del "legittimo interesse": alcune aziende giustificano il tracciamento per annunci mirati sulla base giuridica del legittimo interesse piuttosto che del consenso esplicito, nonostante le linee guida normative chiariscano che la profilazione a fini di marketing richiede il consenso esplicito.
Tracciamento cross-site e condivisione dei dati: le reti pubblicitarie e i broker di dati spesso condividono i dati degli utenti su più piattaforme all'insaputa degli utenti, creando profili comportamentali dettagliati. Queste pratiche sono sempre più contestate dal GDPR e dalla Direttiva ePrivacy.
Modelli di consenso o pagamento: piattaforme come Meta e grandi editori stanno sperimentando modelli di "consenso o abbonamento", in cui gli utenti devono accettare il tracciamento dei dati o pagare per un servizio senza pubblicità. Le autorità di regolamentazione stanno ancora valutando se tali modelli soddisfino lo standard di "scelta genuina" del GDPR.
Sebbene l'uso improprio della pubblicità mirata sia diffuso, la conformità e la fiducia dei consumatori sono possibili se le organizzazioni adottano approcci basati sul consenso e sulla privacy. Esempi di buone pratiche includono:
Consenso opt-in autentico: rendere chiari i banner dei cookie, con pulsanti "accetta" e "rifiuta" ugualmente evidenti, ed evitare un design manipolativo.
Comunicazione trasparente: spiegare chiaramente quali dati vengono raccolti, come vengono utilizzati e con chi vengono condivisi, in un linguaggio conciso e semplice anziché in gergo legale.
Scelte granulari: consentire agli utenti di acconsentire separatamente a diversi tipi di utilizzo dei dati (ad esempio, cookie funzionali rispetto a cookie di marketing), anziché raggruppare tutti i tracciamenti insieme.
Opt-out semplice: soddisfare le richieste di opt-out in modo rapido e gratuito, con semplici controlli integrati nel prodotto (non nascosti in più menu di impostazioni).
Responsabilità dimostrabile: conservare i registri del consenso, condurre valutazioni d'impatto sulla protezione dei dati (DPIA) per i sistemi pubblicitari mirati e interagire in modo proattivo con gli enti regolatori.
Sembra probabile che un crescente controllo normativo sulla pubblicità mirata, in particolare sulle modalità di rispetto del consenso e dei diritti di opt-out, sia saldamente all'ordine del giorno. Con l'ulteriore pubblicazione da parte del Comitato europeo per la protezione dei dati (EDPB) di ulteriori linee guida sui modelli "consenso o pagamento", le aziende dovrebbero aspettarsi regole più chiare e un'applicazione più rigorosa nel prossimo futuro.
Per le aziende, l'opportunità risiede nel costruire la fiducia dei consumatori attraverso la trasparenza e la possibilità di scelta. Le organizzazioni che progettano modelli pubblicitari tenendo conto della privacy hanno maggiori probabilità di evitare rischi di applicazione, migliorare le relazioni con i clienti e differenziarsi in un ambiente in cui la consapevolezza dei consumatori sui diritti relativi ai dati è in rapida crescita e il loro consenso viene ottenuto in modo etico e trasparente.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
