Il 13 dicembre la Dutch Data Protection Foundation (SDBN) ha presentato una class action contro Adobe per aver raccolto illegalmente dati personali attraverso la sua piattaforma Adobe Experience Cloud, averli utilizzati per creare profili personali e averli condivisi con gli inserzionisti. In altre parole, la SDBN sostiene che Adobe stia illegalmente spiando e tracciando profili personali attraverso i suoi strumenti di tecnologia pubblicitaria.
Come la causa pendente dell'SDBN contro X (ex Twitter), questa causa si concentra su problemi di privacy diffusi nell'ambiente dell'ad tech e merita di essere seguita da vicino. Ecco di cosa si tratta!
Cosa c'è in gioco?
Questa causa potrebbe costare ad Adobe un danno enorme perché l'azienda ha profilato milioni di cittadini olandesi. Ma il denaro è facilmente l'aspetto meno importante del caso.
Se guardiamo al quadro più ampio, i problemi evidenziati dall'SBDN sono semplicemente quelli ben noti della pubblicità basata sul tracciamento, e Adobe è in buona compagnia. Se l'SDBN riesce a stabilire un precedente contro Adobe (o X), altri pesci grossi come Google e Meta potrebbero essere i prossimi ad essere coinvolti e rischiare molto denaro.
In conclusione, il caso non riguarda Adobe. Si tratta di un modello di business. Un modello diffuso, immorale, pericoloso e basato su una sorveglianza invasiva su scala globale.
Non c'è mai stato un momento migliore per mettere in discussione sia l'etica che la legalità del modello di business dell'ad tech. Meta sta cambiando la sua politica sulla privacy per la terza volta nel giro di un anno, nell'ennesimo gioco al gatto e al topo con il GDPR, e sta affrontando un 'altra sfida legale da parte della noyb. Allo stesso tempo, una coalizione di sostenitori della privacy sta mettendo in discussione la legittimità del sistema di offerte in tempo reale che alimenta l'ambiente pubblicitario online nel caso di alto profilo di IAB Europe.
In questo scenario già precario, un precedente olandese contro la pubblicità basata sulla sorveglianza potrebbe avere un impatto dirompente (leggi: positivo) sull'ecosistema dell'ad tech.
Cosa ha fatto Adobe (presumibilmente) di sbagliato?
Adobe Experience Cloud è una suite di marketing online molto diffusa che comprende servizi come Adobe Analytics, Adobe Experience Manager e Adobe Campaign. In altre parole, il Cloud è una raccolta di strumenti software-as-a-service che scambiano informazioni e pubblicano annunci basati sui dati dei visitatori.
Sebbene la causa in sé non sia al momento disponibile al pubblico, il sito web dell'SDBN contiene una descrizione generale delle rivendicazioni. L'SDBN sostiene che Adobe ha raccolto illegalmente dati personali attraverso i cookie (il che indica implicitamente Adobe Analytics e l'SDK di Acrobat come colpevoli) e ha condiviso dati personali con terze parti nell'ambiente dell'ad tech.
Ci sono molte cose da spiegare, quindi vediamo di analizzarle pezzo per pezzo.
Adobe Analytics
Adobe Analytics è uno strumento di analisi web professionale, costoso e basato sui cookie. Le organizzazioni possono utilizzare Adobe Analytics per tracciare i visitatori e conoscere meglio i loro interessi. In questo modo possono utilizzare altri strumenti del cloud Adobe Experience per vendere spazi pubblicitari ai numerosi partner pubblicitari di Adobe.
In altre parole, Adobe Analytics è l'equivalente Adobe di Google Analytics. Svolge un ruolo cruciale nell'ambiente ad tech di Adobe perché è da lì che provengono i dati, insieme all'SDK di Adobe (vedi sotto).
L'SDBN sostiene che Adobe Analytics raccoglie dati illegalmente inserendo cookie senza il consenso dell'utente. In altre parole, c'è qualcosa di sbagliato nei pop-up dei cookie che i siti web sono tenuti per legge a visualizzare prima di inserire i cookie di marketing nel browser del visitatore.
Questo può accadere per una serie di motivi. Gli strumenti basati sui cookie, come Adobe Analytics e Google Analytics, dovrebbero inserire i cookie solo con il consenso. Spesso, però, le aziende impostano questi strumenti nel modo sbagliato, intenzionalmente o per negligenza. Di conseguenza, molti siti web non visualizzano il pop-up dei cookie o li inseriscono anche per gli utenti che li hanno rifiutati.
L'SDBN sostiene inoltre che spesso i siti web non forniscono informazioni sufficientemente precise sulla sorte dei dati personali raccolti attraverso i cookie. Fornire queste informazioni è un requisito per raccogliere un consenso valido ai sensi del GDPR.
L'SDK di Acrobat
Adobe Analytics non è l'unica fonte di dati personali per Adobe Cloud Experience: Adobe raccoglie anche dati personali con l'SDK di Acrobat e li alimenta con i suoi strumenti di ad tech.
I kit di sviluppo software (SDK) sono pacchetti di codice precompilato che vengono messi a disposizione di sviluppatori terzi e di solito contengono tracker. Con un SDK, uno sviluppatore di terze parti ottiene gratuitamente una serie di strumenti molto utili per lo sviluppo della propria applicazione e scarica il costo sugli utenti, che si vedono raccogliere i propri dati personali, spesso senza il loro consenso. Questi dati vengono utilizzati - indovinate un po' - per la pubblicità e spesso vengono aggiunti agli ampi profili che le società di ad tech mantengono.
In altre parole, gli SDK sono una trappola: uno strumento gratuito per gli sviluppatori che si paga con i propri dati.
Il tracciamento dei dispositivi mobili è un problema enorme che non riceve l'attenzione che merita, quindi siamo felici di vedere un'altra azione SDBN che coinvolge gli SDK diffusi.
Profilazione e condivisione dei dati
L'SDBN sostiene che Adobe condivide i dati personali con terze parti. Non c'è da sorprendersi: si tratta di una pratica standard nell'ad tech, dovuta alla natura del sistema di offerta in tempo reale (RTB).
Abbiamo già scritto degli RTB, quindi ecco la versione breve. Strumenti come Abode Analytics e Google Analytics raccolgono i vostri dati attraverso i siti web e li aggiungono a un profilo personale. Questo profilo consente alle aziende di sapere a cosa siete interessati e di indirizzare meglio gli annunci. Ogni volta che visitate un sito web, questo profilo viene condiviso nell'ambiente dell'ad tech, in modo che le aziende possano fare offerte per uno specifico spazio pubblicitario. Durante l'offerta, i profili vengono condivisi con gli inserzionisti in modo che questi sappiano quanto vale per loro quel visitatore in termini monetari e quali annunci dovrebbero proporre per ottenere un migliore ritorno sull'investimento.
Questo sistema è un disastro. I dati vengono condivisi con centinaia di parti per ogni offerta e aziende come Adobe e Google non hanno alcun controllo sui dati dopo la loro condivisione. L'Ad tech è un sistema di sorveglianza libero che può essere abusato da criminali, società di sorveglianza, governi stranieri e da chiunque si prenda la briga di creare una società e unirsi alla festa.
In quanto orgogliosi sviluppatori di uno strumento di analisi web privo di tracciamento, siamo un po' prevenuti quando si tratta di ad tech. Ma non c'è bisogno di credere alle nostre parole per capire quanto sia grave la situazione. Due recenti rapporti del Consiglio irlandese per le libertà civili (un'importante ONG per i diritti civili) dimostrano che la pubblicità online è un vero e proprio incendio della privacy che può mettere in pericolo persino il personale governativo e militare!
In conclusione: sì, Adobe condivide i vostri dati con una serie di partner. Con ogni probabilità, molti di loro non sono affidabili. Si tratta di una situazione molto negativa e non sorprendente.
Come si evolverà la situazione?
Diamo un'occhiata alla posizione di Adobe. Nei suoi comunicati stampa e nei precedenti scambi con l'SDBN, Adobe ha affermato che nessuna delle presunte violazioni è colpa sua. L'azienda sostiene che la conformità è responsabilità esclusiva del cliente: Adobe vende il servizio, fornisce la documentazione legale e chiude la questione.
Adobe ha ragione? In che misura il GDPR consente ad Adobe di scaricare gli obblighi di conformità sui propri clienti?
La legge non è bianca o nera in questo caso, ma c'è un precedente interessante che riguarda la multinazionale della pubblicità Criteo. In questo caso, l'autorità francese di vigilanza sulla privacy (CNIL) ha stabilito che un'organizzazione importante come Criteo non può scaricare completamente la raccolta e la documentazione del consenso sui propri clienti. Ha invece il dovere di impegnarsi maggiormente per la conformità e deve adottare misure per garantire che stia lavorando con un consenso reale e valido.
La CNIL è un'autorità influente e il precedente di alto profilo creato contro Criteo potrebbe essere ciò di cui l'SDBN ha bisogno per far pendere la bilancia a suo favore. D'altra parte, i tribunali olandesi non sono vincolati alle decisioni della CNIL e potrebbero benissimo assumere una posizione diversa sull'attribuzione degli obblighi di conformità.
Riflessioni finali
Come avrete capito, non ci piace il tracciamento. Riteniamo che sia irresponsabile, pericoloso e non etico. Per questo motivo abbiamo creato Simple Analytics per fornire ai nostri clienti tutti gli approfondimenti di cui hanno bisogno, senza raccogliere dati personali dall'utente finale. Se tutto questo vi colpisce, non esitate a darci un'occhiata!