Per molti nel mondo dei media e della pubblicità, in particolare negli Stati Uniti, le informazioni personali identificabili (PII) sono state a lungo off limits per la raccolta e il monitoraggio. Sono stati fatti sforzi significativi per tracciare una linea tra PII e non-PII, e anche per mascherare o pseudonimizzare le PII in modo tale da renderle non più identificabili (e quindi utilizzabili per il marketing). Tuttavia, la linea negli Stati Uniti si sta spostando e in Europa, con il GDPR che entrerà in vigore il 25 maggio 2018, potrebbe non esistere affatto.

Che cos’è il PII?

Il Dipartimento della Difesa (DoDD 5400.11, 29 ottobre 2014) definisce le PII come:

“Informazioni utilizzate per distinguere o tracciare l’identità di un individuo, come nome, numero di previdenza sociale, data e luogo di nascita, nome da nubile della madre, record biometrici, numeri di telefono di casa, altre informazioni demografiche, personali, mediche e finanziarie. Le PII includono qualsiasi informazione che sia collegata o collegabile a un individuo specifico, da sola o in combinazione con altre informazioni personali o di identificazione. Ai fini di questa pubblicazione, il termine PII include anche informazioni personali e informazioni in forma identificabile.”

Sulla base di questa definizione, la maggior parte delle agenzie governative statunitensi distinguono tra PII non sensibili e PII sensibili (quelle che, se divulgate, potrebbero causare danni all’individuo). Questo per aiutare a differenziare le informazioni pubblicamente disponibili da quelle potenzialmente più dannose, come lo stato di cittadinanza, l’affiliazione religiosa o l’orientamento sessuale (DHS Guidebook). Se le PII sono sensibili o meno può spesso dipendere dal contesto e dall’interpretazione. I marketer e gli editori sono molto attenti ad evitare di usare il PII, e invece si concentrano sul non-PII per rendere gli annunci più rilevanti per i consumatori.

Non-PII

Secondo la Mobile Marketing Association, il Non-PII è “Informazione che può corrispondere ad una particolare persona, account o profilo, ma non è sufficiente per identificare, contattare o localizzare la persona a cui tale informazione si riferisce. Piombo non qualificato”. Esempi di questo sono:

• Identificativi dei dispositivi
• Indirizzi IP
• Cookies
• Tipo di browser
• Dettagli del plug-in
• Preferenze della lingua
• Fasi orarie

Analizzando queste informazioni, le società di dati sono in grado di creare profili dettagliati dei consumatori per prevedere l’interesse e l’intenzione di acquisto. Questo permette ai commercianti di indirizzare il pubblico giusto con annunci pertinenti nel posto giusto al momento giusto.

L’espansione del PII

Infine, i sostenitori della privacy hanno iniziato a spostare la linea tra PII e non-PII per incoraggiare la protezione di più informazioni. Per esempio, il direttore della FTC Jessica Rich ha indicato che gli identificatori persistenti dovrebbero essere considerati PII. “Noi consideriamo i dati come “personalmente identificabili”, e quindi garanti della protezione della privacy, quando possono essere ragionevolmente collegati a una particolare persona, computer o dispositivo. In molti casi, gli identificatori persistenti come gli identificatori del dispositivo, gli indirizzi MAC, gli indirizzi IP statici o i cookie soddisfano questo test”. Esempi dalla FTC includono:

• Numero del cliente contenuto in un cookie
• Indirizzo IP
• Numero di serie del processore o del dispositivo
• ID univoco del dispositivo

Questi identificatori persistenti aggiuntivi espandono significativamente ciò che ha storicamente costituito PII e indicano la ridotta volontà della FTC di ignorare i moderni metodi di monitoraggio.

Tutto è dato personale sotto il GDPR!

Nel contesto del regolamento UE sulla privacy GDPR, la distinzione tra PII e non-PII non ha importanza. Infatti, si può sostenere che quasi tutto dovrebbe essere protetto come dati personali secondo il GDPR. Piuttosto che il test di “collegamento ragionevole” della FTC, il GDPR distingue tra dati pseudonimi e anonimi. In generale, i dati pseudonimi sono protetti come dati personali, mentre i dati anonimi non lo sono. Tuttavia, la soglia per essere anonimi è impegnativa da superare pur mantenendo il valore per i commercianti. Infatti, chiede ai controllori e agli elaboratori di dati di considerare “la tecnologia disponibile al momento dell’elaborazione e gli sviluppi tecnologici” per determinare se un soggetto di dati (leggi: persona) potrebbe essere individuato combinando qualsiasi dato pseudonimo o disparato. Con questa definizione, i dati personali hanno un’ampiezza tale che i controllori e gli incaricati del trattamento potrebbero voler assumere che la maggior parte dei loro dati sia personale, e lavorare a ritroso da lì.

E adesso?

Con l’entrata in vigore del GDPR a maggio del 2018, dovremmo riconoscere che la nomenclatura comune statunitense di PII e Non-PII non è più applicabile a una parte significativa della comunità internazionale. Il GDPR sta costringendo le aziende di tutto il mondo che gestiscono dati europei a ripensare e riorganizzare le loro politiche sui dati. Mentre gli Stati Uniti potrebbero non adottare mai il GDPR così come è scritto, non possiamo permetterci di ignorare il passaggio alla consapevolezza della privacy e l’alto livello di protezione dei dati personali in Europa.

Vuoi saperne di più sul GDPR? Guarda il resto della nostra serie:

• Task Force GDPR di SpotX
• Cos’è il GDPR? Cosa devi sapere sull’Ad Tech e il regolamento generale sulla protezione dei dati
• GDPR: Top 7 Things Publishers Should Do to Protect Themselves
• Come le aziende americane dovrebbero pensare al GDPR
• Perché le aziende americane dovrebbero preoccuparsi di PII, non-PII e dati personali
• Cos’è la ‘Privacy by Design and Default’ e come può aiutarmi a fare scelte difficili in un mondo post-GDPR?
• Come il GDPR stringerà la presa di Google e Facebook sui dollari della pubblicità globale – Non è ironico?
• Vlog: Senior Product Manager, Jessica Berman parla del GDPR