Op-ed: Perché dobbiamo far rispettare le leggi esistenti contro "l'arricchimento dei dati"

La dott.ssa Katharine Kemp è Senior Lecturer presso la Faculty of Law, UNSW Sydney, e ricercatrice non residente presso il Loyola University Chicago Consumer Antitrust Studies Institute.

Molte aziende non si limitano a raccogliere dati personali direttamente dai consumatori quando effettuano un acquisto o si registrano come utente. Invece, si rivolgono ad altri rivenditori, broker di dati e programmi di fidelizzazione per ottenere ulteriori informazioni in merito il cliente, come fascia d'età, reddito, stato civile, stato di salute e se ne ha o meno bambini. L'industria pubblicitaria chiama questo "arricchimento dei dati".

Queste aziende potrebbero chiedere direttamente ai clienti questi dettagli, ma probabilmente si rendono conto che la maggior parte dei clienti rifiuterebbe. Quindi, invece, raccolgono questi dati extra da terze parti dietro le quinte, senza dare ai clienti la possibilità di rinunciare. Possono quindi utilizzare i dati per profilare il cliente, indirizzarlo più precisamente con annunci pubblicitari e potenzialmente trarre conclusioni sui suoi punti deboli e vulnerabilità.

Queste aziende potrebbero chiedere direttamente ai clienti questi dettagli, ma probabilmente si rendono conto che la maggior parte dei clienti rifiuterebbe

La cosa straordinaria di questa raccolta di terze parti non è che ci siano società australiane che raccolgono ingiustamente informazioni personali sui loro clienti – è che c'è già una legge che fa molto di questo arricchimento dei dati illegale. Semplicemente non è stato applicato.

Quella legge dice che le organizzazioni "devono raccogliere informazioni personali su un individuo solo dal individuo", a meno che ciò non sia irragionevole o impraticabile (lo chiamo 'riscossione diretta regola').

In un documento di ricerca pubblicato oggi, spiego perché questa regola di raccolta diretta rende illegale in Australia gran parte dell'arricchimento dei dati per scopi di profilazione e targeting. Spiego anche perché il nostro regolatore federale della privacy dovrebbe agire in via prioritaria contro le organizzazioni che raccolgono illegalmente informazioni personali da terzi.

La regola della riscossione diretta

La regola della riscossione diretta si trova nell'Australian Privacy Principle 3.6(b) del Federal Privacy Act, che si applica alla maggior parte delle aziende che hanno un fatturato annuo superiore a $ 3 milioni.

La regola ha ricevuto pochissima attenzione nel decennio in cui è stata sui libri. Nessun tribunale ha preso in considerazione la disposizione e c'è solo una decisione pubblicata su di essa dal regolatore della privacy. Quel caso non riguardava pratiche di arricchimento dei dati e non siamo a conoscenza di alcuna indagine su queste pratiche da parte dell'autorità di regolamentazione della privacy.

Chiaramente le informazioni non vengono raccolte "solo dall'individuo" quando vengono acquistate da un broker di dati o ottenute come parte di uno scambio di dati tra due organizzazioni

Il requisito generale della "raccolta solo presso l'individuo" verrebbe soddisfatto in situazioni comuni in cui i consumatori compilano i dati dell'organizzazione moduli online, rispondere ai loro sondaggi, acquistare qualcosa da loro, utilizzare il loro servizio o parlare con un rappresentante dell'organizzazione sul telefono.

Ma le informazioni chiaramente non vengono raccolte "solo dall'individuo" quando vengono acquistate da un broker di dati o ottenute come parte di uno scambio di dati tra due organizzazioni.

raccolta dei dati personali dei clienti

Le aziende in genere non forniscono ai consumatori informazioni chiare su quali dati raccolgono da terze parti.

Questa raccolta di dati di terze parti è lecita solo se si applica l'eccezione "irragionevole o impraticabile". Questa eccezione era destinata ad applicarsi a una gamma ristretta di circostanze, che potrebbero includere situazioni in cui la raccolta è necessaria per:

  • prevenire l'uso fraudolento di una piattaforma; O 
  • correggere un indirizzo fornito per la consegna della merce acquistata.

L'eccezione "irragionevole o impraticabile" non si applica semplicemente perché un'organizzazione vuole raccogliere di più informazioni personali su un cliente, ma si rende conto che il cliente probabilmente considererebbe la richiesta invadente e rifiutare.

Chi raccoglie informazioni personali da terze parti?

Le aziende in genere non forniscono ai consumatori informazioni chiare su quali informazioni personali stiano raccogliendo da terze parti, né su chi siano tali terze parti. Ma molte aziende con un'ampia base di clienti includono termini vaghi nella stampa fine delle loro politiche sulla privacy sul fatto che raccolgono informazioni personali da terze parti.

Le aziende in genere non forniscono ai consumatori informazioni chiare su quali informazioni personali stiano raccogliendo da terze parti, né su chi siano tali terze parti

Amazon Australia, eBay Australia, Google, Meta, Twitter, News Corp Australia, Nine e Seven West Media sono tra le tante grandi organizzazioni con termini di raccolta dati di terze parti. Ecco alcuni esempi.

Amazon Australia Avviso sugli annunci basati sugli interessi: "Alcune terze parti potrebbero fornirci informazioni pseudonimizzate su di te (come informazioni demografiche o siti dove ti sono stati mostrati annunci) da fonti offline e online che potremmo utilizzare per fornirti informazioni più pertinenti e utili pubblicità."

Notizie Corp Australia Politica sulla riservatezza: "Possiamo integrare le informazioni che raccogliamo su di te con informazioni provenienti da altre fonti. Ciò può includere informazioni provenienti da fonti disponibili al pubblico (come altri contenuti pubblicati) e fornitori di dati, nonché informazioni dai nostri partner commerciali o società collegate e affiliate in Australia o internazionale”.

Di Meta politica sulla riservatezza – che copre sia Facebook che Instagram – afferma che raccoglierà informazioni su di te da terze parti, comprese le tue app utilizzo, acquisti effettuati, modalità di utilizzo dei servizi di terze parti online o offline e dati demografici come la tua istruzione livello.

Ci sono molte altre società con termini simili nelle loro politiche sulla privacy (il mio documento ne estrae numerosi esempi), così come altri che probabilmente non rispettano il loro obbligo di informare i consumatori in merito pratiche.

Come accade di solito, nessuno di questi termini è specifico su quali terze parti le società raccolgono informazioni, né al consumatore viene data alcuna possibilità di rinunciare.

La raccolta da terzi continua anche se il indagine sui consumatori le prove mostrano chiaramente che la maggior parte dei consumatori australiani:

  • considerarlo un uso improprio delle proprie informazioni da parte delle piattaforme digitali per raccogliere tali informazioni da terzi; E 
  • considerano ingiusto per le aziende raccogliere informazioni che non sono necessarie per fornire il servizio in questione.

Quali informazioni vengono vendute da terze parti?

La maggior parte delle aziende non dice con precisione da quali informazioni personali acquista o scambia con terze parti. Ma possiamo farci un'idea dalle pubblicità dei data broker.

Ad esempio, ecco come Oracle Australia spiega la sua offerta di arricchimento dei dati alle aziende:

"Potresti avere un database pieno di clienti che si sono iscritti alla tua newsletter o hanno effettuato l'accesso a un account sul tuo sito web, ma non sai molto su di loro. L'arricchimento dei dati di Oracle migliora la tua comprensione di questi clienti aggiungendo dati demografici a ciascuno profilo, insieme a informazioni sul loro comportamento di acquisto e altri indizi utili sul loro stile di vita o identità…"

Oracle Australia promette ai clienti che può "[c] creare una vera visione a 360 gradi del cliente con un'ampia gamma di attributi noti del cliente".

diagramma di arricchimento dei dati Oracle

Il sito Web di Oracle offre vari modi per "arricchire" i dati dei clienti. Fonte: Oracle Australia.

Experiano promette ai clienti che possono utilizzare i suoi servizi di arricchimento dei dati per: "Arricchire i dati dell'audience sulla base di a combinazione di dati demografici, geografici, finanziari e di ricerche di mercato, sia online che offline dati."

Ciò sembra includere dati diversi come il reddito familiare, la fase della vita, i bambini, l'età, la ricchezza, la proprietà tipo e numero di camere da letto, se l'individuo ha recentemente cambiato casa e persino "piscina e solare indicatori".

Queste società di dati non spiegano in che modo questa raccolta di terze parti rispetterebbe la regola della raccolta diretta.

Questo arricchimento dei dati non rientra nell'eccezione alla raccolta diretta

L'Office of the Australian Information Commissioner (OAIC) ​​ha fornito alcune indicazioni su quando l'eccezione "irragionevole o impraticabile" alla regola della riscossione diretta sarebbe soddisfatta. Fornisce potenziali esempi di eccezione in quelle che sono situazioni chiaramente definite in modo restrittivo, come l'indagine su comportamenti illeciti o l'aggiornamento di un indirizzo per la consegna di documenti legali. Elenca inoltre i fattori da considerare per decidere quando applicare l'eccezione.

Alla luce dei fattori elencati nella guida OAIC, l'eccezione non dovrebbe applicarsi all'arricchimento dei dati per il targeting o la profilazione per i seguenti motivi:

  • Le organizzazioni possono chiedere direttamente ai consumatori i loro vari dettagli demografici, interessi e simili, e i consumatori possono fornire tali informazioni se lo desiderano.
  • La riscossione da parte dell'individuo non metterebbe a repentaglio lo scopo della riscossione come farebbe in un'indagine per frode. I consumatori possono decidere autonomamente quali informazioni desiderano conoscere per la profilazione e il targeting.
  • Anche quando i consumatori fanno uso di un servizio digitale "gratuito", sapendo che il fornitore raccoglie e utilizza informazioni sul loro utilizzo del servizio, ciò non si estende a una ragionevole aspettativa che ulteriori dati vengano raccolti da broker di dati o terze parti ben oltre il pertinente servizio.
  • La raccolta da terzi non rientra nelle ragionevoli aspettative dei consumatori: i risultati del sondaggio mostrano che i consumatori considerano questo un uso improprio delle loro informazioni. Il fatto che le organizzazioni agiscano alle spalle dei consumatori per farlo mostra anche la loro consapevolezza che i consumatori probabilmente obietterebbero.
  • La privacy dei consumatori è violata dalla loro mancanza di controllo (o addirittura di conoscenza) dei tipi precisi di informazioni raccolte da altri e di chi siano questi altri.
  • La combinazione di frammenti di informazioni provenienti da varie fonti aumenta anche il rischio che i dati – o deduzioni tratto da esso – esporrà le vulnerabilità, le debolezze e altri dettagli dell'individuo che non vorrebbe condividere.
  • Il tempo e il costo coinvolti nella ricerca delle informazioni dall'individuo non rendono la raccolta diretta "irragionevole". o impraticabile', in particolare laddove l'organizzazione abbia un rapporto con il cliente e/o con i suoi dati di contatto.
  • Laddove il tempo e il costo della riscossione diretta sarebbero eccessivi, ciò potrebbe essere semplicemente un'indicazione del irragionevolezza di un'azienda con un legame relativamente scarso con l'individuo che raccoglie così tanto inutile informazioni su di loro.

Il "consenso" dato all'organizzazione di riscossione non costituisce un'eccezione

Un punto critico della norma sulla riscossione diretta è che non contiene alcuna eccezione basata sul consenso dell'individuo all'organizzazione di riscossione.

Ciò emerge chiaramente dalla formulazione della norma, che rende un'eccezione per le agenzie governative ottenere il consenso dall'individuo, ma non prevede la stessa eccezione per le organizzazioni private.

Le organizzazioni non possono fare affidamento su termini vaghi nelle loro politiche sulla privacy per affermare che il cliente ha dato il consenso implicito alla raccolta dei dati di terze parti, rendendola così lecita

Ciò significa che le organizzazioni non possono fare affidamento su termini vaghi nelle loro politiche sulla privacy per affermare che il cliente ha dato il consenso implicito alla loro raccolta di dati di terze parti, rendendola così lecita.

Il consenso dato all'organizzazione divulgante non è un'eccezione

Allo stesso modo, non è sufficiente che l'organizzazione che divulga le informazioni personali al collezionista abbia un ampio raggio d'azione termine nella sua politica sulla privacy, affermando che divulga informazioni personali a "partner fidati", "partner di dati" e il Piace.

La norma sulla riscossione diretta impone l'obbligo all'organizzazione di riscossione, oltre agli obblighi sulle organizzazioni di divulgazione. Sebbene il consenso effettivo dato all'organizzazione divulgante sarà rilevante per stabilire se sarebbe "irragionevole o impraticabile" per l'organizzazione di raccolta raccoglierlo solo dall'individuo, tale consenso non è un'eccezione in si.

Molto dipenderà dalle circostanze più ampie della raccolta, ad esempio se la raccolta è stata attivamente e specificamente richiesta da l'individuo a proprio vantaggio, ad esempio se una persona chiede al proprio avvocato in una transazione immobiliare di raccogliere le proprie informazioni finanziarie direttamente dal proprio commercialista o chiede ai propri servizi di streaming musicale di importare le proprie playlist da un altro servizio di streaming musicale convenienza.

Le informazioni sono "informazioni personali"

La maggior parte delle organizzazioni sembra riconoscere nei loro termini sulla privacy che i dati che raccolgono da terzi sono "informazioni personali" e quindi coperti dalla legge sulla privacy.

Ma alcuni potrebbero provare a sostenere che queste informazioni erano in realtà "non identificate" (a volte "anonimizzate") e quindi non coperte dalla legge. Le aziende, ad esempio, hanno dichiarato ai consumatori che determinate pratiche implicano solo informazioni "non identificate" o "anonime", anche se vantandosi sulla stampa pubblicitaria sulla misura in cui sono in grado di tracciare il comportamento dei singoli consumatori.

Ciò detto, i metodi di marketing etichettati come "conformi alla privacy" possono comunque raccogliere e utilizzare "informazioni personali", con il risultato che si applicano gli obblighi previsti dalla legge sulla privacy.

Dati combinati

Le organizzazioni spesso combinano le informazioni relative a un determinato consumatore utilizzando lo stesso indirizzo e-mail "con hash" o un altro identificatore univoco collegare le informazioni che le organizzazioni detengono rispettivamente su quel consumatore, piuttosto che utilizzare il loro nome legale o indirizzo e-mail. (Un indirizzo email con hash è essenzialmente una stringa univoca di lettere e numeri creata da entrambe le parti che applicano un determinato formula all'indirizzo e-mail.) I dati combinati rivelano più informazioni sull'individuo a ciascuna delle organizzazioni coinvolto. Questo dovrebbe essere trattato come informazione personale.

È un semplice passaggio per riconoscere che i dati raccolti che sono collegati a un indirizzo e-mail con hash lo sono informazioni sull'individuo connesso allo stesso indirizzo e-mail con hash nell'organizzazione Banca dati. Come il tribunale federale ha tenuto nell'interpretazione del concetto di 'informazione personale' ai sensi della legge sulla privacy, "anche se un singolo pezzo di le informazioni non riguardano "l'individuo", ma possono riguardare l'individuo se combinate con altre informazione".

Tempo per l'azione

La regola della raccolta diretta è stata quasi del tutto trascurata nei 10 anni in cui è stata in vigore, forse perché queste pratiche di dati sono così opaco e le aziende hanno ipotizzato di poter sostenere che questa condivisione di dati fosse consentita perché menzionata nella loro privacy politiche.

È tempo che l'autorità di regolamentazione esamini queste pratiche di raccolta dati di terze parti e agisca contro le violazioni di questa legge

Tre anni fa, l'Australian Competition and Consumer Commission (ACCC) ha raccomandato riforme sostanziali alla legge sulla privacy nel tentativo di farlo affrontare le asimmetrie informative e gli squilibri nel potere contrattuale tra i consumatori e le grandi organizzazioni che utilizzano i propri dati personali dati. I consumatori attendono l'esito delle raccomandazioni dell'ACCC.

Ma alcuni di questi squilibri e ingiustizie potrebbero essere affrontati in questo momento se solo il nostro regolatore della privacy applicasse l'attuale regola di riscossione diretta. È tempo che l'autorità di regolamentazione esamini queste pratiche di raccolta dati di terze parti e agisca contro le violazioni di questa legge.

Ci preoccupiamo per la precisione. Vedi qualcosa che non va bene in questo articolo? Facci sapere o leggi di più su fact-checking presso CHOICE.

Immagini Stock: Getty, se non diversamente specificato.

SCELTA Icona della comunità

Per condividere i tuoi pensieri o porre una domanda, visita il forum della community CHOICE.

Visita la Comunità SCELTA
  • Apr 27, 2023
  • 51
  • 0
Irane Rooz
  • Stihl Fse 71
  • Stihl Re 90
  • Stihl Rma 460
  • Stihl Rma 510
  • Investimenti In Borsa
  • Stokke Sleepi Bed
  • Stokke Xplory V6
  • Conservazione
  • Soluzioni Di Archiviazione
  • Risarcimenti Assicurativi Sugli Strati
  • Dod Rc500s 1ch
  • Marmellata Di Fragole
    • Privacy

    © 2025 Irane Rooz. All rights reserved