L’organizzazione noyb, guidata dal noto avvocato Max Schrems, ha presentato una denuncia al Garante per la protezione dei dati personali, in quanto Xandr (sussidiaria di Microsoft) non rispetta il GDPR (Regolamento generale sulla protezione dei dati). Una delle richieste è infliggere una sanzione amministrativa all’azienda di New York.
Violato il diritto di accesso
Xandr, venduta da AT&T a Microsoft a fine 2021, gestisce una piattaforma RTB (Real Time Bidding) di aste in tempo reale per la pubblicità digitale. Permette agli inserzionisti di acquistare spazi sulle pagine web in cui visualizzare la pubblicità. Per quelle personalizzate, ovvero basate sul “profilo” dell’utente, vengono raccolti numerosi dati durante la navigazione.
L’asta viene vinta da un solo inserzionista, ma Xandr invia i dati a tutti i partecipanti. L’azienda di New York acquista molti dati da Emetriq, sussidiaria di Deutsche Telekom. Un utente italiano ha inviato a Emetriq una richiesta di accesso per conoscere i dati raccolti e i destinatari. Emetriq ha risposto confermando che uno dei destinatari è Xandr.
La richiesta di accesso e cancellazione dei dati è stata invece respinta da Xandr, in quanto l’utente non può essere identificato. L’organizzazione noyb ha scoperto che tutte le richieste di accesso e cancellazione dei dati ricevute nel 2022 sono state respinte.
Inoltre, i dati usati da Xandr (forniti da Emetriq) sono molto superiori a quelli necessari e piuttosto generici. In pratica è solo una raccolta sproporzionata di dati, inutile per la pubblicità personalizzata. Secondo noyb, Xandr ha violato i diritti di accesso e cancellazione dei dati, oltre ai principi di minimizzazione e di esattezza.
Nella denuncia viene chiesto al Garante italiano di avviare un’indagine, ordinare a Xandr di limitare il trattamento e dare seguito alle richieste di accesso e cancellazione, e di infliggere una sanzione amministrativa che può arrivare al 4% delle entrate annuali.