Approfondimento su Metodologia Audiweb 2.0

Le informazioni di dettaglio sui processi attivati dal partner di ricerca Nielsen nella raccolta, elaborazione e trasferimento di informazioni tra le diverse fonti di dati coinvolte nella nuova rilevazione.

Il nuovo sistema di rilevazione Audiweb 2.0 è stato progettato e messo a punto al fine di rappresentare in modo oggettivo, preciso e completo l’offerta online in Italia, dotando i professionisti di strumenti e informazioni utili per prendere decisioni consapevoli in un mercato dinamico che continua a crescere.

Un sistema estremamente ampio e innovativo basato su quattro fonti di dati e su processi di gestione ed elaborazione delle informazioni generate nel rispetto di tutte le normative in materia di privacy e descritti in modo puntuale nel documento sulle Note informative e, in modo più sintetico, nella pagina “Metodologia” del sito web.

A tale scopo, è stato sviluppato da Nielsen un sistema di cifratura e anonimizzazione delle informazioni generate dal tag SDK, in modo tale che non possano essere identificate le persone coinvolte nella navigazione in internet, cui si aggiungono misure di sicurezza e attività di trattamento delle informazioni (hashing* e troncatura delle informazioni relative agli utenti) trasferite da Nielsen al Data provider (Facebook) e viceversa. L’intero processo è comunque sottoposto ad audit da parte di PWC.

Più in dettaglio, per quanto riguarda il processo di raccolta dati tramite SDK Nielsen, le uniche informazioni relative agli utenti che costituiscono “dati personali” ai sensi del GDPR trattate da Nielsen nell’ambito della metodologia DCR / procedura di rilevazione sono le seguenti: indirizzo IP; Advertising ID (con specifico riferimento alle App Mobile); User Agent; Content ID (inteso come insieme dei codici riferiti al contenuto rilevato che, si precisa, non include la URL dello stesso).
Tutti i dati personali trattati da Nielsen tramite tag SDK sono oggetto di cifratura, in modo tale che in nessun caso Nielsen possa identificare le persone coinvolte nella navigazione in internet. 

Facebook riceve in chiaro dal browser dell’utente:

i.    l’indirizzo IP; 

ii.    lo User Agent;

iii.    gli ulteriori meta-dati inclusi nel redirect la cui trasmissione è necessaria secondo il protocollo internet, consultabili al seguente link: https://tools.ietf.org/html/rfc2616#section-5.3

Tale operazione di redirect, che include dati in chiaro, è tecnicamente indispensabile a rendere il Data Provider in grado di attribuire età e genere (age /gender) agli utenti e, dunque, per l’attività di rilevazione dell’audience relativa alla metodologia Audiweb 2.0.
In nessun caso, né attraverso il redirect, né per un trasferimento ad opera di Nielsen, Facebook riceve informazioni in chiaro sui contenuti visualizzati dagli utenti.  Pertanto, Facebook non è in grado di individuare contenuti editoriali in corrispondenza dei dati ricevuti.

Queste procedure sono state ulteriormente dettagliate nel documento “Note Informative” - pubblicato sul sito Audiweb e condiviso con AGCOM - e schematizzate nella nuova lista di Q&A pubblicate in questa pagina e aggiunte alla pagina F.A.Q. del sito Audiweb, al fine di chiarire i principali quesiti sui processi di raccolta e trattamento delle informazioni previste nell’ambito della rilevazione Audiweb 2.0.  

Per un maggiore approfondimento sulla gestione e organizzazione dei dati originati da SDK Nielsen, si consiglia di consultare il paragrafo “4.3.1. SDK – caratteristiche e funzionamento” alle pag. 23 e 24 delle Note Informative
Per un approfondimento sulla natura e sulla gestione dei dati trasferiti dal partner di ricerca al data provider, si consiglia di consultare il paragrafo “4.4. Privacy e Riservatezza” da pag. 30 a pag. 33 delle Note Informative.

F.A.Q Di seguito le principali Q&A sui processi di raccolta e trattamento delle informazioni tramite le fonti coinvolte nella rilevazione Audiweb 2.0 e sulla gestione dei dati personali.

Il sistema di rilevazione Audiweb 2.0 garantisce la privacy degli utenti e la riservatezza dei Publisher?

Sì. 
Audiweb non tratta dati personali, in quanto riceve da Nielsen unicamente dati aggregati e/o anonimi. La metodologia appena introdotta e il design dei prodotti che la utilizzano sono stati creati per proteggere contemporaneamente la privacy dei consumatori e la riservatezza dei Publisher i cui contenuti sono sottoposti a misurazione. Il partner di ricerca Nielsen si è impegnato al rispetto del Regolamento generale sulla protezione dei dati n. 2016/679/UE (“GDPR”) anche per conto dei propri subcontraenti, sia nei confronti di Audiweb che dei Publisher.

 

Il processo di raccolta dati tramite SDK Nielsen include anche la gestione di dati personali degli utenti?

Le uniche informazioni relative agli utenti che costituiscono “dati personali” ai sensi del GDPR trattate da Nielsen nell’ambito della metodologia DCR / procedura di rilevazione sono le seguenti: indirizzo IP; Advertising ID (con specifico riferimento alle App Mobile); User Agent; Content ID (inteso come insieme dei codici riferiti al contenuto rilevato che, si precisa, non include la URL dello stesso).
Tutti i dati personali trattati da Nielsen tramite tag SDK sono oggetto di cifratura, in modo tale che in nessun caso Nielsen possa identificare le persone coinvolte nella navigazione in internet. 
Facebook riceve in chiaro dal browser dell’utente:
i.    l’indirizzo IP; 
ii.    lo User Agent;
iii.    gli ulteriori meta-dati inclusi nel redirect la cui trasmissione è necessaria secondo il protocollo internet, consultabili al seguente link: https://tools.ietf.org/html/rfc2616#section-5.3
Tale operazione di redirect che include dati in chiaro è tecnicamente indispensabile a rendere il Data Provider in grado di attribuire età e genere (age /gender) agli utenti e, dunque, per l’attività di rilevazione dell’audience relativa alla metodologia Audiweb 2.0.
In nessun caso, né attraverso il redirect, né per un trasferimento ad opera di Nielsen, Facebook riceve informazioni in chiaro sui contenuti visualizzati dagli utenti.  Pertanto, Facebook non è in grado di individuare contenuti editoriali in corrispondenza dei dati ricevuti.

 

Quali sono le misure adottate al fine di rispettare appieno la normativa sulla privacy nel processo di raccolta dati tramite SDK?

Ogni qualvolta, nel corso di un’attività di navigazione, un device utente invia una richiesta e carica un contenuto taggato con SDK Nielsen (statico o video, browser o app), viene incluso l’indirizzo IP nel processo comunicativo tra SDK e i server di raccolta. 
Per rispettare la normativa europea vigente, gli indirizzi IP rilevati non vengono trasferiti ad alcun server al di fuori del territorio europeo e vengono anonimizzati prima di qualsiasi trasferimento. 
Tutti i dati personali trattati da Nielsen tramite tag SDK sono oggetto di cifratura in modo tale che in nessun caso Nielsen possa identificare le persone coinvolte nella navigazione in internet.

In particolare: gli indirizzi IP sono immediatamente troncati e sottoposti a hashing; gli Advertising ID sono immediatamente sottoposti ad hashing. I Content ID, mantenuti in chiaro da Nielsen in quanto necessari alla misurazione (attribuzione delle metriche ai contenuti rilevati), sono sottoposti ad hashing prima dell’invio a Facebook. Inoltre: i processi di hashing e troncatura eseguiti da Nielsen sono irreversibili; una volta effettuati hashing e troncatura, Nielsen non è più in grado di risalire all’indirizzo IP e Advertising ID, in quanto i dati originali vengono immediatamente cancellati; Facebook è esclusivamente in grado di: verificare sui browser che effettuano una chiamata ai suoi server tramite il redirect, la presenza dei propri cookie di prima parte già presenti nei propri database, e di effettuare il matching tra gli Advertising ID criptati inviati da Nielsen e gli Advertising ID che sono già in suo possesso (e cioè quelli che ha autonomamente raccolto tramite la propria applicazione scaricata dagli utenti).

 

Nell’ambito della rilevazione Audiweb Daily e Weekly tramite SDK, quali informazioni vengono trasferite dal partner di ricerca Nielsen al data provider Facebook?

Tra le fonti alla base della metodologia Audiweb 2.0 i Big Data sono utilizzati per l’attribuzione di età e genere all’audience e per la deduplica delle audience tra device, grazie al contributo dei dati raccolti dall'SDK e al processo di validazione e calibrazione derivato dal Panel.
Per la rilevazione Audiweb 2.0, il partner di ricerca Nielsen ha selezionato Facebook quale data provider più affidabile per copertura e qualità dei dati di profilazione relativi a genere ed età.

Il passaggio di dati tra le fonti coinvolte è attivato dal redirect generato dal tag SDK Nielsen - secondo il protocollo internet (TCP/IP/HTTP etc.) – in cui Facebook riceve in chiaro dal browser dell’utente: a) indirizzo IP; b) User Agent; c) gli ulteriori meta-dati inclusi nel redirect la cui trasmissione è necessaria secondo il protocollo internet, consultabili al seguente link: https://tools.ietf.org/html/rfc2616#section-5.3. 
Tutti i dati personali trattati da Nielsen tramite tag SDK sono oggetto di cifratura in modo tale che in nessun caso Nielsen possa identificare le persone coinvolte nella navigazione in internet.

Le misure di sicurezza e i processi di anonimizzazione delle informazioni effettuate da Nielsen, quali ad esempio il processo di troncatura e il processo di hashing, sono descritti in modo dettagliato al punto C pag. 31 delle Note Informative.

In riferimento agli indirizzi IP, ad esempio, questi sono crittografati (tramite il processo di IP hashing descritto a pag. 30 delle Note Informative) presso il data center europeo, indipendentemente dal Paese di accesso. L’indirizzo IP, prima di essere anonimizzato, viene sottoposto a un controllo per assegnare la geo-localizzazione che ha luogo solo nell’attribuzione del livello “città” quale massimo livello di dettaglio. L’indirizzo IP viene anonimizzato tramite l’applicazione di un processo di elaborazione che prevede due fasi: troncatura e hashing illustrate a pag. 24 delle Note Informative. 

Con riferimento alle applicazioni mobile, Nielsen trasferisce a Facebook tramite un protocollo server-to-server Content ID e Advertising ID degli utenti dopo averli sottoposti ad hashing (attività descritta a pag. 24 e a pag 31 punto C delle Note Informative). Anche questo trattamento è tecnicamente indispensabile a rendere Facebook in grado di attribuire età e genere (age / gender) agli utenti e, dunque, per l’attività di rilevazione dell’audience relativa alla metodologia Audiweb 2.0.

In ogni caso, Facebook è obbligata a trattare i dati trasmessi (sia tramite redirect che per trasferimento ad opera di Nielsen):
a)    per un periodo massimo di 120 giorni, decorso il quale i dati sono cancellati o anonimizzati;
b)    in conformità alla normativa privacy applicabile e al contratto per il trattamento dei dati personali (data processing agreement) in essere con Nielsen.

Su un piano tecnico, inoltre, Facebook non è in grado di associare in maniera autonoma alcun ulteriore dato personale agli indirizzi IP ricevuti dai browser su cui non è stato rilevato un cookie Facebook; allo stesso modo, Facebook non è in grado di effettuare la de-criptazione degli Advertising ID non presenti nei suoi database.

 

Al data provider vengono trasferite informazioni sulle URL dei contenuti sui contenuti visualizzati dagli utenti?

In nessun caso, né attraverso il redirect, né per un trasferimento ad opera di Nielsen, Facebook riceve informazioni in chiaro sui contenuti visualizzati dagli utenti. Pertanto, Facebook non è in grado di individuare contenuti editoriali in corrispondenza dei dati ricevuti (come descritto a pag. 34 delle Note Informative, punto C. 2)

 

Quali sono i diritti degli utenti le cui attività di navigazione vengono rilevate e trasmesse tramite SDK Nielsen?

In generale, gli utenti hanno facoltà di non essere rilevati nella loro navigazione attraverso la funzione di opt-out. 

Ecco cosa avviene nel caso in cui l’utente eserciti l’opt-out:

- Facebook non riceve alcun dato personale (in quanto il redirect non viene eseguito);

- Nielsen raccoglie solo dati statistici sui volumi di traffico. 

Anche in conformità ai provvedimenti del Garante per la protezione dei dati personali in materia di cookie, i tag SDK Nielsen sono utilizzati esclusivamente ai fini della misurazione e – con l’eccezione dell’attribuzione di age / gender ad opera di Facebook, come descritto a pag. 31 e 32 delle Note Informative – senza incrociare i dati raccolti con altri dati raccolti precedentemente o con altri database.