il Texas ha citato in giudizio Netflix

La causa contesta la raccolta di dati comportamentali senza consenso, inclusi quelli dei minori

Il Texas ha dimostrato di essere il falco della privacy negli Stati Uniti. Dopo aver ottenuto un accordo da 1,4 miliardi con Meta per la raccolta illecita di dati biometrici – il più grande mai ottenuto da un singolo stato per violazione della privacy – il procuratore generale Ken Paxton ha ora aperto un nuovo fronte: la causa contro Netflix. Ma questa volta il bersaglio non sono le foto o le impronte facciali: sono i click, le abitudini di visione e i profili dei bambini. Il cuore del business pubblicitario dello streaming è sotto tiro.

La scorsa settimana, l’ufficio di Paxton ha annunciato una causa in cui accusa Netflix di aver raccolto illegalmente dati degli utenti – inclusi minori – senza consenso, e di averli ceduti a broker di dati e società di pubblicità tecnologica. Il testo della denuncia è crudo: Netflix è una società di logging che registra e monetizza miliardi di eventi comportamentali – e occasionalmente trasmette film. La percezione degli utenti – quella di un servizio in abbonamento senza pubblicità – viene spazzata via da una realtà molto diversa: la piattaforma progetta la propria interfaccia per essere addictive, usando funzioni come l’autoplay per manipolare gli utenti, inclusi i bambini, a rimanere incollati allo schermo per periodi prolungati. La causa chiede di fermare questa raccolta, disabilitare l’autoplay di default sui profili bambini e ottenere sanzioni civili.

Proprio ieri, Paxton ha anche avviato un’indagine sui Meta AI Glasses per preoccupazioni sulla privacy dei dati facciali, a dimostrazione che la lotta contro Big Tech non si ferma.

La mossa del Texas: da Meta a Netflix

Il paradosso è evidente. Con Meta, il Texas aveva già vinto: nel luglio 2024 un accordo da 1,4 miliardi di dollari ha chiuso la vicenda relativa alla raccolta di dati biometrici (geometria facciale) di milioni di texani senza il loro consenso informato, una violazione iniziata già a febbraio 2022 quando Paxton fece causa a Facebook. Quel caso ha creato un precedente importante: i dati biometrici sono protetti da una legge texana del 2009 (CUBI), e la sentenza ha stabilito che anche le grandi piattaforme devono ottenere il consenso esplicito.

Ora il Texas tenta di estendere quel ragionamento ai dati comportamentali – ciò che Netflix definisce eventi comportamentali: ogni click, pausa, riproduzione, scorrimento, abbandono. La domanda di fondo è: se la legge del Texas protegge le impronte digitali, perché non dovrebbe proteggere anche la mappa delle abitudini di visione? Il procuratore sostiene di sì, e la causa potrebbe creare un’onda d’urto per tutto l’ecosistema della pubblicità programmatica.

Il meccanismo nascosto: come Netflix raccoglie e cede i dati

Per chi lavora nella supply chain pubblicitaria, la denuncia è un manuale di come le piattaforme di streaming raccolgono dati di prima parte e li trasformano in profili cedibili a terzi. Netflix, secondo la causa, non si limita a registrare gli eventi: li condivide con broker di dati commerciali e aziende di ad-tech, dove vengono combinati con dati di altre fonti per costruire profili dettagliati degli utenti. È esattamente il meccanismo che alimenta l’RTB (real-time bidding) e le PMP (private marketplace) nel mondo CTV (Connected TV).

La differenza rispetto al caso Meta è sottile ma cruciale. Con Meta, il Texas contestava la cattura di dati biometrici – una caratteristica fisica immutabile. Con Netflix, contesta la cattura di dati comportamentali – eventi volontari ma non consapevoli. L’utente sa di guardare un film, ma non sa che ogni pausa o scelta di genere viene registrata, aggregata e venduta a broker pubblicitari. La legge texana sul consenso, il Texas Business and Commerce Code, potrebbe estendersi anche a questi dati se interpretata in senso ampio. Se il tribunale desse ragione a Paxton, ogni piattaforma che raccoglie dati comportamentali senza un consenso esplicito e informato – incluse le RMN (Retail Media Networks), le piattaforme di streaming ad-supported e persino le DSP (Demand-Side Platforms) che operano in Texas – sarebbe esposta a sanzioni.

La causa chiede anche di disabilitare l’autoplay sui profili bambini, una richiesta che va oltre la privacy e tocca il design della piattaforma, riconoscendo che l’interfaccia stessa è uno strumento di raccolta dati: più tempo l’utente passa sulla piattaforma, più eventi vengono loggati.

La tensione irrisolta: la battaglia sulla privacy dei dati comportamentali

Se il Texas vincesse, il precedente sarebbe devastante per il modello pubblicitario dello streaming. Oggi Netflix ha un tier supportato da pubblicità (€6,99 al mese), ma anche gli abbonati premium generano dati comportamentali che la piattaforma può monetizzare attraverso accordi con data broker e ad-tech. La causa non fa distinzione tra abbonati con o senza pubblicità: contesta la raccolta tout court senza consenso. Questo significa che, se la legge viene applicata, ogni piattaforma che opera in Texas – da Disney+ a Amazon Prime Video, da Peacock a Roku – dovrebbe ripensare le proprie pratiche di raccolta e condivisione dati.

Ma c’è una domanda irrisolta: il vero obiettivo è proteggere i bambini o colpire il modello pubblicitario? La richiesta di disabilitare l’autoplay sui profili bambini è un cavallo di Troia per imporre un consenso esplicito su tutti i dati comportamentali, inclusi quelli degli adulti. Il Texas ha già dimostrato di non fermarsi alle multe: l’accordo con Meta includeva anche misure di compliance stringenti. Se la stessa logica viene applicata a Netflix, l’intero ecosistema della profilazione comportamentale nel CTV – che oggi si basa su ID di dispositivo, coorti comportamentali e third-party data – potrebbe dover migrare verso modelli basati su consenso esplicito e clean room, come già accade in Europa con il GDPR.

Per le DSP e gli SSP (Supply-Side Platforms) che operano in Texas, questo significa rivalutare i propri flussi di dati: se un impressione su Netflix viene generata da un evento comportamentale raccolto senza consenso, l’acquisto di quell’inventario potrebbe diventare illegale. Le aziende di ad-tech che ricevono dati da Netflix (e dai suoi data broker) potrebbero essere trascinate nella causa come co-respondenti. Non è un caso che la denuncia citi esplicitamente commercial data brokers and advertising technology companies come destinatari dei dati.

La partita è aperta. Il Texas ha un track record impressionante: dopo la vittoria contro Facebook nel 2022 e l’accordo da 1,4 miliardi nel 2024, ora tenta di allargare il perimetro della privacy ai dati comportamentali. Se ci riuscirà, il futuro della pubblicità programmatica nello streaming – basata sulla profilazione fine degli utenti – sarà segnato. Per chi lavora nel programmatic, è il momento di guardare con attenzione ai tribunali del Texas: lì si decide se il modello di business che tiene in piedi le piattaforme di streaming può sopravvivere così com’è.