Profilazione e trattamento dei dati personali:
Cosa c’è da sapere
Tra diritto all’autodeterminazione informativa ed esigenze di business, tenendo conto dei rischi di violare la privacy e i diritti e le libertà fondamentali dei soggetti profilati.
Con l’espressione ‘profilazione per finalità commerciali o di marketing’ intendiamo riferirci al fenomeno dell’analisi e dell’elaborazione di informazioni relative agli utenti di un determinato servizio on line, ivi compresi quelli televisivi, finalizzata alla creazione di gruppi omogenei per gusti e comportamenti – cd. ‘profili’ – funzionali a pervenire all’identificazione del singolo utente, o più spesso di un gruppo di utenti, o del terminale da cui si collega, al fine l’offerta, personalizzata, di beni o servizi ulteriori o affini.
L’utilizzo delle tecniche e delle tecnologie di profilazione, che si sono via via evolute, sino a ricomprendere, ad esempio logiche algoritmiche predittive, permette l’effettuazione, allorché si disponga del giusto quantitativo di dati, di un’attività di marketing mirata (Behavioural Advertising), che ha una maggiore probabilità di successo. Ciò che precede, qualora sia portato alle estreme conseguenze, dato il potenziale pervasivo di questo tipo di elaborazioni, che in alcune circostanze comprendono il trattamento di particolari categorie di dati, quali ad esempio, quelli relativi allo stato di salute, innalza, in modo esponenziale i rischi di violare la privacy e i diritti e le libertà fondamentali dei soggetti profilati.
Cosa dice il Garante della Privacy
In questo ambito, il Garante Privacy ha fornito nel tempo, prima con riferimento alla grande distribuzione commerciale nel provvedimento ‘Fidelity card e Garanzie per i consumatori’ e da ultimo con le sue Linee guida del 2015, dei principi di condotta per gli operatori del mercato che offrono, in particolare, servizi online al pubblico avvalendosi di reti di comunicazione elettronica. Inoltre, in esito all’applicazione all’interno dell’Unione Europea dei principi formulati nella notissima sentenza della Corte di Giustizia dell’Unione Europea nel caso Google Spain (causa C−131/12) e in seguito al parere del Gruppo Europeo dei Garanti per la Protezione dei Dati Personali del 23 settembre 2014, rientrano nell’ambito di applicazione del citato provvedimento del Garante del 2015 anche gli operatori non stabiliti sul territorio nazionale, da ritenere assoggettati alle norme in materia di protezione dei dati personali vigenti all’interno dell’Unione, allorché ricorrano specifiche condizioni indicate dalle fonti ricordate.
Le tre principali tipologie di trattamento
Dalla analisi dei provvedimenti sopra menzionati, si ricava con facilità, che da un punto di vista applicativo, le operazioni di profilazione che possono essere effettuate sui dati personali degli interessati possono essere ricondotte a tre principali tipologie di trattamento:
· quello automatizzato degli utenti autenticati per l’utilizzo del servizio, al fine di inoltrare messaggi di posta elettronica;
· l’incrocio dei dati personali, raccolti per la fornitura del servizio, per funzionalità diverse da quelle messe a disposizione dell’utente;
· l’utilizzo di altri dati di identificazione – come ad esempio le credenziali di accesso, l’autenticazione mediante l’impronta digitale (fingerprinting) – per ricondurre a soggetti determinati, identificabili o identificati, azioni o schemi di comportamento ricorrenti nell’utilizzo delle funzionalità messe a sua disposizione.
Sono esclusi dall’intervento delle Linee guida i cookies, la cui disciplina specifica è contenuta nel Provvedimento dell’8 maggio 2014 n. 229.
I concetti chiave
Recependo gli orientamenti presenti a livello comunitario (WP 2/2006, 10/2004 e 9/2014), le Linee guida del 2015 contengono alcuni concetti chiave, al fine di fornire un quadro chiaro e omogeneo rispetto a queste tipologie di trattamenti e le possibilità di business ad essi collegati. I principali sono l’informativa e il consenso. L’informativa, ai sensi dell’art.13 del Codice Privacy, è lo strumento che rende edotto l’interessato del tipo di trattamenti che viene effettuato e di come può opporvisi eventualmente secondo l’art. 7 del suddetto Codice.
L’informativa deve essere accessibile ed efficace. Per questo il Garante prescrive che venga strutturata su un duplice livello; il primo immediatamente accessibile, contenente le informazioni generali più rilevanti e un secondo livello – raggiungibile dal primo – dove fornire specifiche sulle funzionalità offerte e soprattutto sui trattamenti ad esse collegati e i loro rischi. Già nel primo step l’utente deve essere in grado di conoscere: la qualifica di titolare, gli eventuali responsabili, un indirizzo presso cui esercitare in modo agevole i propri diritti che sono, a titolo esemplificativo, la correzione, la modifica o la cancellazione dei propri dati.
Il concetto di accessibilità deve essere declinato, inoltre, sul versante informatico al momento di sviluppo del sito: la fruibilità deve essere garantita su tutti i diversi dispositivi elettronici. La consapevolezza è propedeutica all’espressione del consenso che deve essere, non solo informato, ma anche libero, preventivo, specifico, revocabile ed espresso per iscritto. In questo senso deve essere chiaro all’utente che un trattamento automatizzato teso all’invio di messaggi promozionali – finalità diversa da quella connessa alla messa a disposizione della funzionalità – deve essere autorizzato in maniera specifica e univoca. È necessario un consenso specifico dell’interessato, altresì, per l’incrocio di dati.
Per questa ragione l’informativa multistrato è prodromica all’esercizio dei diritti dell’utente che deve essere in grado di valutare e decidere che grado di pervasività possono avere, nella propria sfera personale, i trattamenti di profilazione. In sintesi, la politica di data retention non può che tener conto del principio di finalità espresso nell’articolo 11 del Codice Privacy.
Meccanismi validi per tutti
Bisogna sottolineare come i meccanismi illustrati sono riferibili sia agli utenti autenticati che non. I primi devono, difatti, passare per una fase di registrazione e, quindi, essere preventivamente messi nelle condizioni di conoscere i trattamenti e le loro finalità. Per l’utente autenticato le scelte espressa saranno poi valide per tutti i dispositivi che utilizza (smartphone, pc, tablet…). Da questo punto di vista, il Regolamento europeo (UE) 2016/679 di prossima operatività conferma un concetto qui già presente: quello della privacy by default. È necessaria un’analisi tecnica preliminare che possa arginare i possibili rischi di una profilazione illecita e adottare delle impostazioni del sito che limitino l’utilizzo dei dati alle finalità recepite nell’informativa, per cui l’interessato ha fornito il suo consenso.
Ha contribuito la dottoressa Erika Benedetti, legal consultant.