Profilazione degli utenti e aspetti giuridici

Redazione 03/10/19
Scarica PDF Stampa

Il presente contributo è tratto da “Marketing e trattamento dati” di Roberta Rapicavoli.

La profilazione: cos’è e quali gli aspetti da considerare

La profilazione è qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica (cfr. art. 4 n. 4) del RGPD).

La profilazione può essere effettuata per varie finalità, ivi comprese quelle di marketing.

Prima però di analizzare nel concreto gli adempimenti da osservare nel caso in cui si voglia svolgere un’attività di marketing profilato, occorre soffermarsi sulle modalità d’uso della profilazione e su alcuni profili più critici considerati e normati dal legislatore europeo.

Esistono tre modalità d’uso della profilazione:

  1. profilazione generale;
  2. processo decisionale basato sulla profilazione;
  3. processo decisionale basato unicamente sul trattamento automatizzato,

compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato.

Il legislatore pone particolare attenzione al processo decisionale interamente automatizzato da cui potrebbero derivare decisioni idonee a produrre effetti giuridici sull’interessato o, comunque, idonee a incidere in modo significativo sullo stesso.

Si tratta, concretamente, di quel processo in cui l’intervento umano non è presente o non è significativo ai fini della decisione[1].

L’art. 22 del Regolamento generale sulla protezione dei dati stabilisce, di fatto, un divieto generale di adottare un processo decisionale unicamente automatizzato relativo alle persone fisiche con effetti giuridici o che incidono in modo analogo significativamente sull’interessato.

Tale divieto viene meno solo nel caso in cui la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare, sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento che precisi le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato oppure si basi sul consenso esplicito dell’interessato.

Pertanto, chi si intende avvalere di un processo interamente automatizzato, compresa la profilazione, per prendere decisioni che producono effetti giuridici o in modo analogo significativi sull’interessato deve verificare se ricorra una delle ipotesi di eccezione e, oltre agli adempimenti che sussistono anche per un’attività di profilazione solo in parte automatizzata – per il cui esame si rinvia al paragrafo seguente –, deve adottare garanzie specifiche[2]

Adempimenti privacy nel caso di marketing profilato

Il marketing profilato è una forma di pubblicità che permette di inviare messaggi pubblicitari personalizzati in funzione degli interessi e delle preferenze degli utenti acquisiti attraverso strumenti di profilazione – ossia strumenti che consentono di raccogliere informazioni idonee a definire il profilo o la personalità dell’utente o ad analizzare le sue abitudini o scelte di consumo[3].

La pubblicità personalizzata ha un grado di probabilità di successo più elevato rispetto a messaggi promozionali generici e pertanto è sempre più frequente il ricorso a strumenti di profilazione per finalità di marketing.

Come indicato nelle Linee guida dei Garanti europei sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione già citate, la pubblicità on line si basa sempre più su strumenti automatizzati e implica decisioni basate unicamente sul trattamento automatizzato.

Spesso cioè, gli strumenti utilizzati vengono impiegati non solo per l’acquisizione di informazioni che consentono di conoscere le abitudini, gli interessi e le preferenze degli interessati, ma anche per assumere decisioni, relative, ad esempio, all’invio di messaggi promozionali e offerte mirate, elaborate sulla base dell’attività di profilazione svolta.

Chi intende svolgere attività di marketing profilato è tenuto a rispettare le regole stabilite dal Regolamento generale sulla protezione dei dati per qualsiasi trattamento.

Dovrà pertanto – in estrema sintesi e richiamando le disposizioni del RGPD di riferimento – osservare i principi generali previsti dall’art. 5, fondare il trattamento su una delle basi giuridiche previste dall’art. 6[4], fornire all’interessato le informazioni richieste dagli artt. 13 e 14[5]e garantirgli l’esercizio dei diritti riconosciuti dagli artt. da 15 a 22, riportare il trattamento nel registro delle attività di cui all’art. 30. Resta poi inteso che il trattamento dovrà essere effettuato solo dal personale autorizzato debitamente istruito (art. 29) e dai soggetti esterni con cui sono stati sottoscritti specifici accordi sul trattamento dei dati da essi svolto per conto del titolare (art. 28) e occorre ricordare che si rende necessario adottare e osservare le misure tecniche e organizzative adeguate ai rischi (art. 32).

Un aspetto da considerare per chi intende svolgere attività di profilazione per finalità di marketing è poi legato alla valutazione di impatto sulla protezione dei dati, strumento essenziale per la responsabilizzazione, in quanto consente al titolare del trattamento di valutare i rischi e dimostrare di aver adottato misure adeguate per affrontare tali rischi e di aver rispettato la normativa di settore.

L’obbligo di effettuare una valutazione di impatto sussiste nel caso in cui il trattamento comporti un rischio elevato per i diritti e le libertà delle persone fisiche (cfr. art. 35, comma 1 del RGPD).

Tra i casi in cui tale rischio sussiste (e che richiedono, pertanto, la valutazione di impatto) vi è quello in cui si effettui “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art. 35, comma 3, lett. a) del RGPD)[6].

Nella maggior parte dei casi, la decisione di proporre pubblicità mirata – anche se basata su un trattamento automatizzato – non incide significativamente sulle persone, per cui non si rientra nell’ipotesi indicata nella richiamata lettera a) dell’art. 35 del RGPD.

Occorre però prestare attenzione, perché, come indicato nelle già citate Linee guida dei Garanti europei sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, a seconda delle particolari caratteristiche di casi specifici, potrebbe invece ritenersi che la decisione di proporre pubblicità mirata basata sulla profilazione incida sulle persone.

Ciò potrebbe verificarsi, ad esempio, considerando le aspettative e la volontà dell’interessato, l’invasività del processo di profilazione (compreso il tracciamento delle persone sui siti web, dispositivi e servizi diversi), il modo in cui viene reso disponibile l’annuncio pubblicitario o lo sfruttamento della conoscenza di vulnerabilità degli interessati coinvolti[7].

In questi casi, oltre a verificare la sussistenza di una delle ipotesi di eccezione al divieto generale previsto dall’art. 22 del RGPD e oltre agli adempimenti da osservare, in generale, per qualsiasi trattamento di dati personali, occorre effettuare una valutazione di impatto sulla protezione dei dati.

Al di fuori dell’ipotesi prevista dall’art. 35, lettera a) del RGPD (quindi, al di fuori dei casi di decisioni basate su trattamenti automatizzati da cui derivano conseguenze significative per l’interessato), ulteriori attività di profilazione per finalità di marketing possono determinare un rischio elevato e richiedere una valutazione di impatto sulla protezione dei dati?

Occorre considerare i singoli casi concreti, tenendo in considerazione i criteri contenuti nelle Linee guida in materia di valutazione di impatto sulla protezione dei dati[8] e l’elenco dell’Autorità Garante italiana allegato al provvedimento dell’11 ottobre 2018[9].

Ti potrebbe interessare anche il seguente articolo: “Marketing e profilazione: quali sono i rapporti con la privacy?” 

Il presente contributo è tratto da “Marketing e trattamento dati” di Roberta Rapicavoli.

Marketing e Trattamento Dati

L’attività promozionale e commerciale può essere svolta attraverso molteplici strumenti e canali (e-mail, SMS, messaggi diretti sui social o push notification) e mediante diverse iniziative e operazioni (come organizzazione di contest e eventi gratuiti o pubblicazione di immagini e contenuti su blog o su social network) da cui deriva un trattamento di dati personali che obbliga, fin dalla fase di pianificazione e pro- gettazione, a tenere in considerazione le prescrizioni del Regolamento UE 2016/679 (GDPR) e del D.Lgs.n. 196/2003 (Codice privacy), così come modificato dal D.Lgs. n. 101/2018 (decreto di adeguamento dell’ordinamento nazionale al Regolamento UE 2016/679).Il volume si rivolge, pertanto, sia agli operatori commerciali che ai loro consulenti, con l’obiettivo di chiarire le regole da seguire per svolgere attività di marketing nel rispetto della normativa in materia di protezione dei dati personali, indicando i profili di maggior rilievo da dover considerare per non commettere errori e, di conseguenza, per evitare sia il rischio di sanzioni e responsabilità, sia quello – non meno rilevante – di compromettere l’immagine aziendale o professionale.ROBERTA RAPICAVOLIAvvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti.È autrice di libri e si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.

Rapicavoli Roberta | 2019 Maggioli Editore

24.00 €  22.80 €


[1] Nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione già citate si precisa che con decisioni “basate unicamente” sul trattamento automatizzato non ci si riferisce solo ai casi in cui non vi sia alcun tipo di coinvolgimento umano nel processo. Ciò che occorre valutare è l’apporto dell’intervento. Così, ad esempio, l’attività di una persona fisica, tenuta ad applicare i profili generati automaticamente senza aver alcuna influenza effettiva sul risultato non sarà determinante e la decisione sarà comunque basata unicamente sul trattamento automatizzato. Diversamente, se all’interno del processo si prevede un controllo della decisione da parte di una persona che dispone dell’autorità e della competenza per modificare la decisione, allora potrà escludersi che la decisione sia basata unicamente sul trattamento automatizzato.

[2] Le garanzie comprendono il diritto dell’interessato di essere informato (ricevendo, tra le altre, anche informazioni specifiche sulla logica utilizzata e sull’importanza e sulle conseguenze previste per l’interessato), di ottenere l’intervento umano e di contestare la decisione.

[3] Cfr. Rapicavoli R., Privacy e diritto nel web, cit., p. 132.

[4] Come noto, rientrano tra le basi giuridiche: il consenso, l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e il perseguimento del legittimo interesse del titolare o di terzi. Con riferimento al legittimo interesse, i Garanti europei, nelle Linee guida già citate, precisano però che tale base giuridica non si applica automaticamente e che il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le libertà fondamentali dell’interessato non prevalgono sui propri interessi. Per quanto riguarda pratiche di profilazione e tracciamento per finalità di marketing o pubblicità, ad esempio, quelle che comportano il tracciamento di persone fisiche su più siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati, il Gruppo di Lavoro ritiene sarebbe difficile, per il titolare, giustificare il ricorso al legittimo interesse come base legittima.

[5] Nell’informativa, in considerazione del principio di trasparenza, che è alla base del Regolamento generale sulla protezione dei dati, occorre spiegare in maniera chiara e semplice come funziona la profilazione o il processo decisionale automatizzato.

[6] Come rilevato dal Gruppo di Lavoro Art. 29 nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione già richiamate, nel caso previsto dalla lett. a) dell’art. 35, comma 3, del RGPD, si fa riferimento a valutazioni comprendenti la profilazione e decisioni che sono basate su un trattamento automatizzato, piuttosto che basate “unicamente” su un trattamento automatizzato.

[7] Come precisato dai Garanti europei nelle citate Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, un trattamento che potrebbe avere un impatto minimo sulle persone in generale potrebbe in effetti incidere in maniera significativa su taluni gruppi della società, quali gruppi minoritari o adulti vulnerabili. Ad esempio, una persona di cui sono note le difficoltà finanziarie, effettive o potenziali, e che riceve regolarmente annunci pubblicitari di prestiti ad alto interesse potrebbe sottoscrivere tali offerte e incorrere così in ulteriori debiti.

[8] I criteri indicati nelle citate Linee guida in materia di valutazione di impatto sulla protezione dei dati sono riportati nel capitolo 1, paragrafo 8, cui si rinvia.

[9] Nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impat to allegato al provvedimento del Garante privacy dell’11 ottobre 2018 già richiamato, vi sono i “trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato” (numero 1 dell’elenco).

Redazione

Scrivi un commento

Accedi per poter inserire un commento