Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

PRIVACY

Profilazione, anima del commercio

Data protection, il Garante italiano raccoglie le sfide interpretative che la tecnologie pone al diritto

22 Mag 2015

Rocco Panetta, Avvocato esperto di privacy

E’ opinione diffusa ritenere la pubblicità l’anima del commercio. Lavorando a stretto contatto con le aziende si impara, tra le altre cose, che altrettanto importante è riuscire ad utilizzare i dati in maniera intelligente, magari attuando adeguate politiche di profilazione. Il trattamento dei dati, come noto, inizia con la raccolta e finisce con la cancellazione degli stessi. È ovviamente trattamento dei dati anche l’attività di analisi ed elaborazione del dato, momento in cui il dato si arricchisce e diventa prezioso.

L’arricchimento del dato è l’ultima frontiera del trattamento e rappresenta una delle fasi fondamentali dell’attività di profilazione. Chi profila elabora dati per avere materia prima viva, eloquente, che indichi i trend più recenti nelle scelte di consumo, suddividendo i soggetti cui i dati si riferiscono in appositi “cluster” che, rispondendo al criterio della categorizzazione, possano fornire informazioni ed indici affidabili per meglio tarare il proprio business.

Fino a qualche giorno fa non avevamo a disposizione un’ufficiale definizione di profilazione. Ci ha pensato l’Autorità Garante per la privacy, nelle Linee Guida sulla profilazione online, pubblicate lo scorso 6 maggio, rilevando che è definibile tale l’attività svolta “al fine di suddividere gli interessati in ‘profili’, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazione inequivoca del singolo utente (il cosiddetto single out) o del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo”.

Occorre riconoscere al Garante l’impegno ma anche il coraggio di non tirarsi indietro nell’interpretare la legge e ridefinire le regole del gioco in ambiti così mobili e soggetti alle veloci rivoluzioni tecnologiche. Le Linee Guida, peraltro prescrittive e fonte di specifiche sanzioni, in caso di non compliance, parlano il linguaggio dei marketers, chiariscono elementi dell’informativa e modalità di richiesta del consenso – cosa sempre piuttosto ardua quanto si tratta di attività svolte online – e soprattutto si rivolgono a clienti e utenti anche occasionali.

Il dibattito sulla circolazione dei dati, le sue regole e le sue opportunità, è da tempo condizionato a livello internazionale dalle altalenanti vicende dell’adottando regolamento comunitario sulla protezione dei dati. Molte delle Data Protection Authority hanno da tempo ridotto la loro carica regolatoria in attesa delle nuove norme che chissà quando saranno finalizzate. Il nostro Garante invece sembra mantenere la lucidità richiesta a queste Autorità che devono presidiare i diversi ambiti di loro competenza, raccogliendo le sfide interpretative che la tecnologia pone al diritto. I mercati non possono aspettare le procedure del trilogo comunitario tra Parlamento, Commissione e Consiglio. Occorre agire, sporcarsi le mani e semplificare.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
IoT
Sicurezza

Il Garante introduce inoltre un importante obbligo di conservazione dei dati limitata nel tempo. Non è una novità: il principio di proporzionalità e di non eccedenza del trattamento, previsti dal Codice privacy, già chiaramente indicano la necessità di trattare i dati per il tempo strettamente necessario, anche al fine di avere a disposizione sempre dati “freschi” e aggiornati, evitando i falsi positivi/negativi. La novità è la prescrizione d’Autorità di individuare un tempo congruo, attraverso l’adozione di una policy aziendale.

Resta irrisolto invece un punto di capitale importanza. La legge e i provvedimenti fin qui adottati dal Garante richiedono consensi separati per finalità diverse. Ma anche in casi in cui le attività che si vogliono perseguire siano strettamente connesse tra loro, quali profilazione e marketing, i consensi separati sono d’obbligo. Queste due attività sono invero legate tra loro e l’una rappresenta il presupposto dell’altra. In tal senso, a mio modo di vedere, la profilazione digrada dal ruolo di finalità a quello più proprio di modalità specifica di trattamento, utile per perseguire finalità precise, quale quella di marketing e di invio di comunicazioni commerciali. La profilazione fine a se stessa non serve, essa non è un fine, ma un mezzo, è il presupposto per perseguire finalità commerciali.