Indice dei contenuti
La profilazione dei dati è uno degli argomenti da sempre più dibattuti nell’ambito del GDPR, principalmente per due motivi:
- il termine è utilizzato in diversi ambiti (es. carte fedeltà della GDO, gestione dei siti internet, raccolta dati per fini di rating…);
- proprio perché si presta a più interpretazioni – tra riferimenti nel GDPR e specifici provvedimenti del Garante Privacy italiano o dello EDPB – ricostruire i riferimenti normativi applicabili alle attività di profilazione non è sempre facile.
In Neostudio seguiamo l’evoluzione di questi temi da sempre e offriamo consulenza GDPR supportando le aziende in materia di profilazione e privacy al fine di evitare gravi sanzioni. Contattaci per scoprire di più!
Entriamo adesso nel dettaglio, cercando di fare un po’ di ordine e di approfondire le connessioni tra profilazione e marketing.
Cosa si intende per “profilazione” nell’ambito del GDPR e quali sono le connessioni con il marketing?
Il GDPR all’Art. 4 comma 4) definisce come profilazione: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”
Pertanto, un primo aspetto importante è che la profilazione è un trattamento automatizzato, quindi effettuato tramite strumenti elettronici e tramite algoritmi che siano in grado di estrarre queste informazioni dai dati personali senza necessità di intervento umano.
Volendo contestualizzare il tutto con riferimento alla finalità di marketing, tutti gli aspetti sopra citati possono assumere potenziale rilievo, in quanto utili a personalizzare l’offerta all’interessato.
D’altronde lo stesso GDPR riporta in premessa una serie di indicazioni che contestualizzano e aiutano a interpretare il contenuto degli articoli successivi: si tratta dei c.d. considerando.
Proprio uno di questi considerando, il (70), mette in rapporto diretto e “allargato” profilazione e marketing, prevedendo che “Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, con riguardo sia a quello iniziale che a quello ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Tale diritto dovrebbe essere esplicitamente portato all’attenzione dell’interessato e presentato chiaramente e separatamente da qualsiasi altra informazione.”
Da ciò deriva la potenziale parcellizzazione delle fonti di dati personali e la complessità dei trattamenti svolti, tutti aspetti che devono essere adeguatamente tracciati, anche al fine di fornire all’interessato le necessarie informazioni e acquisirne lo specifico consenso.
Ad esempio:
- Potrei avere profilazione mediante l’analisi dei miei acquisiti in punto vendita fisico (es. un supermercato);
- Potrei avere profilazione mediante cookie o tracker di siti internet o APP;
- Se il supermercato in questione dispone di un ecosistema costituito da fidelity card, sito internet o APP, potrebbe combinare i dati acquisiti da queste tre fonti;
- I dati sopra descritti potrebbero essere a loro volta combinati con dati provenienti da altre fonti (ad esempio, tramite il noleggio di banche dati di terzi).
Come detto, di ognuno di questi passaggi deve essere data comunicazione mediante l’informativa, nonché acquisito il consenso.
Come devono intervenire il Titolare del Trattamento dei Dati e il DPO?
Tutto ciò, dunque, comporta la necessità di porre in essere una serie di adempimenti e di interventi organizzativi, procedurali e tecnici.
Innanzitutto, come detto sopra, devono essere predisposti informative e consensi, che prevedono contenuti aggiuntivi dove si proceda a profilazione.
L’Art 13 comma f) del GDPR, infatti, obbliga a esplicitare l’eventuale “esistenza di un processo decisionale automatizzato, compresa la profilazione […] e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.”.
Pertanto, è necessario fornire informazioni sul modo in cui operano gli algoritmi utilizzati per la profilazione e su come i dati personali – specie se provengono da fonti differenti – vengono messi in correlazione.
A tali regole generali si affiancano regole specifiche previste da provvedimenti del Garante Privacy quali ad esempio quelli in materia di Fidelity Card, utilizzo dei cookie su siti internet, utilizzo delle APP e relativi tracker.
Ulteriori adempimenti sono quelli relativi alla DPIA redatta dal Titolare del Trattamento dei Dati: il Garante Privacy ha chiarito che la valutazione d’impatto è obbligatoria per i “Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
In tale ambito il DPO, nell’ambito delle competenze lui riservate, ha un ruolo fondamentale:
- nella verifica circa l’esistenza degli adempimenti necessari e la loro effettività, anche tramite sistemi di registrazione e gestione delle manifestazioni di volontà degli interessati;
- nella formulazione di pareri sulla DPIA realizzata dal Titolare del trattamento.
Quali sanzioni si rischiano?
Come rilevato in altri articoli, le sanzioni previste dal GDPR sono particolarmente impattanti sia per gli importi previsti, con sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale, sia per la flessibilità applicativa e l’utilizzo di moltiplicatori.
Tale logica si presenta particolarmente pericolosa sul fronte che stiamo trattando, in quanto la profilazione è efficace in virtù della numerosità interessati dei quali si trattano i dati personali e della numerosità dei dati trattati.
Normalmente le autorità di controllo procedono ad identificare una sanzione e moltiplicarla per il numero di interessati i cui diritti sono stati violati. Pertanto, anche una sanzione base ridotta (nell’ordine delle decine di euro) può portare a sanzioni di decine o centinaia di migliaia di euro a seguito dell’esistenza di dati di migliaia di interessati.
Hai bisogno di una consulenza GDPR in materia di profilazione dei dati per la tua azienda? Compila il form Contatti, ti risponderemo nel minor tempo possibile.