Quando si parla di profilazione, la prima cosa che di solito ci viene in mente è la profilazione online: cookie, social, app. Ma non riguarda solo l’online. Anche nelle attività di marketing tradizionale può esserci profilazione. Quindi è importante capire cos’è la profilazione e cosa deve fare chi decide di usarla per le attività di marketing.
Cos'è la Profilazione?
Per capire cos’è la profilazione, partiamo da due definizioni.
La Definizione del GDPR
L’articolo 4 del Regolamento, al punto 4, dà una definizione generica e che considera solo il trattamento automatizzato dei dati, quindi non comprende i trattamenti manuali, cioè l’intervento di una persona in carne ed ossa nell’attività di profilazione.
L’articolo 4 ci dice che la profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti.
Se parliamo di marketing, i dati raccolti e usati per la profilazione sono quelli sulle preferenze personali e sugli interessi di una persona, sui suoi comportamenti ed i suoi gusti.
La Definizione delle Linee Guida dell’Autorità Garante
Secondo questa definizione, la profilazione può essere di tre tipi:
- Profilazione generale: Corrisponde alla definizione data nel GDPR.
- Profilazione come fondamento di un processo decisionale automatizzato: Ma che non è unicamente automatizzato. È la situazione in cui il profilo viene creato utilizzando mezzi automatizzati, ma poi una persona prende le risultanze e le valuta.
- Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato: Qui non c’è alcun intervento umano. È l’algoritmo che decide. Attenzione - Questo tipo di trattamento è vietato!
C’è scritto nell’articolo 22 del GDPR che dice: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Un’altra cosa che andrebbe evitata è la profilazione dei minori. Anche se non c’è uno specifico divieto, per le attività di marketing però è bene non profilare chi ha meno di 18 anni.
Cosa Fare se Si Decide di Fare Profilazione per il Marketing?
Se decidi di fare profilazione, per prima cosa devi dirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono.
Occhio alla minimizzazione dei dati. Se non sei in grado di minimizzare i dati che raccogli, allora usa dati aggregati e anonimi per fare la profilazione.
Importante: devi chiedere il consenso! Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.
Poi c’è la conservazione dei dati. Per quanto tempo puoi tenere i dati profilati? La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.
I Diritti degli Interessati nella Profilazione
Primo fra tutti, è il diritto di opposizione, che nell’ambito del marketing non può essere mai negato. Gli altri diritti sono:
- Diritto ad essere informato: Dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
- Diritto di accesso: L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei.
- Diritto alla rettifica e alla cancellazione: L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.
Attenzione alle Discriminazioni
La profilazione ha un rischio, soprattutto se il processo decisionale è automatizzato o completamente automatizzato, perché può incidere in modo rilevante sulla persona fisica: discriminarla o escluderla.
Norme e Provvedimenti che Toccano le Attività di Marketing
Le aziende che effettuano attività di marketing possono raccogliere i dati direttamente o indirettamente; se li raccolgono direttamente, devono sempre fornire un'informativa ai sensi dell'articolo 13 del GDPR; se invece i dati sono raccolti da un soggetto terzo, il consenso degli interessati dovrà essere acquisito con un'informativa ai sensi dell'articolo 14 del Regolamento europeo per la protezione dei dati.
Le Attività più Vulnerabili nel Marketing
Le maggiori vulnerabilità che i consulenti devono affrontare quando si parla di marketing includono:
- Newsletter e acquisizione di banche dati
- Tracciamento online e cookie
- Progetti speciali e privacy by design
- Intelligenza Artificiale
- Geolocalizzazione
- Telemarketing e call center
- Social media e utilizzo dei dati da parte dei fornitori del servizio
Le Sanzioni più Salate Commesse dal Garante per la Protezione dei Dati
Le sanzioni più pesanti comminate dal Garante italiano rispetto al tema marketing e GDPR hanno riguardato le aziende del settore Telco:
- Il gruppo TIM ha ricevuto una sanzione di 27,8 milioni di euro
- WindTre ha ricevuto una sanzione di 16,7 milioni di euro
- Vodafone Italia ha ricevuto una sanzione di 12,25 milioni di euro
Il Garante della privacy è sempre più attento alle attività di marketing. Infatti, le sanzioni comminate alle Telco riguardano il settore del marketing.
Quali Attività Hanno Motivato Sanzioni Così Pesanti?
Tra i motivi che hanno portato l’autorità a comminare multe così salate alle Telco, ricordiamo:
- Errata gestione e mancato aggiornamento della black list
- Acquisizione obbligata del consenso a fini promozionali nelle applicazioni
- Applicazioni mobile che costringono l’utente ad accettare il marketing diretto e il tracciamento della posizione
Data Retention: Cosa Significa?
Per “data retention” si deve intendere, appunto, il “periodo di conservazione dei dati”. Il Regolamento UE n. 679/2016 (GDPR), non ha previsto sostanzialmente nulla di nuovo rispetto al Codice Privacy (D.lgs. 196/2003) il quale già contemplava, all’art. 11, che i dati personali dovessero essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.
L'esigenza di stabilire un periodo di conservazione dei dati nasce in materia normativa sui sistemi di gestione, che trova una declinazione specifica nell’ambito della sicurezza delle informazioni (cfr. ISO/IEC 27001).
I Principi Sottesi alla Data Retention
- Principio della limitazione della conservazione: L’arco temporale nel quale i dati possono essere conservati deve essere rapportato alle finalità specifiche per le quali sono stati raccolti.
- Principio di minimizzazione: I dati debbono essere: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Conservazione dei Dati: Criteri e Criticità
È di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali. Per la definizione dei tempi/criteri è fondamentale l’apporto delle Associazioni di categoria, degli Ordini professionali ovvero di quei soggetti che più di altri conoscono le esigenze di quel specifico settore.
Per il computo del periodo di conservazione dei dati occorre tenere conto dei seguenti canoni:
- Obblighi di legge
- Pronunce giurisprudenziali
- Contributi apportati dalla dottrina
- Casistica che pone al centro la tutela dell’interessato
- Salvaguardia dei contenuti degli archivi storici
Il tutto deve essere fatto in ossequio al principio di minimizzazione succitato.
| Criteri | Criticità |
|---|---|
| Obblighi di legge | Presenza di nuovi interventi normativi |
| Giurisprudenza - Orientamenti Associazioni di categoria | Carenza di indicazioni, pronunce contrastanti ed orientamenti non uniformi tra Associazioni di categorie |
| Tutela dell’interessato | Difficoltà ad ipotizzare scenari/casistiche che possono richiedere tempi di conservazione diversi |
| Archivio storico | Individuazione delle condizioni per cui è legittimo il trattamento ai fini di archiviazione nel pubblico interesse o di ricerca storica |
| Principio di minimizzazione | Aspetti legati alla responsabilità del Titolare del trattamento, salvaguardando, nel contempo, i diritti dell’interessato |
Cookie e Informativa
I cookie sono informazioni che un server può inviare al tuo PC, smartphone o tablet quando visiti un sito web o utilizzi un social network. I cookies hanno funzioni diverse: in molti casi sono utili perché rendono più semplice e veloce la navigazione, come accade con i cookies tecnici, utilizzati per esempio per salvare le preferenze di lingua o un carrello della spesa.
Questo sito tratta i dati degli utenti in maniera lecita e corretta, adottando le opportune misure di sicurezza volte ad impedire accessi non autorizzati, divulgazione, modifica o distruzione non autorizzata dei dati.
Tipologie di Cookie
- Cookie tecnici: Utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
- Cookie di profilazione: Utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte.
- Cookie di terze parti: Impostati da un sito web diverso da quello che si sta attualmente visitando.
La maggior parte dei browser è configurata per accettare, controllare o eventualmente disabilitare i cookie attraverso le impostazioni.
TAG: #Idraulici