Quando si parla di profilazione, la prima cosa che di solito ci viene in mente è la profilazione online: cookie, social, app. Perché la maggior parte dei casi di profilazione automatizzata avviene sui siti web – attraverso i cookie di profilazione di terze parti, nelle App – pensiamo alla geolocalizzazione – e sui Social, con le tecniche di retargeting.
Ma non riguarda solo l’online. Anche nelle attività di marketing tradizionale può esserci profilazione. Per esempio, possiamo raccogliere e poi profilare dati personali usando un semplice modulo cartaceo.
Quindi è importante capire cos’è la profilazione e cosa deve fare chi decide di usarla per le attività di marketing.
Cos’è la profilazione?
Per capire cos’è la profilazione, partiamo da due definizioni. Una è quella dell’articolo 4, punto 4, del GDPR, l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.
La definizione del GDPR
L’articolo 4 del Regolamento, al punto 4, dà una definizione generica e che considera solo il trattamento automatizzato dei dati, quindi non comprende i trattamenti manuali, cioè l’intervento di una persona in carne ed ossa nell’attività di profilazione.
L’articolo 4 ci dice che la profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti.
Quindi è una definizione che non tocca solo il marketing, ma anche la profilazione nell’ambito dell’HR, del recruiting, nell’ambito finanziario – quando, ad esempio, facciamo analisi e previsioni sulla situazione economica di una persona fisica – e l’ambito sanitario. Se parliamo di marketing, i dati raccolti e usati per la profilazione sono quelli sulle preferenze personali e sugli interessi di una persona, sui suoi comportamenti ed i suoi gusti.
La definizione delle linee guida dell’Autorità Garante
Secondo questa definizione, la profilazione può essere di tre tipi:
1 – Profilazione generale, che corrisponde alla definizione data nel GDPR e che abbiamo appena visto.
2 - Profilazione come fondamento di un processo decisionale automatizzato, ma che non è unicamente automatizzato. È la situazione in cui il profilo viene creato utilizzando mezzi automatizzati, ma poi una persona prende le risultanze e le valuta.
Facciamo un esempio, slegato dal marketing, ma utile per capire cosa si intende:
Peppino va in banca a chiedere un prestito. L’addetto dell’istituto di credito controlla il gestionale dove un algoritmo stila un profilo sulla base delle informazioni a disposizione.
Se Peppino ha un profilo di rischio alto, l’addetto della banca decide che è meglio non concedere il prestito. Se ha un profilo di rischio basso, glielo concede.
3 – Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato. Qui non c’è alcun intervento umano. È l’algoritmo che decide.
Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.
Attenzione - Questo tipo di trattamento è vietato! C’è scritto nell’articolo 22 del GDPR che dice: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Un’altra cosa che andrebbe evitata è la profilazione dei minori. Anche se non c’è uno specifico divieto, per le attività di marketing però è bene non profilare chi ha meno di 18 anni.
Poniamo che tu decida di fare profilazione per le tue attività di marketing. Cosa devi fare?
Cosa deve fare chi fa profilazione per le sue attività di marketing
Se decidi di fare profilazione, per prima cosa devidirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono.
Occhio alla minimizzazione dei dati.
Di solito, chi fa marketing ha bisogno di raccogliere più dati possibili, ma nella profilazione il trattamento deve essere minimizzato. Se non sei in grado di minimizzare i dati che raccogli, allora usa dati aggregati e anonimi per fare la profilazione.
Importante: devi chiedere il consenso!
Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.
Facciamo un esempio semplice e comunissimo: se la Peppino srl ha la newsletter, il consenso alla newsletter deve essere distinto da quello del modulo di contatto. Sono due finalità diverse. Lo stesso vale per la profilazione.
Poi c’è la conservazione dei dati. Per quanto tempo puoi tenere i dati profilati?
La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.
Bene. Ma quali sono i diritti di chi lascia i propri dati per la profilazione?
I diritti degli interessati nella profilazione
Primo fra tutti, è il diritto di opposizione, che nell’ambito del marketing non può essere mai negato. Se Peppino non vuole che i suoi dati vengano usati per finalità di marketing e profilazione, non possiamo usarli. Punto.
Gli altri diritti sono:
Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti.
Diritto alla rettifica e alla cancellazione - L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.
Attenzione alle discriminazioni
La profilazione ha un rischio, soprattutto se il processo decisionale è automatizzato o completamente automatizzato, perché può incidere in modo rilevante sulla persona fisica: discriminarla o escluderla. È l’esempio che abbiamo già fatto: Peppino non riceve un prestito perché l’algoritmo dice che non ha il profilo adatto.
E nel marketing?
Una campagna di retargeting può incidere significativamente su una persona se, per esempio, sfruttiamo le sue debolezze. E questa è una tecnica vietata dall’articolo 22.
Per esempio, se Antonio ha perso il lavoro e la Peppino srl - che ha come core business il gioco d’azzardo - gli invia delle newsletter che fanno leva sulla mancanza di denaro e sulla possibilità di ottenere soldi facili, la Peppino srl sta sfruttando una debolezza di Antonio.
Ma non lo può fare, per legge.
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Condividi
Biografia dell'autore
PARTNER BD LEGAL - STUDIO LEGALE
Studi: Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”. Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”. Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma. Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.
Attività Professionale: Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea. Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.
Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.
È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.
Articoli correlati
Se hai trovato questo articolo interessante puoi dare un'occhiata a: