In generale per profilazione si intende l'insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, suddividendoli in gruppi a seconda del loro comportamento, al fine di proporre a questi ultimi servizi personalizzati o di pubblicità mirata.
Nel marketing la tecnica di suddivisione dei clienti e/o utenti in gruppi, dopo aver analizzato i comportamenti, gli interessi, i bisogni ed altro, è detta segmentazione psicografica.
Ebbene, attraverso l’utilizzo delle nuove tecnologie, app., piattaforme digitali, navigazione on line, iscrizioni a social network gli utenti del web, attraverso i propri dispositivi, lasciano in rete una moltitudine di informazioni, che vengono raccolte, registrate e poi rielaborate da varie aziende per poi basare sulle stesse campagne pubblicitarie.
Da qui l’esigenza e la necessità per il legislatore europeo di regolamentare chiaramente detta attività di profilazione.
L'articolo 4 del GDPR definisce la profilazione come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica".
Leggendo attentamente la norma di cui innanzi emerge chiaramente che, per il legislatore europeo, un’azienda svolge attività di profilazione ogniqualvolta esegue un trattamento di dati personali in modo automatizzato, con lo scopo di valutare aspetti personali di una persona fisica.
Di conseguenza, in altri termini, abbiamo profilazione quando ricorrono tre elementi: trattamento automatizzato, trattamento relativo a dati personali, finalità di valutare aspetti personali di una persona fisica.
Ebbene, solo ricorrendo i detti elementi, possiamo parlare di profilazione e chi se ne vorrà avvalere e/o meglio le aziende, che intenderanno svolgere detta attività, dovranno rispettare il dettato normativo del GDPR.
L’art. 22, paragrafo 1, del GDPR introduce il divieto generale di svolgere attività di profilazione attraverso un sistema automatizzato “L’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Ebbene, ad una prima lettura di detto articolo, sembrerebbe vietata l’attività di profilazione attraverso un sistema automatizzato, in realtà non è così.
Il legislatore europeo esordisce con il divieto di svolgere detta attività proprio per rimarcare la delicatezza e le cautele che dovranno essere poste in essere dalle aziende e/o altri enti quando intendono profilare i clienti e/o utenti.
In realtà sono previste delle eccezioni a tale divieto, difatti è possibile effettuare la profilazione quando il trattamento è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e il titolare, il trattamento è autorizzato da una legge o regolamento, il trattamento è autorizzato da esplicito consenso dell’interessato.
In ogni caso è doveroso sottolineare che, nel caso in cui la profilazione venga effettuata prendendo come base giuridica la conclusione o l’esecuzione di un contratto o con il consenso esplicito dell’interessato, il titolare del trattamento dovrà mettere in atto misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in specifico dovrà assicurarsi che nel processo automatizzato relativo alla profilazione vi sia sempre la possibilità dell’intervento umano, dare la possibilità all’interessato di poter esprimere la propria opinione e di poter contestare la decisione emessa a seguito della profilazione.(Es. il rifiuto di un finanziamento, il diniego ad attraversare le frontiere, ecc.).
Ultimo punto da analizzare è il ruolo che rivestono i cookie in rapporto all’attività di profilazione.
Ebbene, come è comunemente risaputo, i cookie sono dei file di informazioni che quando si visita un sito web quest’ultimo, attraverso il browser, rilascia sul dispositivo utilizzato per la navigazione, per diverse finalità. In specifico autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web, da qui la suddivisione dei cookie in tecnici, di profilazione e terze parti.
Con i cookie di profilazione i gestori della pagina web visitata possono monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), ed eventualmente indirizzare messaggi promozionali "profilati" in base alle ricerche e all’utilizzo di Internet dell’utente.
Addirittura, con i cookie terze parti, può accadere anche che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video, ecc.. sempre per fini di profilazione.
Ebbene, in ossequio al concetto di privacy considerata in termini di “capacità del cittadino di gestire le informazioni su se stessi, e quindi controllare le proprie relazioni con altri esseri umani, in modo tale che gli individui abbiano il diritto di decidere quando, come, e in che misura le informazioni su di loro devono essere rese note agli altri” e tenuto conto della particolare invasività che i cookie di profilazione (soprattutto quelli terze parti) possono avere nell´ambito della sfera privata degli utenti, la normativa europea e quella italiana hanno previsto che l´utente debba essere adeguatamente informato sull´uso degli stessi ed esprimere il proprio valido consenso all´inserimento dei cookie sul proprio terminale.
In particolare, il Garante per la protezione dei dati personali ha stabilito che quando si accede alla home page o ad un´altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui siano date una serie di informazioni tassativamente indicate e tutte miranti a permettere all’utente di poter controllare l’uso delle informazioni ad esso collegabili.
Avv. Matteo Fortunato
A questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 50% ovvero 60€ + iva anziché 120€.
Scopri l'AcademyA questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 75% ovvero 90€ + iva anziché 360€.
Scopri il servizio Premium