Privacy: quando la profilazione diventa un “hot topic”.

Da alcuni giorni la vicenda della class action contro l’azienda americana We.Vibe ha rilanciato un hot topic: quello relativo a tutte le problematiche connesse e correlate alla profilazione degli utenti di un servizio. Nel caso che andiamo ad esporre, dei dispositivi connessi via Bluetooth sono stati oggetto di un duplice ordine di criticità: da un lato, una soglia di sicurezza insufficiente, tanto da esporre ad accessi indesiderati; dall’altro, la raccolta sistematica di tutte le informazioni inerenti l’utilizzo di tali strumenti.

Orbene, poiché i dispositivi in questione sono dei sex toys, e nello specifico dei vibratori, si può immaginare la non poca preoccupazione degli utilizzatori, per i quali si è parlato di una loro “profilazione delle abitudini sessuali” attraverso la raccolta di dati quali ad esempio temperatura, intensità e ore di utilizzo (qui un articolo sulla vicenda).

Prendendo le mosse da questo caso di vibrante (stricto sensu) attualità, si possono dunque legittimamente sollevare alcuni interrogativi relativi agli adempimenti che il fornitore di un servizio debba assolvere, qualora fra le finalità del trattamento dei dati dei propri clienti rientri la profilazione.

Quid juris poi con il nuovo GDPR?

A livello definitorio, la profilazione è un processo di analisi ed elaborazione di informazioni con la finalità di suddividere gli interessati in categorie omogenee comportamentali (i.e. “profili”) sempre più specifiche, atte a raggiungere un risultato (c.d. single out) identificativo o del singolo utente o del dispositivo utilizzato (c.d. terminale). Ovviamente il rischio per i diritti degli interessati è direttamente correlato all’ampiezza dell’attività di raccolta dei dati, tanto che il Garante per la protezione dei dati personali si è espresso fornendo anche specifiche Linee guida in materia di trattamento di dati personali per profilazione on line.

Il Codice Privacy contempla espressamente la profilazione all’art. 14, in cui esclude che la sola profilazione mediante trattamento automatizzato possa fondare un atto o provvedimento giudiziario o amministrativo relativo alla valutazione del comportamento umano, prevedendo inoltre il particolare diritto di opposizione dell’interessato nei confronti di “ogni altro tipo di determinazione” scaturente da profilazione automatizzata (salvo le ipotesi per cui sia fondata su contratto, proposta dell’interessato o altrimenti da un provvedimento del Garante). Nel GDPR l’art. 22 contempla il Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, e pone il medesimo divieto generale, precisandone le eccezioni, ovverosia: il consenso esplicito dell’interessato, l’autorizzazione ai sensi di legge, la necessarietà per la conclusione o l’esecuzione di un contratto. Vengono comunque fatte salve tutte le misure idonee per la tutela dell’interessato, e in particolar modo il diritto di ottenere un intervento “umano” (ovveorosia un processo non automatizzato), di esprimere un’opinione e di contestare una decisione.

Le informative devono essere redatte ai sensi dell’art. 13 Codice Privacy, indicando fra le finalità perseguite (anche in via eventuale) la profilazione, indicando le modalità di raccolta delle preferenze manifestate, le funzioni impiegate e le modalità di archiviazione tecnica. Nel GDPR l’art. 13 co. 2 f) prevede l’obbligo di inserire le finalità di profilazione all’interno dell’informativa che dovrà adottare un linguaggio semplice e chiaro (art. 12 GDPR).

La raccolta del consenso è necessaria per tutti i casi in cui il trattamento segua finalità ulteriori rispetto a quelle inerenti la conclusione o l’esecuzione del contratto (art. 24 Codice Privacy), e deve dunque avvenire in modo espresso e specifico. La conservazione delle informazioni nei terminali è consentita (art. 122 Codice Privacy) è possibile purché purchè sia strettamente necessaria all’erogazione del servizio richiesto dal contraente/utente.

Nel GDPR l’art. 7 prevede che il consenso debba essere reso in modo granulare, ovverosia distintamente per ciascuna ipotesi scindibile di trattamento dei dati e dunque senz’altro per la finalità di profilazione.

L’art. 37 co. 1, lett. d) Codice Privacy annovera fra le ipotesi per cui è obbligatoria la notificazione da parte del titolare quella in cui vi siano “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;”.

A tale riguardo il GDPR non prevede alcun obbligo di preventiva notificazione (che sarà ristretta alle sole ipotesi di data breach), sebbene richieda ai sensi dell’art. 35 che si ponga in essere un valutazione d’impatto sulla protezione dei dati nel caso in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Esplicitamente il co. 3 richiama l’ipotesi per cui tale valutazione è obbligatoria nel caso di profilazione che comporti “effetti giuridici” per gli interessati, nonché i trattamenti su larga scala di talune categorie di dati.

Infine, deve essere garantita una policy di data retention che segua il principio di finalità di cui all’art. 11 co. 1 lett. e) del Codice Privacy ovverosia “la conservazione in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.

Nulla cambia con il panorama del GDPR, il quale all’art. 5 co. 1 e) prevede altrattanto espressamente il principio di limitazione della conservazione entro le finalità del trattamento svolto.

Dott. Stefano Gazzella

Be Sociable, Share!
Ti è piaciuto questo articolo?
Richiedi consulenza su questo argomento:

info@centrosarg.com

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Condivisioni:
CrestaProject