PRIVACY

L’analisi delle abitudini e la profilazione degli utenti. La notifica al Garante Privacy

Sono moltissimi i siti web o i servizi commerciali che effettuano approfondite analisi sulle abitudini commerciali dei propri utenti. Pensiamo ai social network, agli e-commerce, a molti siti gratuiti che mandano continue pubblicità. A tal proposito il Garante ha cercato di regolamentare le modalità con cui può essere fatta la profilazione. Vediamo come.

Foto di Ken Teegardin, Flickr

Cos’è la profilazione degli utenti?

Con il termine profilazione intendiamo l’analisi del profilo di un soggetto, oltre alle sue abitudini commerciali e di acquisto, operata da un venditore o da un prestatore di servizi.

Per quanto concerne in questa breve disamina ne troviamo la definizione all’art. 37 del D.Lgs. 196/2003 (Codice Privacy), dove si definisce la Notifica al garante, ed in cui si parla di:

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

Se riflettiamo sul concetto di profilazione, come espresso in tale norma, appare chiaro che ogni social network sembra effettuare una profilazione. E’ il loro modello di business. Analizzano come ci comportiamo all’interno del social, i nostri “mi piace”, le notizie che leggiamo, al fine di raccogliere informazioni ed effettuare pubblicità mirata.

La profilazione, pertanto, corrisponde ad ogni attività attuata dal fornitore di un servizio per controllare e monitorare i dati relativi al comportamento di un utente, così da capire come modificare le proprie offerte commerciali per catturare l’attenzione di chi accede ai loro servizi.

Se ci pensiamo, però, il controllo delle abitudini commerciali non è un qualcosa di nuova costruzione, nato solo di recente. E’ da quando esistono i negozi che i commercianti fanno profilazione commerciale. Solo che prima veniva fatto mediante una generale osservazione dei clienti nel negozio, di come passavano tra gli scaffali, di come venivano viste le offerta, del tempo passato davanti a determinati prodotti.

Oggi la stessa cosa viene fatta mediante cookies ed altri strumenti automatizzati di controllo. Proprio la pervasività di tali strumenti, però, impone che si prendano misure idonee allo svolgimento di tale trattamento.

Gli adempimenti

Come si può fare profilazione? Gli adempimenti per effettuare la profilazione sono molto semplici, ma il mancato rispetto di tutte le prescrizioni può comportare pesanti sanzioni amministrative, o penali.

Vediamo brevemente quali sono gli adempimenti più importanti che ogni fornitore deve rispettare prima di poter effettuare la profilazione.

Innanzitutto dovrà essere redatta idonea informativa, portata a conoscenza prima dell’inizio del servizio di raccolta dei dati.

Ricordiamo, inoltre, che nel caso di profilazione è bene che il fornitore inserisca una apposita spunta in sede di informativa, che precisi la possibilità di effettuare la profilazione dell’utente e l’analisi delle scelte di consumo dei propri utenti, e che serva a raccogliere un consenso specifico alla predetta forma di trattamento.

Sarà inoltre obbligatorio, da parte del fornitore del servizio, effettuare le nomine ad Incaricati del Trattamenti, le Nomine a Responsabili, nonché, nel caso in cui sia necessario, la nomina ad Amministratore di Sistema, indicandoli, se previsto, nell’informativa.

Si dovrà inoltre controllare il rispetto di tutte le prescrizioni di cui all’Allegato B) al D.Lgs. 196/2003, relativo all’adozione di ogni misura di sicurezza in ambito informatico.

Essendo la profilazione fatta mediante strumenti elettronici, infatti, è necessario che gli stessi siano adeguatamente controllati e settati circa le utenze che possono utilizzare gli stessi strumenti, la possibilità di queste di accedere ai dati contenuti e trattati mediante tali strumenti elettronici, nonché le modalità e le finalità del trattamento.

Infine, sempre prima dell’inizio del trattamento, è necessario effettuare la Notifica al Garante. La notifica va fatta mediante compilazione di apposito modulo online, reperibile sul sito del Garante Privacy .

Come detto, tale Notifica va fatta prima dell’inizio del trattamento, ed è finalizzata all’iscrizione nel pubblico registro dei soggetti che effettuano analisi delle abitudini dei propri utenti.

Tale registro è liberamente consultabile. Accedendo si può controllare, tramite l’inserimento di dati comuni, se le aziende che ci interessano hanno fatto la notifica al Garante ai sensi degli artt. 37 e 38 del Codice Privacy.

La Notifica andrà fatta un’unica volta in relazione al trattamento, con la necessità di rinnovarla laddove vi sia una variazione del trattamento medesimo, o la cessazione.

Le sanzioni

Nel caso si ometta di effettuare la notifica al Garante, o nel caso in cui la notifica si fatto in modo errato o sia incompleta, le sanzioni potrebbero essere notevolmente gravose, specialmente nel caso di Start UP.

Ai sensi dell’art. 163 del Codice Privacy, il rischio è di incorrere in una sanzione amministrativa corrispondente al pagamento di una somma variabile da un minimo di 20.000 € ad un massimo di 120.000 €.

Vi è altresì il rischio di subire la sanzione della pubblicazione del provvedimento, che sarebbe altresì ricercabile tramite i maggiori motori di ricerca e comunque nel sito del Garante, con notevole danno d’immagine per le aziende coinvolte.

Ricordiamo inoltre che la somma potrebbe essere aumentata sino al quadruplo, quando rapportata al fatturato aziendale potrebbe non risultare opportuna.

Non solo, ai sensi dell’art. 168 del medesimo codice, vi è l’ulteriore rischio di incorrere nella sanzione penale della reclusione da 6 mesi a 3 anni laddove la Notifica di cui al predetto art. 37 sia effettuata utilizzando dati o atti falsi, sempre che non costituisca più grave reato.

Info sull'Autore

Andrea Rinaldo

Laureato in Giurisprudenza ed appassionato di informatica. Mi occupo di proprietà intellettuale, industriale, privacy ed ICT.

Leggi articolo precedente:
Newsletter n. 3 del 2015
La diffamazione a mezzo internet. La responsabilità del gestore del sito
11943293716_5f6bbc7565_z
Concorrenza sleale da evasione fiscale. La violazione di norme pubblicistiche

Chiudi