Dark Light

Con l’avvento dei social network e con il continuo sviluppo della società dell’informazione, i dati relativi alle attività compiute dagli utenti in rete (ed, in particolare, i propri gusti, interessi, etc.) acquistano sempre maggior valore, specialmente ove si consideri che possono essere utilizzati quale base per l’erogazione di servizi personalizzati (anche pubblicitari).

Di conseguenza, nell’ottica della centralità del “dato”, si assiste sempre più diffusamente ad imprese che offrono servizi web in modalità apparentemente “free”, a fronte della possibilità di entrare in possesso delle cd. “preferenze” dell’utente.

I modelli di business possono, a tal riguardo, essere molteplici: si va dall’invio di comunicazioni commerciali dirette, alla cessione dei dati a imprese terze e così via.

La domanda che, a questo punto, dobbiamo porci è se ed in quale misura tali modelli siano compatibili con le previsioni della vigente normativa in materia di protezione dei dati personali.

L’orientamento generale del Garante Italiano della protezione dei dati personali in materia è quello di ritenere leciti questi trattamenti (marketing diretto, profilazione ed eventuale cessione/comunicazione di dati personali a terzi) a condizione che nell’informativa resa al cliente siano esplicitate anche le predette finalità e che sia richiesto ed ottenuto un suo consenso specifico (cfr. provvedimento del 15 novembre 2007 [doc. web n. 1462788]).

Con il successivo provvedimento dell’8 aprile 2010 [doc. web n. 1721205], il Garante ha ritenuto opportuno precisare che, in ogni caso, il consenso per la finalità di profilazione dei dati di navigazione deve essere specifico ed ulteriore rispetto a quello necessario per i trattamenti con finalità di marketing (i.e. invio di email promozionali). Ciò implica, da un punto di vista pratico, la necessità di prevedere una pluralità di box per l’acquisizione del consenso al trattamento da parte dell’utente.

Tale posizione è stata, peraltro, confermata nel provvedimento del 7 ottobre 2010 [doc. web n. 1763037], in cui l’autorità ha ordinato ad una società che gestiva il sito internet di una celebre manifestazione fieristica di modificare il form di registrazione che, all’epoca dei fatti, richiedeva un unico consenso all’utilizzo dei dati degli interessati da parte dell’ente organizzatore, e anche di terzi, aziende e/o società che svolgevano attività e perseguivano varie finalità, fra cui quella promozionale e quella di marketing.

Da ultimo segnaliamo due ulteriori provvedimenti, in cui il Garante ha che consenso deve invece essere inteso come specifico per ogni finalità del trattamento, con la conseguenza di dover necessariamente distinguere le finalità di marketing da quelle di profilazione, essendo illecito un consenso mirato ad autorizzare, con un’unica formulazione, una pluralità di trattamenti ben distinti (Note 26 marzo 2010 e 23 dicembre 2010).

Ulteriore profilo problematico è quello relativo all’ammissibilità di un consenso “necessitato” da intendersi come una “controprestazione” che l’utente sarebbe chiamato ad eseguire in vista dell’accesso “gratuito” a determinati servizi.

Anche in questo caso, il Garante pare aver adottato una posizione “restrittiva”. In una pluralità di provvedimenti recenti (provv. 22 febbraio 2007 – doc. web n. 1388590provv.  12 ottobre 2005 – doc.  1179604provv. 3 novembre 2005 – doc.   1195215provv. 10 maggio 2006 – doc. web n.  1298709) si è affermato che non può definirsi “libero”, e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta;

Alla luce di tali prinicipi, il Garante era intervenuto nei confronti di un noto sito Internet (www.casa.it) destinato alla ricerca, sull’intero territorio nazionale, di immobili a vario fine (locazione, vendita, acquisto, ecc.), alla luce del fatto che, nel form di registrazione veniva richiesto un unico consenso, peraltro configurato come preimpostato, per diverse finalità (Provv. 15 luglio 2010 [doc. web n. 1741998]).

Inoltre, ricordiamo che, laddove si intenda prevedere la possibilità di “cedere” i dati personali degli interessati a soggetti terzi,  il Garante, di recente, ha avuto modo di precisare che non occorre solo richiedere uno specifico e libero consenso all’interessato, ma sarà, altresì, necessario renderlo edotto, mediante una idonea informativa, almeno della categoria di soggetti cui sono trasmessi i suoi dati (cfr. Provv. 22 luglio 2010 – doc. web n. 1741988).

Tornando nuovamente al tema della “profilazione” dobbiamo rilevare che, laddove il trattamento sia soggetto alla Legge italiana, il titolare dovrà procedere altresì alla notificazione al Garante, tenuto conto che l’art. 37 comma 1 lett. d) del D.lgs 196/2003 prevede l’obbligo di notificazione per il trattamento che riguardi dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo.

Sul punto segnaliamo, inoltre, l’interessante provvedimento del 25 giugno 2009 recante prescrizioni del Garante con riferimento alle attività di profilazione con riferimento specifico ai servizi di comunicazione elettronica. In particolare, il Garante evidenzia la dicotomia “dati individuali” e “dati individuali aggregati”  (ovvero dati aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali dai quali possono desumersi indicazioni ulteriori riferibili a ciascun interessato, quali, la fascia di consumo, il livello di spesa, servizi attivi su ciascuna utenza etc.).

In sostanza il Garante, con il provvedimento sopra richiamato, chiarisce che il consenso dell’interessato “libero” e “specifico” è sempre necessario per le attività di profilazione aventi ad oggetto dati “individuali” (e in tal caso copre anche le attività che hanno ad oggetto i dati “aggregati”). Nel caso in cui, invece, il trattamento abbia ad oggetto solo dati “aggregati” e non sia stato chiesto preventivamente il consenso dell’interessato, il trattamento potrà eventualmente essere autorizzato dal Garante in seguito alla presentazione di una richiesta di verifica preliminare da parte del titolare.

In conclusione, ricapitolando quanto sopra esposto, rileviamo che l’attività di profilazione è ammissibile a norma della vigente normativa in materia di protezione dei dati personali, a condizione che:

a) l’interessato sia reso edotto delle finalità (profilazione) del trattamento;

b) sia richiesto un consenso specifico per la “profilazione”;

c) il suddetto consenso sia “libero” in quanto non costituisca una condizione necessaria per l’accesso ai servizi.

Ne consegue che dovrà essere prestata particolare attenzione nella redazione della Privacy Policy ed eventualmente delle Condizioni Generali di utilizzo del servizio.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image