Condividi su

Normative: Privacy

07/08/2015
PRIVACY - Regole chiare per la "profilazione on-line" e più tutele per la privacy degli utenti

A cura del Dott. Juri Torreggiani - Consulente privacy

A seguito anche della recente entrata in vigore del Provvedimento del Garante Privacy in tema di “cookies e siti web aziendali”, si ritiene utile ricordare nuovamente nel presente articolo, quelle che sono state le precise indicazioni del Garante Privacy medesimo, in riferimento al delicatissimo tema della “profilazione” degli utenti.

Le misure individuate dal legislatore sono contenute nelle “Linee guida in materia di trattamento di dati personali per profilazione on-line” emanate dal Garante Privacy e hanno la finalità di armonizzare e rendere più chiara la gestione delle attività di “profilazione” svolta dalle aziende.

Vale la pena specificare che con il termine “profilazione” si definisce l’attività di creazione di “profili” degli utenti, basati sulla catalogazione di comportamenti, scelte, abitudini degli utenti medesimi, allo scopo di fornire poi servizi e/o promozioni personalizzate.

Di seguito e in modo schematico, si enunciano quindi le principali novità previste dalle suddette Linee guida.

 

Maggiori tutele per gli utenti: rilascio di informative e richiesta di consenso

In generale, il legislatore ha preteso maggiori tutele per gli utenti, oltre a imporre regole chiare per le società che effettuano profilazione on-line tramite i siti  web aziendali. 

I siti web dovranno infatti fornire ai visitatori informative chiare e complete (si veda anche il paragrafo successivo) e dovranno adottare idonee procedure per richiedere e ottenere il consenso degli interessati allo svolgimento di determinati trattamenti effettuati con i loro dati personali, fra cui ovviamente il consenso alla profilazione.

È bene ricordare, in questa sede, che il consenso fornito dall’interessato (visitatore del sito, utente, cliente, ecc.) è revocabile in ogni momento, e che devono essere garantite concrete tutele in tal senso, anche a chi non dispone di uno specifico account per accedere ai servizi offerti dalla singola azienda.

Il rilascio delle idonee informative

L’informativa sul trattamento dei dati personali degli interessati, rilasciata ai sensi dell’art. 13 del D. Lgs. 196/2003, dovrà essere chiara, completa, esaustiva e ben visibile sul sito web, già partendo dalla “home page” del sito stesso. Essa costituisce il presupposto fondamentale per consentire agli interessati di esprimere o meno il successivo consenso all’uso dei propri dati personali per fini di profilazione e/o per altre filanità.

È preferibile che l’informativa sia strutturata su più livelli per renderne più facile la lettura: un primo livello immediatamente accessibile con un solo “click” dalla pagina visitata, evidenziante tutte le informazioni di maggiore importanza (ad esempio l’indicazione dei trattamenti e dei dati personali oggetto di trattamento) e un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.

 

L’ottenimento del consenso

Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione (ma, si badi bene, anche di marketing e attività similari), diversa dalle attività strettamente necessarie alla fornitura del servizio e alla gestione amministrativa del rapporto eventualmente in essere, potrà essere effettuata esclusivamente con il consenso informato dell’utente.

Questo obbligo, di portata estremamente ampia, si applica quindi in riferimento alle attività profilazione per finalità promozionali comunque effettuate, ma anche in rifermento alle attività di analisi dei dati relativi all’uso della posta elettronica, alle attività basate sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe, visualizzazione di contenuti audiovisivi e similari, ecc.), ad attività basate sull’impiego di cookies (in tal senso si veda l’apposito Provvedimento del Garante Privacy), ma anche basate su strumenti di identificazione e catalogazione degli interessati diversi dai cookie (come la costruzione di profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo).

Attraverso procedure semplici e di immediata comprensione, gli utenti dovranno poter scegliere, in modo attivo e consapevole, se fornire o meno il consenso alla profilazione e alle altre attività citate sopra. Agli utenti dovrà comunque essere sempre pienamente garantito anche il diritto di revoca del consenso rilasciato in precedenza. A tale scopo dovrà essere predisposto un apposito link, sempre ben visibile sui siti web.

 

Garanzie per la privacy di tutti gli utenti

Le società dovranno poi tutelare la privacy sia degli utenti autenticati, cioè di coloro che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), ma anche di coloro che fanno uso dei servizi in assenza di preventiva autenticazione, come nel caso di semplice navigazione on line (es. visitatori del sito).

Si evidenzia che le regole individuate dal Garante Privacy devono essere adottate da tutti i soggetti stabiliti sul territorio nazionale.

 

Tempi di conservazione dei dati

In conclusione, si ricorda che le aziende dovranno definire tempi certi di conservazione dei dati, sulla base di quanto previsto dalle norme del Codice Privacy, e comunque proporzionati e non eccedenti rispetto alle specifiche finalità perseguite. 

Torna alle normative