Il Garante Della Privacy detta i criteri per il corretto svolgimento della attivita’ di profilazione

di Antonio Liguori Con il recente provvedimento emesso in data 25/06/2009, l’Autorità Garante per la Protezione dei Dati Personali è intervenuta al fine di dettare prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, che svolgono attività di profilazione. Al fine di comprendere il significato di tale provvedimento è utile precisare in cosa consista la profilazione: essa può essere definita come un’attività per mezzo della quale una serie complessa di dati relativi ad utenti/clienti viene elaborata per generare alla fine la segmentazione della propria utenza in gruppi omogenei di comportamento. I dati che possono essere, quindi, presi in considerazione per la profilazione sono molteplici, tra cui si possono citare: * la serie delle scelte di navigazione effettuate sul sito in esame dagli utenti unici identificati; * la dichiarazione esplicita di preferenze e interessi ottenuta tramite procedure di registrazione o sondaggi; * la raccolta di dati demografici; * la risposta degli utenti identificati a promozioni o a contenuti particolari. I dati così raccolti, quindi, possono comprendere anche informazioni personali, tra cui dati di carattere contrattuale e relativi ai consumi effettuati, dai quali è poi possibile desumere ulteriori indicazioni riferibili a ciascun interessato. Risulta, quindi, evidente l’esigenza, avvertita dal Garante della Privacy, di regolamentare tale attività che consente ad un singolo soggetto di avere la disponibilità di un patrimonio informativo, che va ben al di là delle informazioni considerate singolarmente. Con il provvedimento in questione, quindi, il Garante detta precisi obblighi in materia, distinguendo in primo luogo tra profilazione con dati personali individuali, in cui il titolare dovrà rilasciare un’idonea informativa all’interessato ed ottenere dallo stesso un consenso libero e specifico al trattamento; e profilazione con dati personali aggregati, in cui il titolare, qualora non risulti acquisito il consenso degli interessati, dovrà presentare al Garante una richiesta di verifica preliminare (c.d. prior checking) in cui verrà controllata la sussistenza di tali requisiti minimi: * i dati personali oggetto dell’attività di profilazione, ancorché possano derivare da dati originari dettagliati di cui il titolare continua a disporre per finalità gestionali ed esigenze operative previste anche per legge, siano esclusivamente dati personali aggregati, dai quali, nell’ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati; * i dati personali aggregati oggetto di profilazione siano contenuti in uno o più sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalità (ad esempio marketing); * i dati personali aggregati oggetto dell’attività di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralità di interessati, siano sottoposti ad un processo in grado di impedire l’immediata identificabilità dei singoli interessati; * gli incaricati che svolgono l’attività di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive alla profilazione; * i dati personali oggetto dell’attivita’ di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati. Restano fermi in ogni caso gli obblighi di notifica al Garante, ex art. 38 del Codice della Privacy, nonché gli obblighi di informativa di cui all’art. 13 del Codice stesso. Infine, per coloro che non si atterranno alle su indicate prescrizioni, si ricorrerà all’applicazione di sanzioni amministrative pecuniarie, così come previste agli artt. 161, 162, commi 2-bis e 2-ter, 163, e 164-bis, commi 2, 3 e 4 del Codice.