Profilazione utenti: significato e regole privacy GDPR

La profilazione degli utenti è una forma di processo decisionale automatizzato che è stata disciplinata dal Regolamento europeo sulla privacy (GDPR). Poiché presenta molti aspetti critici e può impattare i diritti delle persone sono state introdotte delle regole al fine di garantire la massima trasparenza sui criteri, sulle finalità di raccolta e sull'utilizzo dei dati personali.

Significato di profilazione

Il significato di profilazione ci viene fornito dall'articolo 4 della GDPR che la definisce come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

La profilazione è quindi un processo decisionale automatizzato finalizzato alla raccolta di informazioni personali degli individui per suddividerli in gruppi o categorie a seconda del loro comportamento o delle loro caratteristiche. Il profilo dell'individuo così ottenuto potrà poi essere usato per prevedere o analizzare in modo automatizzato la persona e le sue preferenze.

Ad esempio, fa profilazione il sito che fornisce un servizio di localizzazione dei ristoranti e a seconda dei ristoranti prenotati e dei dati personali raccolti crea un profilo del soggetto e individua le sue preferenze e il suo stile di vita. È profilazione anche quando i dati personali vengono raccolti per assegnare un alloggio, per erogare un mutuo o per calcolare un premio assicurativo che sarà alto o basso a seconda del profilo della persona interessata.

Caratteristiche principali

Perché si possa parlare di profilazione, essa deve avere le seguenti caratteristiche:

  • essere una qualsiasi forma automatizzata di elaborazione dei dati con o senza intervento umano
  • deve trattare dati personali
  • deve avere come scopo quello di analizzare ed elaborare previsioni, attitudini e preferenze dell’individuo. 

Non tutti i trattamenti automatizzati dei dati personali implicano una profilazione. Si tratta di profilazione l’analisi dei dati che consentono di prendere decisioni che riguardano una persona oppure che ne prevedono le sue preferenze o comportamenti. Non è profilazione il semplice "tracciamento" del soggetto.

Ad esempio, si fa profilazione se vengono raccolti i dati degli utenti e si analizzano i loro comportamenti con lo scopo di sottoporre certi prodotti a seconda del profilo. Se invece un’azienda vuole classificare i propri clienti in base all’età o al sesso per finalità statistiche e per acquisire una panoramica dei propri clienti in modo aggregato non fa profilazione perchè la finalità non è la valutazione delle caratteristiche dei singoli clienti.

Si crede erroneamente che la profilazione avvenga solo online, con la conseguenza che ogni operazione di raccolta dei dati e trattamenti effettuati al di fuori di un sito web non siano soggetti alla GDPR. Non è così. La profilazione avviene tutte le volte che un processo automatizzato consente di fornire servizi, prodotti dedicati o pubblicità personalizzata basata sul comportamento di un soggetto (behavioral marketing) analizzando i dati personali raccolti sia online sia offline che consentono di creare un profilo.

Basti pensare, ad esempio, all’utilizzo della carta fedeltà di un negozio. La profilazione del cliente avviene attraverso la raccolta dei dati personali forniti all’atto di rilascio della tessera e il monitoraggio delle preferenze degli acquisti, dati che vengono trattati come qualsiasi dato raccolto da un sito web.

Quando è richiesto il consenso

Il nostro Garante della Privacy impone che deve essere richiesto il consenso dell’interessato per tutte le attività che usano i dati personali con lo scopo di profilarlo.

Quando la profilazione si basa unicamente sul trattamento automatizzato (quindi senza l’intervento di un umano) e produce effetti giuridici o incide significativamente sull’interessato, la GDPR ha stabilito che è lecita solo se viene soddisfatta almeno una delle seguenti condizioni:

  • effettuata con il consenso esplicito dell'interessato
  • prevista da una normativa che lo consenta
  • necessaria per concludere o eseguire un contratto con il soggetto.

Si applicano infatti le stesse regole stabilite dalla GDPR per qualsiasi altro processo decisionale automatizzato. Dovranno quindi essere fornite all'interessato anche tutte le informazioni che riguardano il trattamento (come funziona la profilazione, gli scopi, i dati utilizzati, etc.).

Inoltre, va sempre richiesto il consenso e vanno rispettati rigorosi limiti quando si fa la profilazione di dati sensibili (quelli relativi alla salute, convinzioni politiche, religiose, etc.) o di minori di età inferiore ai 18 anni. In questo ultimo caso, saranno i genitori o chi esercita la responsabilità genitoriale a dover dare un esplicito consenso.

Cookie di profilazione

I cookie di profilazione sono quei piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, e che vengono utilizzati per tracciare i suoi comportamenti e creare profili sui suoi gusti, abitudini, scelte, etc. I cookie di profilazione possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso.

Per capire quali sono i cookie di profilazione, facciamo un esempio. Vi sarà capitato molte volte di visitare un sito, di usare la mail o di accedere alla vostra pagina su un social network e di trovare dei banner pubblicitari legati alle tue ultime ricerche sul web o all'ultimo acquisto fatto su internet. Ciò accade perché quegli spazi web sono progettati per riconoscere il vostro computer e indirizzarvi messaggi promozionali "profilati" in base alle ricerche e al vostro utilizzo della rete.

Come stabilito dal Garante, il titolare del trattamento deve informare l’utente quando accede a un sito internet che usa cookie di profilazione. Deve quindi comparire immediatamente un banner contenente un’informativa "breve" che richieda il consenso per installare i cookie e che includa un link per l’informativa "estesa" dove troverà tutte le informazioni relative al trattamento dei dati sul sito.

Hai ancora domande? Richiedi una consulenza per parlare con un avvocato o contatta il supporto in chat.
modello
Privacy Policy di un Sito Web o di un'App
Per informare i visitatori di un sito sull'uso che verrà fatto delle loro informazioni personali
varianti di questo documento
Su LexDo.it puoi creare documenti e contratti personalizzati in pochi minuti
Rispondi a poche semplici domande e scarica subito il tuo documento a norma
Il primo documento è gratuito.
Provalo subito!
Privacy Policy di un Sito Web o di un'App
Personalizzalo in pochi minuti
Il primo documento è gratuito
SCARICA IL TUO DOCUMENTOSCARICA IL TUO DOCUMENTO
SCARICA DOCUMENTOSCARICA DOCUMENTO