Profilazione utenti: significato e regole privacy GDPR

Profilazione utenti: significato e regole privacy GDPR

La profilazione degli utenti è un trattamento automatizzato che è stata disciplinata dal Regolamento europeo sulla privacy (GDPR). Poiché presenta molti aspetti critici e può impattare i diritti delle persone sono state introdotte delle regole al fine di garantire la massima trasparenza sui criteri, sulle finalità di raccolta e sull'utilizzo dei dati personali.

Significato di profilazione

Il significato di profilazione ci viene fornito dall'articolo 4 della GDPR che la definisce come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

La profilazione è quindi un trattamento automatizzato (ad esempio, tramite l'uso di un algoritmo) di informazioni di utenti o clienti al fine di suddividerli in profili sulla base di loro caratteristiche, comportamenti, abitudini per fornire loro servizi o promozioni personalizzate.

Ad esempio, fa profilazione il sito che fornisce un servizio di localizzazione dei ristoranti e a seconda di quelli prenotati e di altre informazioni raccolte crea un profilo del soggetto e individua le sue preferenze e il suo stile di vita per vendergli qualche servizio. È profilazione anche quando i dati personali vengono raccolti per assegnare un alloggio, per erogare un mutuo o per calcolare un premio assicurativo che sarà alto o basso a seconda del profilo della persona interessata.

Caratteristiche principali

Perché si possa parlare di profilazione, essa deve avere le seguenti caratteristiche:

  • essere una forma automatizzata di elaborazione dei dati personali
  • trattare dati personali
  • avere come scopo la previsione o la valutazione di una persona fisica.

Non tutti i trattamenti automatizzati dei dati personali implicano una profilazione dal punto di vista della privacy. Si tratta di profilazione quando l’analisi dei dati consente di prendere decisioni che riguardano la persona oppure prevede i suoi comportamenti o le sue preferenze. Non è profilazione il semplice "tracciamento" del soggetto o la semplice classificazione sulla base di caratteristiche conosciute (es. età, sesso, etc.).

Ad esempio, faccio profilazione se raccolgo i dati dell'utente e analizzo i suoi comportamenti per sottoporgli dei prodotti a seconda del suo profilo. Se invece classifico i miei clienti in base all’età o al sesso con lo scopo di fare un'analisi statistica della mia clientela non faccio profilazione.

Molti credono che la profilazione avvenga solo online, con la conseguenza che ogni operazione di raccolta dei dati e trattamenti effettuati al di fuori di un sito web non siano soggetti alla GDPR. Non è così. La profilazione avviene tutte le volte che un processo automatizzato consente di fornire servizi, prodotti dedicati o pubblicità personalizzata basata sul comportamento di un soggetto analizzando i dati personali raccolti sia online sia offline che consentono di creare un profilo.

Basti pensare, ad esempio, all’utilizzo della carta fedeltà di un negozio. La profilazione del cliente avviene attraverso la raccolta dei dati personali forniti all’atto di rilascio della tessera e il monitoraggio delle preferenze degli acquisti, dati che vengono trattati come qualsiasi dato raccolto da un sito web.

Quando è necessario il consenso

La normativa sulla privacy impone che è necessario il consenso della persona tutte le volte che si usano i suoi dati personali per profilarla.

Inoltre, il GDPR stabilisce la regola generale che una persona ha il diritto di non essere sottoposta a decisioni basate unicamente sul trattamento automatizzato (senza l'intervento umano, es. algoritmi) se queste decisioni producono effetti giuridici che la riguardano (es. il diritto di voto) o incidono in modo significativo su di essa (es. il rifiuto di una richiesta di prestito online). Questo tipo di decisione è lecito solo se l'uso di mezzi automatizzati soddisfa almeno una delle seguenti condizioni:

  • è consentito dalla legge e sono previste garanzie adeguate
  • è effettuato con il consenso esplicito della persona
  • è necessario per concludere o eseguire un contratto con la persona e non non ci sono altri modi per ottenere lo stesso risultato.

Si applicano quindi le stesse regole stabilite per qualsiasi altro processo decisionale automatizzato. Dovranno essere fornite all'interessato anche tutte le informazioni che riguardano il trattamento (come funziona la profilazione, i criteri, gli scopi, etc.).

Va sempre richiesto il consenso e vanno rispettati rigorosi limiti quando si fa la profilazione di minori o di dati sensibili (quelli relativi alla salute, convinzioni politiche, religiose, etc.). In questo ultimo caso, saranno i genitori o chi esercita la responsabilità genitoriale a dover dare un esplicito consenso.

Cookie di profilazione

I cookie di profilazione sono quei piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, e che vengono utilizzati per tracciare i suoi comportamenti e creare profili sui suoi gusti, abitudini, scelte, etc. I cookie di profilazione possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso.

Per capire quali sono i cookie di profilazione, facciamo un esempio. Vi sarà capitato molte volte di visitare un sito, di usare la mail o di accedere alla vostra pagina su un social network e di trovare dei banner pubblicitari legati alle tue ultime ricerche sul web o all'ultimo acquisto fatto su internet. Ciò accade perché quegli spazi web sono progettati per riconoscere il vostro computer e indirizzarvi messaggi promozionali "profilati" in base alle ricerche e al vostro utilizzo della rete.

Come stabilito dal Garante, il titolare del trattamento deve informare l’utente quando accede a un sito internet che usa cookie di profilazione. Deve quindi comparire immediatamente un banner contenente un’informativa "breve" che richieda il consenso per installare i cookie e che includa un link per l’informativa "estesa" dove troverà tutte le informazioni relative al trattamento dei dati sul sito.

Hai ancora domande? Richiedi una consulenza per parlare con un avvocato o contatta il supporto in chat.

modello

Privacy Policy sul Trattamento dei Dati

Per informare le persone sull'uso che verrà fatto dei loro dati personali trattati

Scarica il tuo documentoScarica il tuo documento
Supporto legale completo
Procedura semplice e veloce
Privacy Policy
Privacy Policy
Personalizzalo in pochi minuti
Il primo documento è gratuito
Scarica il tuo documentoScarica il tuo documento
Scarica documentoScarica documento