1
Introduzione ___________________________________________________________ 3 Capitolo 1: La profilazione allo stato attuale _________________________________ 6 1. Caratteristiche generali della profilazione _______________________________ 6 2. La profilazione alla luce del Codice della Privacy ________________________ 14 3. Provvedimenti del Garante in materia di uso corretto dei dati personali _______ 23 3.1 Il consenso _________________________________________________________ 24 3.2 Provvedimenti generali _______________________________________________ 27 3.3 Provvedimenti specifici _______________________________________________ 43 4. Linee guida in materia di trattamento di dati personali per la profilazione online: delibera n. 161 ________________________________________________________ 52 Capitolo 2: I cookie e la loro regolamentazione ______________________________ 58 1. Profili tecnologici dei cookie _________________________________________ 58 2. La cookie law italiana ______________________________________________ 65 3. Le regole dei Garanti privacy Ue sulla raccolta a scopo di identificazione dei dati dei dispositivi “device fingerprinting” _____________________________________ 75 4. Novità previste dal Regolamento UE 679/2016 in tema di cookie _____________ 80 5. Proposta di un nuovo Regolamento europeo per le comunicazioni elettroniche e cookie _______________________________________________________________ 86 Capitolo 3: La profilazione alla luce del nuovo Regolamento europeo ____________ 89 1. Dalla Direttiva 95/46/CE al nuovo Regolamento Ue 679/2016 ______________ 89 1.1 Gli ambiti di applicazione del Regolamento e la profilazione _________________ 96 2. I diritti dell’interessato _____________________________________________ 104
2.1 Informazione ed accesso ai dati personali _______________________________ 105 2.2 Diritto alla portabilità dei dati e diritto di opposizione _____________________ 107 2.3 Processo decisionale automatizzato relativo alle persone fisiche, compresa la
profilazione _____________________________________________________________ 111 3. Obblighi generali _________________________________________________ 113
3.1 Notifica e comunicazione di una violazione di dati personali all’autorità di controllo e all’interessato: la Data breach notification ___________________________________ 114 3.2 Sicurezza dei dati personali: principio di accountability e Privacy Impact Assessment
117
4. Profili di responsabilità ____________________________________________ 126 Capitolo 4: Profilazione e rischi _________________________________________ 134 1. L’impatto della profilazione sui valori fondamentali ______________________ 134 2. La profilazione ed i rischi per il diritto alla non discriminazione ____________ 141
2
3. Provvedimento del Garante: “Piattaforma web per l’elaborazione di profili
reputazionali” _______________________________________________________ 146 4. Promozione da parte della Commissione europea delle Privacy Enhancing
Technologies ________________________________________________________ 152 Conclusioni _________________________________________________________ 157 Ringraziamenti _______________________________________________________ 160 Bibliografia _________________________________________________________ 161 Articoli _____________________________________________________________ 166 Sitografia ___________________________________________________________ 171 Documenti istituzionali ________________________________________________ 172 Riferimenti normativi __________________________________________________ 175
3
Introduzione
Quotidianamente, ogni individuo che si muove nella società o nella rete Internet rilascia numerose tracce, a volte anche inconsapevolmente, circa le proprie abitudini, preferenze, stili di vita, consumi, interessi e, spesso, non è effettivamente a conoscenza del soggetto che potrà trattare i propri dati, delle modalità e degli scopi del trattamento.
Così, le informazioni rilasciate vengono raccolte, filtrate ed analizzate al fine di delineare profili rappresentativi dell’individuo o di cluster di soggetti, in modo tale che sia possibile intraprendere azioni adeguate, prevedere ed impedire attività criminali, sviluppare offerte personalizzate e mirate, incrementare la soddisfazione e la fidelizzazione, risultando maggiormente competitivi.
Osservando le diverse pratiche commerciali si assiste quasi ad una negoziazione dei propri dati personali, in quanto l’interessato al fine di ricevere dei benefici, quali per esempio sconti o campioni omaggio, fornisce agli operatori commerciali delle informazioni personali. Pertanto, detti operatori avranno a disposizione una massiccia quantità di dati che rappresenta un importante potenziale informativo, poichè una volta elaborata mediante l’attività di profilazione, consentirà loro di delineare profili dettagliati degli utenti cui dati si riferiscono e di personalizzare l’offerta di prodotti e servizi.
L’attività di profilazione non si limita ad essere adoperata soltanto nel settore commerciale e per di più non è una pratica di recente invenzione; perciò, nel seguente elaborato si è voluto indagare circa le differenti caratteristiche che contraddistinguono tale attività.
Nel primo capitolo si delineeranno inizialmente delineate le diverse fasi che hanno caratterizzato il passaggio da una profilazione su piccola scala, basata sui dati concessi dal cliente per ottenere le fidality cards, ad una profilazione su larga scala, mediante l’impiego dei big data. Successivamente, verrà condotto un esame circa le norme poste dal Codice della privacy relativamente al trattamento automatizzato di dati personali, ponendo altresì particolare attenzione ai numerosi provvedimenti dettati dal Garante in differenti situazioni, evidenziando come consenso ed informativa svolgano un ruolo primario nel garantire agli interessati un legittimo trattamento di dati personali.
4 Tuttavia, il crescente sviluppo tecnologico pone al Garante molteplici e continue sfide, richiedendo interventi che siano appropriati ed idonei a realizzare effettivamente la trasparenza dei trattamenti, a garantire la tutela della privacy e l’esercizio dei diritti dell’interessato. In tal senso, si vedrà come il Garante abbia previsto un’informativa breve e delle diverse modalità di acquisizione del consenso in merito all’uso dei cookie. Nel secondo capitolo particolare attenzione verrà dedicata ai cookie, poiché il loro utilizzo può permettere di monitorare la navigazione dell’utente, in modo da generare un accurato profilo di quest’ultimo. Dopo la classificazione dei cookie in relazione alla durata, provenienza, funzione ed aver messo in luce le peculiarità di ciascuno, considerando in particolar modo i cookie di profilazione, l’analisi si incentrarà sulla
cookie law italiana e sulle regole dettate dai Garanti privacy europei sulla raccolta a
scopo di identificazione dei dati dei dispositivi “device fingerprinting”, esaminando anche una proposta di Regolamento avanzata dalla Commissione europea al fine di semplificare la disciplina dei cookie, in modo da agevolare gli utenti nel controllo delle impostazioni, accettando o negando agevolmente il monitoraggio dei cookie e di ulteriori identificatori.
Nel terzo capitolo lo studio si concentrerà sull’introduzione del nuovo Regolamento europeo 679/2016 in materia di protezione dei dati personali e su come questo affronti il tema della profilazione. Infatti, in esso si rinviene per la prima volta una definizione di profilazione, che chiarisce come in quest’ultima siano comprese non soltanto le attività di trattamento per esaminare il consumo e l’utilizzo di beni e servizi, ma anche quelle per valutare aspetti personali di una persona fisica, come per esempio l’età, il sesso, la situazione economica, la salute e gli interessi. Pertanto sono state messe in luce le rilevanti novità apportate dal Regolamento in tema di profilazione, quali il concetto di
privacy by design e by default, il diritto alla portabilità dei dati, la data breach notification, il principio di accountability e la Privacy Impact Assessment, ponendo
anche uno sguardo all’inasprimento del regime sanzionatorio previsto in caso di inosservanza delle misure previste dal GDPR.
Tuttavia, se da un lato l’attività di profilazione procura dei benefici sia all’interessato che agli operatori commerciali, dall’altro lato essa potrebbe apportare rilevanti rischi agli individui, quali per esempio gli usi discriminatori delle informazioni personali rilasciate, incidendo in tal modo sulla sfera dei diritti fondamentali dell’individuo.
5 Appare opportuno non tralasciare tale rilevante aspetto, perciò nel quarto capitolo la profilazione sarà analizzata in relazione ai valori fondamentali dell’individuo e al diritto alla non discriminazione. Inoltre, sono stati presi in esame il provvedimento attuato dal Garante al fine evitare l’adozione di una piattaforma web da parte di una società per elaborare profili reputazionali e la spinta della Commissione europea ad utilizzare le
Privacy Enchancing Technologies (PET), ritenendo che l’applicazione delle
disposizioni in materia di privacy debba essere connessa con l’attuazione di misure di sicurezza idonee.
6
Capitolo 1
La profilazione allo stato attuale
1. Caratteristiche generali della profilazione
La profilazione è una tecnica molto diffusa ed ampiamente utilizzata dagli operatori commerciali, che consente di processare automaticamente, mediante l’uso di algoritmi, una quantità massiccia di dati personali1 degli utenti e di ricavare informazioni dettagliate in ambito delle loro preferenze, stili di vita, abitudini di acquisto, etc. al fine di delineare i loro profili, di intraprendere strategie di marketing personalizzate ed instaurare relazioni nel lungo termine.
Per profilo si intende un insieme di dati connessi fra loro e relativi ad un soggetto; la creazione di profili risulta essere un processo necessario per identificare il soggetto come appartenente ad un determinato gruppo, delineandolo sulla base di parametri che possono essere ad esempio le abitudini di acquisto, i comportamenti di consumo, gli stili di vita, l’età, il sesso, il livello di reddito, il livello di istruzione, la professione, etc.
Più esattamente, per profilazione si intende “la stesura di un profilo mediante l’identificazione e la raccolta dei dati personali e delle abitudini caratteristiche di qualcuno”2.
Attraverso la creazione di profili, l’impresa potrà quindi avere una migliore comprensione del consumatore, anticipare o migliorare la propria offerta al pubblico, intraprendere azioni di marketing mirate, inviare messaggi pubblicitari personalizzati, effettuare campagne promozionali ad hoc, col fine di accrescere la soddisfazione e la fidelizzazione del cliente e registrare un aumento delle vendite, quindi dei profitti.
L’attività di profilazione è eseguita, in prevalenza, nel settore delle attività commerciali e nel corso degli anni abbiamo assistito ad un’evoluzione di tale attività, tant’è che si è passati da una profilazione su piccola scala, basata sui dati rilasciati dal cliente dietro la
1
Per dato personale si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, Codice in materia di protezione dei dati personali, Decreto legislativo 30 giugno 2003, n. 196, in www.garanteprivacy.it.
2
7 consegna delle fidality cards, ad una profilazione ad ampio spettro, effettuata impiegando grandi database.
“Un tempo l’impresa si rivolgeva in modo indiscriminato ai propri potenziali clienti a prescindere dall’acquisizione di qualsivoglia genere di informazione circa la loro propensione all’acquisto, l’appartenenza a questa o quella classe sociale, reddituale o culturale”3
.
Così, mediante l’utilizzo della tecnica di profilazione, si è registrato un incremento dell’efficacia della pubblicità, in quanto tale attività consente di individuare il target a cui rivolgere ciascuna campagna promozionale, modificandola sulla base dei differenti profili ottenuti in relazione agli obiettivi di mercato. Perciò, la pubblicità non si rivolge più ad una pluralità indefinita di consumatori; anzi dall’analisi delle informazioni derivanti dall’aggregazione automatica dei dati raccolti, è possibile sviluppare specifiche campagne sui comportamenti, sulle abitudini dei soggetti, sui loro stili di vita, al fine di rendere maggiormente invitanti i prodotti offerti.
Certamente, il fenomeno non è una scoperta recente. L’analisi del mercato inizia, soprattutto, quando i produttori e i distributori di beni e servizi di consumo, al fine di fidelizzare la clientela, cominciarono ad offrire promozioni, vantaggi e sconti dietro il rilascio da parte del consumatore di dati personali, anche anagrafici. Così, “la mole delle informazioni ottenute diviene una ricca miniera quando la si incrocia con le tracce lasciate dal consumatore con i suoi strumenti elettronici di pagamento e con le carte di fidelizzazione. Si realizza, infatti, un’associazione immediata tra i dati identificativi e i dati di consumo”4.
Pertanto, le risorse umane ed economiche delle imprese iniziarono a concentrarsi sulle attività di profilazione e sullo sviluppo di campagne di direct marketing, al fine di raggiungere specifici target di clienti.
In seguito, lo sviluppo di Internet, l’utilizzo sempre più frequente delle tecnologie dell’informazione e della comunicazione (TIC), la dichiarazione esplicita di preferenze, l’iscrizione volontaria ai social network, sono tutti fattori che hanno permesso
3 Monducci J., Sartor G., Il codice in materia di protezione dei dati personali, Cedam, Padova, 2004, pag.
475.
4 De Meo R., Autoderminazione e consenso nella profilazione dei dati personali, in Il diritto
8 l’ulteriore sviluppo e la semplificazione dell’attività di profilazione, che l’uso dell’algoritmo agevola particolarmente.
Uno studio svolto dalla Cambridge University, per esempio, ha condotto alla creazione di un algoritmo in grado di prevedere l’orientamento politico, sessuale, religioso e le caratteristiche psicologiche dell’utente tramite i vari like rilasciati da quest’ultimo sul
social Facebook. Lo studio condotto ha preso in esame un campione di quasi 60 mila
volontari statunitensi, in un arco temporale di 5 anni, dal 2007 al 2012, focalizzando l’attenzione sui like degli utenti e sviluppando uno specifico algoritmo, che con un’accuratezza dell’88% fornisce informazioni circa la sessualità, la fede, il colore della pelle, la politica, l’età, ma anche su taluni aspetti intimi quali l’uso di sostanze stupefacenti o la soddisfazione circa la vita condotta dall’utente. Da ciò, si può evincere come un semplice like possa essere uno strumento di informazione di ampio valore.
È stato osservato che la sostanziale differenza tra le relazioni di mercato di ieri e quelle della società dell’informazione consiste nel differente approccio con cui le aziende si rivolgono ai propri potenziali clienti, infatti mentre in passato il cliente non veniva preso in considerazione in quanto singolo individuo, ma come un soggetto appartenente ad un gruppo omogeneo e senza diversificazioni, oggi, invece, grazie allo sviluppo di strumenti di comunicazione innovativi ed interattivi, si cerca di instaurare relazioni basate sulla personalizzazione dei messaggi pubblicitari, ponendo così il consumatore al centro di un sistema di comunicazioni che lo invogliano all’acquisto, facendo leva sui suoi bisogni ed interessi. “Ciò ha determinato il passaggio dal mercato rivolto alle masse al mercato rivolto agli individui, aprendo le porte ai nuovi metodi di marketing relazionale e diretto”5
.
È bene precisare che l’attività automatizzata di profilazione può essere condotta anche in contesti differenti dal settore commerciale, tant’è che la pubblica amministrazione, le aziende sanitarie, gli operatori finanziari etc., possono raccogliere, conservare ed elaborare dati comportamentali, ed anche sensibili, piuttosto importanti.
Nello svolgere tale attività occorre ricordare che “quanto più le informazioni raccolte si riferiscano a gruppi di persone estesi e definiti secondo criteri di appartenenza o
5 In tal senso si veda Rasi G., Gli obiettivi della conferenza, in Atti della Conferenza internazionale,
9 riferibilità sociale, tanto più la profilazione lascia le dimensioni individuali per divenire profilazione di massa, possibile strumento di controllo della popolazione”6.
Ovviamente, per delineare i profili dei clienti è necessario che le informazioni raccolte siano organizzate in maniera adeguata a far scaturire conoscenza. Per questo, la profilazione trova le sue basi sulla tecnica di data mining, che consente di estrarre conoscenza da banche dati di grandi dimensioni attraverso l’uso di algoritmi, i quali identificano le associazioni non visibili tra le informazioni e le evidenziano. Il data
mining è dunque quella specifica attività che viene svolta sui big data, col fine di
renderli chiari ed intelligibili a chiunque, ricavandone informazioni utili e dettagliate.
Con il termine big data si fa riferimento ad una raccolta di dati piuttosto estesa in termini di volume7, velocità8 e varietà9, tanto che si parla del “paradigma delle tre V”10 appunto per indicare tali caratteristiche. “A queste tre V se ne aggiunge spesso una quarta, definita come veracità11”12.
Se compresi, coordinati e veicolati13 nell’ambito dei processi aziendali i big data possono costituire una rilevante fonte di creazione di valore.
Pertanto, la tecnica di data mining consente di estrarre l’informazione da una miniera di dati e può quindi essere definita come “l’attività di elaborazione in forma grafica o numerica di grandi raccolte o di flussi continui di dati con lo scopo di estrarre informazione utile a chi detiene i dati stessi”14
.
Spesso il termine data mining è considerato sinonimo di knowledge discovery in
databases (KDD), tuttavia è più opportuno parlare di knowledge discovery quando si fa
6
De Meo R., Autoderminazione e consenso nella profilazione dei dati personali, cit., pag. 591.
7 Si fa riferimento alla massiccia quantità di dati che gli individui producono quotidianamente dagli
individui e che sono pertanto a disposizione.
8 Si riferisce al fatto che i dati vengono prodotti di continuo e sono sempre più aggiornati. Si pensi a
qualsiasi dispositivo connesso ad Internet che produce e trasmette dati in maniera incessante e continua. Si assiste pertanto ad una rapidità di produzione e analisi dei dati.
9 Si fa riferimento alle diverse varietà di formato (per esempio pdf, jpg, word) e di fonti dei dati (quali
motore di ricerca, internet, social network, etc).
10 Lo studioso ed analista Doug Laney, considerato il pioniere nel campo della data warhouse
dell’information economics, ha cercato di sintetizzare le caratteristiche dei big data.
11 Cioè la veridicità o la qualità dei dati, che ricopre una certa importanza in quanto la correttezza di
questi è necessaria al fine di svolgere una corretta analisi.
12
D’Acquisto G., Naldi M., Big Data e Privacy by Design. Anonimizzazione, Pseudonimizzazione,
Sicurezza, Giappichelli, Torino, 2017, pag. 5.
13 Silvi R., Visani F., Business analytics: nuove prospettive per il performance management, in Controllo
di gestione, 2016, pag. 9.
14
10 riferimento al processo di estrazione della conoscenza e di data mining quando si fa riferimento ad una determinata fase di tale processo di estrapolazione di informazioni.
Il processo di Data mining si compone di nove fasi15:
1. Definizione del problema di business, occorre definire il problema ed evidenziare l’obiettivo dell’analisi.
2. Selezione ed organizzazione dei dati, dopo aver individuato l’obiettivo si procede alla selezione dei dati necessari per l’analisi.
3. Analisi esplorativa dei dati, si preparano i dati per l’uso e si procede ad una loro “pulitura” in modo da eliminare eventuali errori, si valutano anche le azioni da intraprendere nei casi in cui si ha una mancanza di dati.
4. Riduzione dei dati, si utilizzano dei metodi di trasformazione per limitare il numero delle variabili statistiche da tenere in considerazione nell’analisi.
5. Individuazione del data mining task, è necessario operare una scelta circa il tipo di analisi da eseguire sui dati.
6. Scelta della tecnica di data mining, la quale dipende dall’obiettivo dell’analisi prefissato e dalla disponibilità dei dati. Successivamente la tecnica (algoritmo) viene impiegata per giungere all’informazione.
7. Data mining, si indaga circa l’individuazione di pattern di interesse. Il successo di tale fase è condizionato dall’esattezza delle fasi precedenti.
8. Interpretazione dei modelli identificati, si effettua l’analisi e la verifica dei
pattern individuati ed eventualmente si ritorna ai punti precedenti per effettuare
le correzioni necessarie, in modo da poter avere la massima efficacia dei modelli individuati.
9. Consolidamento della conoscenza conseguita, si integra la conoscenza ottenuta e si valutano le performance del sistema, comparando i risultati con l’andamento dei fatti nella realtà e offrendo una documentazione agli utenti finali o a terze parti interessate.
Pertanto, l’impiego del data mining è utile per evidenziare le relazioni nascoste o non facilmente identificabili tra le diverse dimensioni dei clienti, classificandoli sulla base di caratteristiche significative quali le variabili socio-demografiche, psicografiche, la
15 In tal senso Ferrari A., Miniere di dati. La scoperta della conoscenza nascosta nelle grandi basi dati,
11 frequenza d’acquisto, l’ammontare di spesa sostenuta e così via; inoltre il data mining utilizza tali relazioni col fine di prevedere comportamenti futuri.
Questa procedura non richiede solo l’impiego di strumenti automatizzati, bensì è anche necessario avere a disposizione risorse umane addestrate e capaci di interpretare le informazioni ricavate, poiché in assenza di tali capacità, l’elevato ammontare di dati potrebbe generare confusione o interpretazioni erronee o parziali. Dunque, affinché l’informazione abbia un valore e si possa tradurre in conoscenza, sono necessarie capacità interpretative e di discernimento delle informazioni, per poterle riorganizzare, classificare e codificare.
“Risulta evidente come chi gestisce grandi quantità di dati venga così ad acquisire una capacità predittiva sul futuro agli altri preclusa, costituente un indubbio vantaggio, sia in termini competitivi per le imprese, sia in termini di controllo sociale per gli stati e per i gruppi di potere. Nel momento in cui le grandi aggregazioni di dati non risultano accessibili a tutti ne consegue altresì che tale potere informativo acquisisce anche un valore economico, specie in una società sempre più bisognosa di dati funzionali all’elaborazione dei processi decisionali. In tal maniera i data set divengono una risorsa cedibile a terzi”16. Dunque, il valore economico scaturisce sia dalla detenzione riservata dei dati, sia dal possesso di adatti strumenti di analisi e risorse umane.
Qualsiasi tipo di dato può essere impiegato per profilare. Per esempio i dati relativi ai comportamenti d’acquisto possono essere utilizzati per creare gruppi omogenei di soggetti aventi comportamenti e caratteristiche simili; così come i dati che scaturiscono dal comportamento in rete dell’utente offrono informazioni utili circa le pagine visitate, il tempo di permanenza su un sito, i prodotti inseriti nel carrello, le relazioni che instaura con altri utenti online; come anche i dati inerenti agli spostamenti effettuati da un soggetto possono suggerire il luogo visitato ed il giorno, i km percorsi, la velocità, e così via.
Tali dati possono provenire da svariate fonti17, sia interne che esterne all’azienda, ad esempio i dati necessari per la compilazione di una fattura, oppure navigando su Internet inevitabilmente il consumatore lascia tracce del suo accesso che vengono
16 Cfr. Mantelero A., Big data: I rischi della concentrazione del potere informativo digitale e gli
strumenti di controllo, in Il diritto dell’informazione e dell’informatica, 2012, pag. 139.
17 In tal senso si veda Hair J., Bush R., Ortinau D., Marketing research in a Digital International
12 raccolte e catalogate, altresì possono essere rilasciati volontariamente dall’interessato o essere dati “transazionali” circa le sue attività quotidiane, quali ad esempio il prelievo al bancomat o l’utilizzo della carta fedeltà al supermercato.
Oggi, si registra un continuo e crescente impiego di sofisticate tecnologie, quali ad esempio le smart card, ossia delle carte dotate internamente di un circuito elettronico che consente di memorizzare diversi tipi di dati relativi alle azioni intraprese dal soggetto. Queste sono dotate di un piccolo connettore e quando vengono inserite in un lettore sono alimentate in modo tale che il microchip e la memoria possano funzionare. Nonostante le smart card siano a disposizione da diversi anni, “non sono state adottate su larga scala come meccanismo di gestione delle identità”18, in quanto il loro svantaggio principale è costituito dal fatto che richiedono l’uso di un lettore; pertanto, affinché si possa sviluppare in un’organizzazione un sistema di gestione delle identità basto sull’uso delle smart card, ad esempio, sarebbe necessario rifornire ogni computer di un lettore, e ciò comporterebbe, una serie di costi iniziali, ma anche di gestione e manutenzione dei lettori.
Altra tecnica che col tempo registra un incremento nell’impiego è la biometrica, la quale consente di identificare i soggetti sulla base di caratteristiche fisiologiche (lineamenti del volto, impronte digitali) e comportamentali (la firma, la voce) ed una sua applicazione recente è riscontrabile nel parco dei divertimenti Disneyland di Hong Kong che ha attivato, per coloro che sono disposti, lo scanning delle impronte digitali agli ingressi della sua struttura per gli utenti con abbonamento annuale, col fine di accelerare i controlli. L’approccio adottato da Disney è stato del tutto pragmatico, infatti il sistema di ticketing memorizza 50 punti di un’impronta digitale e li elabora attraverso un algoritmo che aggiunge una criptazione. Poichè non sono stati raccolti tutti gli indici biometrici di un’impronta, secondo i tecnici della società, non è necessario un livello di protezione degli archivi troppo sofisticato, anche perché come affermato da David Shek,
senior analyst della sicurezza IT interna, la biometrica è stata adotta esclusivamente per
velocizzare i controlli agli accessi e non per "radiografare" i visitatori.
“L’informazione biometrica presenta caratteristiche che rendono il relativo trattamento particolarmente delicato; il dato biometrico è infatti presente in tutte le persone, si
13 conserva inalterato nel corso del tempo ed è carattere distintivo di ogni singolo individuo”19
.
Solitamente il trattamento biometrico viene eseguito per ragioni di sicurezza, ad esempio la tutela dell’incolumità di un soggetto o la protezione patrimoniale, per scopi facilitativi, quali l’apertura di una cassaforte o l’accesso in un ufficio.
“Molte caratteristiche biometriche hanno un elevato grado di unicità nella popolazione: ciò le rende adatte a essere utilizzate come una sorta di identificatore universale, con il rischio, se non opportunamente gestito, di un futuro in cui soggetti privati e istituzioni potrebbero acquisire o dedurre informazioni sui singoli individui incrociando e collegando dati provenienti da più banche dati, per finalità differenti da quelle per cui tali dati biometrici sono stati in origine raccolti. Le caratteristiche biometriche che possono essere acquisite senza la consapevolezza o la partecipazione di un individuo potrebbero essere utilizzate per il suo tracciamento, ad esempio per seguirne gli spostamenti tramite l’utilizzo di tecnologie completamente automatizzate, tanto ubique quanto invasive, ledendo così il diritto alla riservatezza”20
. Dunque, si potrebbe correre il rischio di tramutare la biometria da strumento idoneo a garantire la sicurezza o facilitare l’accesso, in una risorsa di controllo generalizzato. Sulla base di ciò, per esigenze di sicurezza dovranno essere adottate specifiche cautele in merito all’accesso, alla conservazione e gestione di tali dati.
Occorre ricordare che un’azienda quando riceve un’informazione circa un consumatore, ricava profitto non soltanto dall’uso che ne può fare di questa, ma anche come mezzo di scambio con terzi. Così, l’azienda grazie alla massiccia quantità di dati che ha a disposizione, può pervenire ad una approfondita conoscenza del cliente e può intraprendere una strategia di Customer Relationship Management (CRM) per ottenere un maggiore vantaggio competitivo e crescita aziendale. Il CRM è un approccio strategico idoneo alla costruzione e alla gestione della relazione con i clienti, che pone il cliente e non il prodotto al centro del business, dunque l’azienda assume un orientamento al cliente. Il CRM “si propone di articolare gli interventi promozionali dell’azienda in modo differenziato da cliente a cliente, cercando di individuare per
19
Fulco D., Bolognini L., Deontologia privacy per avvocati e investigatori privati: commento al Codice
di deontologia e di buona condotta per i trattamenti di dati personali ai fini della difesa in giudizio,
Giuffrè Editore, 2009, pag. 271.
20 Garante per la protezione dei dati personali, Linee guida in materia di riconoscimento biometrico e
14 ciascuno quelle proposte che meglio si addicono ai suoi interessi e orientamenti, e allo stesso tempo evitando sprechi in iniziative promozionali verso clienti non interessati ad una certa proposta21”.
“Il CRM consente alle imprese di fornire al cliente un servizio eccellente in tempo reale tramite un uso efficace delle informazioni acquisite. In base a tali informazioni le imprese possono personalizzare le offerte, i servizi, i programmi, i messaggi e la scelta dei media”22. Dunque, il CRM è utile alle aziende per identificare e gestire i profili dei clienti attuali e potenziali, in modo da definire ed intraprendere accurate attività e strategie che consentano non solo di massimizzare i profitti e le relazioni coi clienti fedeli, bensì anche di acquisire nuovi clienti, cercando di capire le loro esigenze ed aspettative.
2. La profilazione alla luce del Codice della Privacy
Il Codice in materia di protezione dei dati personali, D.Lgs. 30 giugno 2003 n.196, ha sostituito la legge n.675/199623 sulla protezione nel trattamento dei dati personali e ha conformato l’ordinamento italiano ai principi prospettati nella Direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Tale Codice è stato approvato in Italia con D. Lgs. n. 196/2003 ed è entrato in vigore il 1 Gennaio 2004; è un testo unico che consta di 186 articoli ed è diviso in tre parti: la prima (artt.1-45) racchiude le norme di carattere generale circa il trattamento di dati; la seconda parte (artt.46-140) detta le regole per specifici settori, quali ad esempio i trattamenti di dati personali in ambito giudiziario, della pubblica amministrazione e sanitario; la terza parte (art.141-186) è relativa alla tutela dei diritti dell’interessato e alle sanzioni amministrative e penali.
Il testo unico mostra un’estensione del campo di applicazione rispetto al contesto comunitario, infatti la direttiva n. 95/46 sancisce che solamente i dati personali delle
21
Azzalini A., Scarpa B., Analisi dei dati e data mining, cit., pag. 3.
22 Kotler P., Keller K.L., Ancarani F., Costabile M., Marketing management, Milano, Pearson Italia,
2012, pag.310.
23 La legge 675/96 venne emanata il 31 dicembre 1996, entrò in vigore nel maggio del 1997, per dare
15 persone fisiche sono oggetto di applicazione di tale disposizione, mente il Codice della privacy all’art. 1 dispone che “chiunque ha diritto alla protezione dei dati personali che lo riguardano”, precisando che per dato personale si intende “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Con tale disposizione, il legislatore ha intenzione di non permettere più interpretazioni riduttive del diritto alla protezione dei dati personali, rafforzando ulteriormente tale principio con il seguente art.2, primo comma, in cui si afferma che il Codice persegue l’obiettivo di garantire “che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
“Il Codice in materia di protezione dei dati personali informato ai canoni di semplificazione, armonizzazione ed efficacia, è ispirato al principio di necessità. Lo scopo è di controllare la circolazione dei dati personali in maniera più efficiente, limitando il pericolo di intrusione esterna al minimo indispensabile e impedendo il reperimento di informazioni sulla vita dell’utente non necessarie con gli scopi dichiarati o in contrasto con le finalità della raccolta. Questo principio permette di garantire il mantenimento di un livello elevato di protezione dei dati raccolti”24.
Pertanto, tale Codice non si limita soltanto a riorganizzare il materiale legislativo esistente, bensì si pone l’obiettivo di incrementare e rafforzare la tutela dell’individuo. Difatti, gli articoli inseriti nel Codice sono più numerosi rispetto a quanto previsto dalla legge 675/96 ed inoltre contiene alcuni allegati quali ad esempio il Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato ai fini di informazione commerciale, il Disciplinare tecnico in materia di misure minime di sicurezza. Quindi, appare per la prima volta nel contesto europeo, un modello “di codificazione organica in materia di data protection”25.
Prendendo in esame il Codice, merita attenzione l’art.3 con riferimento al principio di necessità nel trattamento dei dati; detto articolo dispone che “i sistemi informativi e i programmi informatici siano configurati riducendo al minimo l'utilizzazione di dati
24
In tal senso Panetta R., Libera circolazione e protezione dei dati personali, Milano, Giuffrè Editore, 2006, pag. 393.
25
16 personali e di dati identificativi26, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi27 od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Dunque, i dati personali devono essere trattati come tali solo per il periodo di tempo strettamente necessario al perseguimento della finalità, e nel momento in cui tale finalità può essere perseguita ugualmente senza adottare i dati personali, questi devono essere resi anonimi. In presenza di dati anonimi non è necessario mettere in atto l’iter legislativo predisposto dal Codice, in quanto non si avrà alcun tipo di collegamento all’interessato.
L’utilizzo di dati anonimi deve essere interpretato come un “riconoscimento di favore legislativo per i trattamenti effettuati attraverso pseudonimi, ovvero scorporando le informazioni che l’incaricato non abbia la possibilità di identificare l’interessato i cui dati si riferiscono”28. L’uso di pseudonimi esula il trattamento dei dati alle previsioni
del Codice nel caso in cui questo sia gestito direttamente ed esclusivamente dal titolare e questo non abbia la possibilità di ricondurlo ad un determinato soggetto. Nell’ipotesi contraria, in cui lo pseudonimo è riconducibile ad informazioni che sono in grado di far identificare l’interessato, le disposizioni del Codice dovranno essere applicate.
“La pseudonimizzazione è una tecnica che consiste nel sostituire un attributo, tendenzialmente univoco, di un dato con un altro, ugualmente univoco ma non immediatamente intellegibile”29. Viceversa, anonimizzare un dato personale significa trattare un dato in modo tale da creare un’incertezza nell’attribuirlo ad una persona. Quindi, l’associazione biunivoca tra dato e persona non è trasformata in nessun modo dalla pseudonimizzazione e il dato pseudonimo utilizzato è inequivocabilmente riferito alla persona, pertanto alla conclusione del processo di pseudonimizzazione la persona potrebbe essere identificata in maniera indiretta; invece, ciò non accade col processo di anonimizzazione, infatti “la riferibilità del dato anonimizzato alla persona diventa verosimile quanto un’attribuzione causale”30
.
26 I “dati identificativi” sono i dati personali che permettono l’identificazione diretta dell’interessato. 27 Per “dato anonimo” si intende il dato che in origine, o a seguito di trattamento, non può essere associato
ad un interessato identificato o identificabile.
28 Cassano G., Fadda S., Codice in materia di protezione dei dati personali, Ipsoa, Milano, 2004, pag. 47. 29 D’Acquisto G., Naldi M., Big Data e Privacy by Design. Anonimizzazione, Pseudonimizzazione,
Sicurezza, cit., pag. 38.
30
17 L’art. 3 sancisce quindi il principio della necessità di identificare l’interessato solo in casi straordinari ove non sia possibile perseguire certe finalità in maniera meno invasiva.
All’attività di profilazione, produttiva di particolari rischi, il legislatore ha dedicato un’apposita norma - l’art 14 del Codice della privacy - che riproduce fedelmente l’art.17 della legge 675/96 e rinviene il suo fondamento.
Nell’art. 15 della Direttiva 95/46/CE31
in cui è riconosciuto da parte degli Stati membri “a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l’affidabilità, il comportamento, ecc.”.
L’art. 14 al primo comma dispone che “nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato”. Quindi, il Codice vieta ad ogni Autorità, che essa sia giudiziaria o amministrativa, l’emissione di un atto o un provvedimento, che comporti una valutazione del comportamento umano, basato esclusivamente su un trattamento automatizzato di dati personali col fine di delineare il profilo o la personalità dell’interessato. Quindi, la ragione di tale disposizione è di impedire l’emanazione di provvedimenti pubblici discriminanti.
Il Codice pone, pertanto, un limite relativo alla profilazione, “non escludendo la possibilità di effettuarla ma obbligando il titolare ad integrare i dati in suo possesso con ulteriori accorgimenti ritenendo inidoneo il trattamento esclusivamente automatizzato”32
.
Il secondo comma dispone che “l’interessato può opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento di cui al comma 1, ai sensi dell’articolo 7, comma 4, lettera a), salvo che la determinazione sia stata adottata in
31 La direttiva sulla protezione dei dati 95/46/CE, del 24 ottobre 1995, è il testo di riferimento a livello
europeo e sarà abrogata nel maggio del 2018 mediante il Regolamento 2016/679.
32 Rodotà S., Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali,
18 occasione della conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie individuate dal presente codice o da un provvedimento del Garante ai sensi dell’articolo 17”. Pertanto, l’interessato ha il diritto di opporsi per motivi legittimi al trattamento dei dati personali che lo riguardano, sebbene pertinenti allo scopo della raccolta.
“La norma traduce un favor di non trascurabile attenzione all’interessato, atteso che quest’ultimo, in teoria, può sempre opporsi al trattamento anche se questo viene effettuato nel rispetto dei canoni di cui all’art. 11 del Codice, in quanto la formula ampia dei motivi legittimi non può essere canonizzata in margini standardizzati di riferimento ma deve essere oggetto di una valutazione effettuata case by case dal Giudice del merito o dal Garante, investito della questione”33.
Dunque, il legislatore è intervenuto per disciplinare le situazioni in cui per valutare il comportamento dell’interessato si rimanda esclusivamente ad uno strumento elettronico e non sussiste alcuna assistenza umana. Laddove la valutazione scaturisca da un procedimento caratterizzato dall’interazione tra un soggetto ed uno strumento elettronico, che svolge la funzione di mero ausilio alla valutazione dell’interessato, non vi è alcuna sanzione. Quindi, la norma consta in un divieto a fondare un atto, che comporti la valutazione del comportamento umano, su un trattamento automatizzato di dati personali, che abbia il fine di delineare la personalità dell’interessato. “Finora, le pronunce giurisprudenziali che hanno affermato l’illegittimità di valutazioni basate su definizioni automatizzate della personalità del soggetto hanno sempre applicato norme specifiche, senza ricorrere alla normativa sulla privacy che potrebbe però rappresentare una norma di chiusura, che va a colmare eventuali lacune di rami diversi del diritto”34.
Proseguendo l’analisi del Codice in tema di profilazione, merita attenzione l’art 17 circa il trattamento che presenta rischi specifici, il quale riprende l’art. 24-bis della legge 675/96 in entrambi i suoi commi. L’art 24-bis fu introdotto dall’art.9 del D.lgs. n. 467/2001 e si riferisce genericamente all’art. 20 della Direttiva 95/46/CE, secondo cui “Gli Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici
33 In tal senso Panetta R., Diritto all’autodeterminazione informativa e rispetto delle garanzie
pregiudiziali alla libera manifestazione del consenso: due principi chiaramente ribaditi nella prima pronuncia del Garante per la tutela dei dati personali, in Rivista critica diritto privato, 1997, pag. 477.
34
19 per i diritti e le libertà delle persone e provvedono a che tali trattamenti siano esaminati prima della loro messa in opera”.
L’art 17 prevede che “il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti”. Come sancito dal secondo comma, le misure e gli accorgimenti di tale tipo di trattamento sono prescritti dal Garante in applicazione dei principi sanciti dal Codice, nell’ambito di una verifica preliminare all’inizio del trattamento.
Dunque, si fa riferimento a quei tipi di dati che non sono né sensibili35 né giudiziari36, differenti dalle altre tipologie di dati per via della loro possibile capacità di ledere i diritti, le libertà fondamentali e la dignità del soggetto interessato. Tuttavia, tale tipologia di dati non è espressamente individuata; accade infatti che il Garante, dietro sollecitazione del titolare mediante interpello o da interessati mediante segnalazioni, all’inizio del singolo trattamento valuta, sulla base della natura dei dati, delle conseguenze possibilmente derivanti e delle modalità di svolgimento del trattamento, se quest’ultimo sia pericoloso, definendo in tal modo misure ed accorgimenti a garanzia dell’interessato. I provvedimenti a proposito di dati particolari37
si applicano sia ai soggetti privati che alla pubblica amministrazione e la non attuazione delle misure previste dal Garante rappresenta un reato punito nel medesimo modo della violazione delle norme previste circa il trattamento dei dati sensibili (art. 167, comma 2).
“La prima impressione che si ha nell’approccio alla previsione in esame è che si sia in presenza di un tertium genus di dati”38, che oltrepassa l’usuale distinzione tra dati
35Sono “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
36 Per “dati giudiziari” si intendono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3,
comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
37Fanno parte di tale categoria di dati ad esempio le informazioni reddituali, definite come “dati
particolari” dal D.lgs. n. 135/98. Questi dati possono essere oggetto di specifica prescrizione da parte del Garante.
38 In tal senso si veda Sica S., D. Lgs. 467/01 e riforma della privacy, in Il Diritto dell’informazione e
20 sensibili ed ordinari od anche giudiziari; le perplessità emergono quando si cerchi di definire tali dati, quindi se questi siano dati semi-sensibili od ordinari. Il dubbio sorge spontaneo sin dalla lettura della norma che parla di “dati che presentano rischi specifici”, “quasi a voler dire che vi sia un rischio soglia oltre il quale si può andare solo in presenza di determinate misure ed accorgimenti a garanzia dell’interessato, ove prescritti”39
. Quindi, il Codice mantiene una posizione neutra, in quanto rimanda al Garante il giudizio in merito all’adeguatezza delle misure e degli accorgimenti ed in tal modo riduce al minimo la possibilità di un trattamento illecito o pericoloso, in virtù dell’intervento preventivo del Garante a seguito di interpello del titolare.
Inoltre, è da tenere in considerazione l’art. 37 del Codice, con cui il Garante detta le regole relative alla notificazione del trattamento. La ratio legis circa l’introduzione dell’obbligo di notificazione è quella di permettere al Garante l’esame della conformità delle operazioni effettuate sui dati e la possibilità per chiunque di accedere alle informazioni, tramite il registro pubblico dei trattamenti detenuto dal Garante.
La notificazione è una dichiarazione mediante la quale un soggetto pubblico o privato rende noto al Garante la sussistenza dell’attività di raccolta, conservazione ed utilizzo dei dati personali, compiuto dal Titolare del trattamento. Per quanto riguarda la natura giuridica dell’atto, la notificazione è un atto unilaterale, recettizio e, a differenza del passato, a forma vincolata40.
Preventivamente all’inizio del trattamento, la notifica deve essere inviata per via telematica, seguendo le istruzioni disposte dal Garante e compilando apposito modello reperibile sul sito ufficiale (art.38).
“L’art.37 del D.Lgs.196/2003, in particolare, disciplina la notificazione del trattamento, completando l’intervento di semplificazione e razionalizzazione del sistema delle notificazioni, attraverso lo snellimento degli adempimenti in favore sia di soggetti privati che della pubblica amministrazione. La norma fornisce un elenco di categorie di trattamenti soggetti a notificazione al Garante in quanto suscettibili di recare pregiudizio
39
Sica S., Stanzione P., La nuova disciplina della privacy, Zanichelli Editore, Torino, 2004, pag. 75.
40 La dottrina precedente al Codice aveva ritenuto la notificazione un atto unilaterale, recettizio e a forma
libera. In tal senso, la legge 675/1996 aveva sancito strumenti alternativi per effettuare la notificazione, tuttavia il legislatore del 2003 ha dettato i soli possibili mezzi con cui il titolare può adempiere all’obbligo di notificazione.
21 ai diritti e alle libertà dell’interessato, modificando il precedente impianto che prevedeva, invece, un obbligo più ampio di effettuare la notificazione”41
.
Dunque, il titolare notifica al Garante il trattamento di dati personali solo nei casi elencati dall’art.37, relativi a contesti particolarmente delicati:
“ a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”
Si evince come nel caso di dati trattati alle modalità indicate in tale articolo alla lettera d) per finalità di profilazione, dunque per classificare l’individuo rispetto a qualche parametro definito, “la notificazione di tali trattamenti è, fra l’altro, strumento per assicurare il rispetto del divieto, di cui all’art.14 del Codice, di adottare atti o
41Consales B., Il concorso nel Comune e nella Provincia per l’area amministrativa degli enti locali,
22 provvedimenti giudiziari o amministrativi, che implichino una valutazione di comportamenti umani, sulla sola base di un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato”42
È inoltre previsto che il Garante con proprio provvedimento, adottato al momento del controllo preliminare ai sensi dell’art.17, possa individuare ulteriori trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato. Mediante analogo provvedimento pubblicato sulla Gazzetta Ufficiale, il Garante nell’ambito dei trattamenti elencati può individuarne alcuni che non sono suscettibili di recare pregiudizio agli interessati e quindi si sottraggono all’obbligo di notificazione. La notificazione è effettuata tramite un unico atto, anche nel caso in cui il trattamento preveda il trasferimento dei dati all’estero.
Un provvedimento per determinare i trattamenti di dati personali che non sono oggetto di notificazione al Garante è stato adottato il 31 marzo 2004 dall’Autorità Garante per la protezione dei dati personali43. In merito al punto d) di suddetto articolo, il provvedimento esonera da notificazione i trattamenti di dati personali:
“ a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1;
b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria;
c) relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet”.
Come sancito dall’art.38 il titolare non obbligato a notificare al Garante il trattamento ai sensi dell’art. 37, deve fornire all’interessato, in caso di eventuale richiesta, le notizie
42 Santaniello G., La protezione dei dati personali, Cedam, Padova, 2005, pag. 246.
43Garante per la protezione dei dati personali, Provvedimento relativo ai casi da sottrarre all'obbligo di
23 contenute nell’apposito modello predisposto per le notificazioni, salvo che il trattamento riguardi registri o elenchi pubblici, atti o documenti conoscibili da chiunque.
Come sancito dall’art 37, comma 4 del Codice, le notificazioni ricevute dal Garante sono inserite in un registro dei trattamenti, a chiunque accessibile e consultabile gratuitamente per via telematica.
Per quanto concerne le modalità di notificazione, l’unico mezzo possibile è quello telematico e deve essere presentata al Garante prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. Inoltre, la notificazione è validamente effettuata solamente se è trasmessa tramite il sito del Garante, utilizzando l’apposito modello predisposto dall’Autorità. L’invio si riterrà valido se sono soddisfatte le modalità di sottoscrizione con firma digitale e di conferma di ricevimento della notificazione. In tal caso, “l’onere di provare che la notificazione è stata ricevuta dal Garante grava sul soggetto che ha operato la notificazione”44.
Inoltre, il Garante può individuare un ulteriore idoneo sistema per la notificazione in merito alle nuove soluzioni tecnologiche che si prospettano. Ad ogni modo, per evitare che via sia un carico enorme su coloro che devono effettuare la notificazione, si è previsto che questi sono esulati dalla comunicazione in questione, nel caso in cui i dati riguardino “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”.
Nel caso di notificazione tardiva, omessa o incompleta (art.163) vi sono sanzioni di natura amministrativa; inoltre chiunque presenti all’Autorità Garante una notificazione contenente informazioni false, è punito con una sanzione di natura penale (art.168).
3. Provvedimenti del Garante in materia di uso corretto dei dati personali
Si rinvengono molteplici interventi da parte del Garante, il quale analizza la conformità delle tecniche di trattamento dei dati ai fini di profilazione in differenti aree economiche e detta le linee guida a cui dovranno attenersi i diversi operatori. Emerge una costante attenzione del Garante per tale tematica ed i suoi interventi sono principalmente di due tipi; vi sono provvedimenti generali con cui l’Autorità detta regole valevoli erga omnes
44 In tal senso si veda Imperiali Ricc., Imperiali Ross., Cade l’obbligo di notifica generalizzato, in Guida
24 per il lecito trattamento dei dati personali, e provvedimenti specifici per disciplinare determinate situazioni in cui agiscono certi operatori commerciali.
3.1 Il consenso
I provvedimenti del Garante si caratterizzano per la subordinazione dell’autorizzazione a modalità di trattamento dei dati che assicurano il rispetto del principio del consenso, con cui si manifesta l’autodeterminazione dell’interessato.
Il consenso è disciplinato dall’art 23 del Codice della privacy, che consente il trattamento di dati personali, da parte di privati o di enti pubblici economici, esclusivamente tramite il consenso espresso dell’interessato.
Il consenso è una libera ed esplicita manifestazione di volontà dell’interessato circa l’uso dei propri dati da parte del titolare del trattamento, e deve essere richiesto all’interessato prima di procedere alla raccolta dei dati, eccetto casi particolari45
. Pertanto, il consenso risulta essere condizione di liceità per il trattamento dei dati personali effettuato da parte di privati o di enti pubblici economici.
“Il consenso dell’interessato perciò costituisce il mezzo attraverso il quale il soggetto, cui i dati si riferiscono, autorizza l’altrui ingerenza nella propria sfera giuridica, innescando così un meccanismo di circolazione conformata delle informazioni , sempre oggetto al controllo ed al sindacato dell’autorità amministrativa indipendente”46
.
Affinché il consenso sia validamente prestato occorre che questo sia espresso liberamente e in forma specifica, non risulta essere valido il consenso implicito e può riguardare una o più operazioni del medesimo trattamento. È bene precisare che il consenso “non ha la funzione di rimuovere la presunta illiceità del trattamento”47
, se così non fosse, il legislatore avrebbe dettato diverse disposizioni circa l’elaborazione dei dati personali, non limitandosi a ritenere illecito solamente il trattamento dei dati
45 Vi sono situazioni particolari in cui il Legislatore permette che la richiesta ed il rilascio del consenso
sia ad opera di un soggetto differente da quello cui si riferiscono i dati ( ad esempio nei casi di incapacità fisica o mentale dell’interessato, oppure quando il consenso è rilasciato da chi esercita la patria potestà).
46 In tal senso si veda Messinetti D., Circolazione dei dati personali e dispositivi di regolazione dei poteri
individuali, in Rivista critica diritto privato, 1998, pag. 353.
47 In tal senso Castranovo C., Situazioni soggettive e tutela nella legge sul trattamento dei dati personali,
25 personali, ma l’elaborazione di qualunque tipo di dati e per di più non avrebbe differenziato l’elaborazione in base ai relativi scopi.
Inoltre il soggetto interessato di cui sono stati raccolti i dati, ai sensi dell’art.13, deve essere previamente informato per iscritto in merito alle finalità e alle modalità del trattamento dei dati, alla natura obbligatoria o facoltativa del conferimento dei dati, alle conseguenze in caso di rifiuto di rispondere, ai soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati, ai diritti sanciti dall’art.7, alle generalità identificative del titolare48 del trattamento ed eventualmente del responsabile49. Perciò, il consenso deve essere informato e l’informativa rappresenta condizione di validità del consenso medesimo, poiché se il consenso non è preceduto da un’informativa appropriata, non può essere ritenuto valido.
Dunque, come previsto dal terzo comma, “il consenso è validamente prestato solamente se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13”. Pertanto il legislatore dispone che la specificità del consenso deve riguardare un determinato contesto e quindi uno specifico trattamento, ed inoltre il riferimento ad un trattamento preciso presuppone che debba individuarsi in modo chiaro il titolare del trattamento o il responsabile.
Tale comma dispone che non è necessaria la manifestazione del consenso per iscritto, bensì è sufficiente l’espressione del consenso e che questa possa essere documentata per iscritto. Perciò la documentazione per iscritto del consenso è un requisito che non deve essere confuso con le modalità mediante cui prestare il consenso, quindi non è riferito alla forma scritta o orale, con cui si esprime l’autorizzazione al trattamento dei dati personali. Sicché, anche nell’ipotesi in cui il consenso sia prestato in forma orale, dovrà essere prodotta una documentazione scritta che provi l’avvenuto rilascio del consenso. La dottrina ritiene che “la documentazione per iscritto non sia una forma richiesta ad
probationem, ma ad substamtiam, e dunque, qualora tale documentazione dovesse
mancare, il consenso sarà inesistente sul piano giuridico, qualificando il trattamento
48
Per titolare si intende la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo a cui spettano le disposizioni circa le finalità, le modalità del trattamento dei dati personali e gli strumenti adoperati.
49 Col termine responsabile si intende la persona fisica, la persona giuridica, la pubblica amministrazione
26 come illecito”50
. Tuttavia, nel caso in cui il trattamento riguardi dati sensibili, occorre che il consenso sia manifestato in forma scritta, apponendo la propria firma su un apposito modulo di consenso. In tal caso, “la previsione di una forma scritta per il consenso ne conferma la natura squisitamente procedurale, poiché in tal modo permette di poter garantire che, formalmente, il procedimento di autorizzazione al trattamento dei dati si sia svolto in conformità alle regole imposte dalla legge”51.
Altresì, vi sono dei casi in cui si può procedere al trattamento dei dati senza il consenso dell’interessato e tali situazioni sono enunciate dall’art.24 del Codice. Ad esempio il consenso non è richiesto quando il trattamento è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, o nel caso in cui è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo.
Dunque, il Codice sancisce che il consenso validamente prestato deve essere informato, libero, espresso, specifico e con forma determinata. “Al di là dei trattamenti eseguibili pur in assenza di consenso dell’interessato e di quelli attuabili soltanto dopo il conseguimento non solo del consenso scritto ma anche dell’autorizzazione del Garante, la regola di cui all’art.23 del d.lgs 30 giugno 2003 n.196 acquista il ruolo di strumento giuridico di composizione del conflitto tra autodeterminazione della propria personalità e libertà informativa in un’ottica che tende a privilegiare la partecipazione dell’interessato alla vicenda circolatoria dei suoi dati personali”52
.
L’art.23 sancisce la necessità di ottenere uno specifico consenso dell’interessato per poter effettuare un trattamento dei dati. Tale necessità è connessa alla completa consapevolezza del soggetto interessato circa il fatto che i propri dati potranno essere adoperati per ricavarne un profilo a lui corrispondente. A tal fine, l’attività di profilazione necessita l’acquisizione del consenso specifico dell’interessato e distinto, preceduto dal rilascio di un’adeguata informativa e dall’assunzione di adeguate misure ed accortezze.
Si può dire, che il Garante nelle sue decisioni mira sempre a realizzare una concreta attuazione del generale principio del consenso del titolare dei dati. In particolare, il
50
Buttarelli G., Banche dati e tutela della riservatezza: la privacy nella Società dell’informazione, Milano, Giuffrè Editore, 1997, pag. 283.
51 Fici A., Pellecchia E., Il consenso al trattamento, in R. Pardolesi, Diritto della riservatezza e
circolazione dei dati personali, Giuffrè Editore, Milano, 2003, pag. 526.
52
27 trattamento è autorizzato solamente se si verifichi che sia stata offerta all’interessato l’effettiva possibilità di maturare la consapevolezza del fatto che la profilazione sarà un momento di ulteriore elaborazione dati, peculiare e distinto rispetto alla raccolta. Dall’esame dei provvedimenti si possono trarre degli orientamenti sui quali il Garante sembra improntare la sua concezione di liceità della profilazione53. Quindi, seppur questa sia un’attività molto rischiosa in grado di compromettere la privacy, se svolta seguendo alcuni rigorosi parametri che garantiscano il pieno consenso e la libertà di scelta dell’interessato, essa può essere ritenuta legittima.
3.2 Provvedimenti generali
Sono molteplici le strategie di fidelizzazione utilizzate nel settore della grande distribuzione, tra queste un ruolo fondamentale è svolto dall’uso delle carte fedeltà, che generalmente consentono al consumatore finale di usufruire di premi e bonus dopo aver raggiunto un certo volume di spesa.
Di certo il fenomeno dei programmi di fidelizzazione non è un fatto nuovo, né limitato geograficamente, tant’è che già “verso la fine degli anni ’80 le grandi catene di distribuzione americane introdussero le c.d. plastic cards, con il fine di eliminare la laboriosa gestione ed i rischi di frode legati ai buoni sconto cartacei; tuttavia, almeno in quel sistema, la possibilità di provvedere all’analisi delle abitudini dei consumatori non era di fatto contemplata”54
.
In Italia la prima carta fedeltà ad ampia diffusione fu introdotta nel 1992 ad opera di Alitalia, denominandola “Carta Millemiglia”. Il fine di tale carta era quello di vincolare il viaggiatore all’uso dei servizi offerti dalla compagnia mediante l’assegnazione di un punteggio, connesso al numero di voli effettuati; al raggiungimento di un certo punteggio si poteva godere di un viaggio omaggio. “Da allora la grande distribuzione, considerando i vantaggi connessi al rilascio di carte fedeltà che da un lato vincolano il cliente a servirsi sempre di un determinato fornitore di beni e servizi e dall’altro
53 De Meo R., Autoderminazione e consenso nella profilazione dei dati personali, cit., pag. 593.
54 In tal senso Lugli G., Ziliani C., Dalle carte fedeltà ad Internet: l’evoluzione del micromarketing, in
