merciale nel provvedimento ‘Fidelity
card e Garanzie per i consumatori’ e
da ultimo con le sue Linee guida del
2015, dei principi di condotta per gli
operatori del mercato che offrono, in
particolare, servizi online al pubblico
avvalendosi di reti di comunicazione
elettronica.
Inoltre, in esito all’applicazione all’in-
terno dell’Unione Europea dei prin-
cipi formulati nella notissima sentenza
della Corte di Giustizia dell’Unione
Europea nel caso Google Spain (causa
C−131/12) e in seguito al parere del
Gruppo Europeo dei Garanti per la
Protezione dei Dati Personali del 23
settembre 2014, rientrano nell’ambito
di applicazione del citato provvedi-
mento del Garante del 2015 anche
gli operatori non stabiliti sul territo-
rio nazionale, da ritenere assoggettati
alle norme in materia di protezione
dei dati personali vigenti all’interno
dell’Unione, allorché ricorrano spe-
cifiche condizioni indicate dalle fonti
ricordate.
Le tre principali tipologie di tratta-
mento
Dalla analisi dei provvedimenti sopra
menzionati, si ricava con facilità, che da
un punto di vista applicativo, le ope-
razioni di profilazione che possono
essere effettuate sui dati personali
degli interessati possono essere ri-
condotte a tre principali tipologie di
trattamento:
·
quello automatizzato degli utenti
autenticati per l’utilizzo del servizio,
al fine di inoltrare messaggi di posta
elettronica;
·
l’incrocio dei dati personali, raccol-
ti per la fornitura del servizio, per
funzionalità diverse da quelle messe
a disposizione dell’utente;
·
l’utilizzo di altri dati di identificazione
– come ad esempio le credenziali di
accesso, l’autenticazione mediante
l’impronta digitale (fingerprinting) –
per ricondurre a soggetti determina-
ti, identificabili o identificati, azioni o
schemi di comportamento ricorrenti
nell’utilizzo delle funzionalità messe
a sua disposizione.
Sono esclusi dall’intervento delle Linee
guida i cookies, la cui disciplina speci-
fica è contenuta nel Provvedimento
dell’8 maggio 2014 n. 229.
I concetti chiave
Recependo gli orientamenti presen-
ti a livello comunitario (WP 2/2006,
10/2004 e 9/2014), le Linee guida del
2015 contengono alcuni concetti chia-
ve, al fine di fornire un quadro chia-
ro e omogeneo rispetto a queste ti-
pologie di trattamenti e le possibilità
di business ad essi collegati. I princi-
pali sono l’informativa e il consenso.
L’informativa, ai sensi dell’art.13 del
Codice Privacy, è lo strumento che
rende edotto l’interessato del tipo di
trattamenti che viene effettuato e di
come può opporvisi eventualmente
secondo l’art. 7 del suddetto Codice.
L’informativa deve essere accessibile
ed efficace. Per questo il Garante pre-
scrive che venga strutturata su un du-
plice livello; il primo immediatamente
accessibile, contenente le informazioni
generali più rilevanti e un secondo li-
vello – raggiungibile dal primo – dove
fornire specifiche sulle funzionalità of-
ferte e soprattutto sui trattamenti ad
esse collegati e i loro rischi. Già nel
primo step l’utente deve essere in gra-
do di conoscere: la qualifica di titolare,
gli eventuali responsabili, un indirizzo
presso cui esercitare in modo agevole
i propri diritti che sono, a titolo esem-
plificativo, la correzione, la modifica
o la cancellazione dei propri dati. Il
concetto di accessibilità deve essere
declinato, inoltre, sul versante infor-
matico al momento di sviluppo del
sito: la fruibilità deve essere garantita
su tutti i diversi dispositivi elettroni-
ci. La consapevolezza è propedeutica
all’espressione del consenso che deve
essere, non solo informato, ma anche
libero, preventivo, specifico, revocabile
ed espresso per iscritto. In questo sen-
so deve essere chiaro all’utente che un
trattamento automatizzato teso all’in-
vio di messaggi promozionali – finalità
diversa da quella connessa alla messa
a disposizione della funzionalità - deve
essere autorizzato in maniera specifica
e univoca. È necessario un consenso
specifico dell’interessato, altresì, per
l’incrocio di dati. Per questa ragione
l’informativa multistrato è prodromi-
ca all’esercizio dei diritti dell’utente
che deve essere in grado di valutare
e decidere che grado di pervasività
possono avere, nella propria sfera per-
sonale, i trattamenti di profilazione. In
sintesi, la politica di data retention non
può che tener conto del principio di
finalità espresso nell’articolo 11 del
Codice Privacy.
Meccanismi validi per tutti
Bisogna sottolineare come i meccani-
smi illustrati sono riferibili sia agli utenti
autenticati che non. I primi devono,
difatti, passare per una fase di registra-
zione e, quindi, essere preventivamente
messi nelle condizioni di conoscere i
trattamenti e le loro finalità. Per l’uten-
te autenticato le scelte espressa saran-
no poi valide per tutti i dispositivi che
utilizza (smartphone, pc, tablet...). Da
questo punto di vista, il Regolamento
europeo (UE) 2016/679 di prossima
operatività conferma un concetto qui
già presente: quello della privacy by
default. È necessaria un’analisi tecnica
preliminare che possa arginare i pos-
sibili rischi di una profilazione illecita
e adottare delle impostazioni del sito
che limitino l’utilizzo dei dati alle finalità
recepite nell’informativa, per cui l’in-
teressato ha fornito il suo consenso.
Ha contribuito la dottoressa
Erika Benedetti, legal consultant
NEL PROSSIMO NUMERO
Si individueranno, in modo ana-
litico, differenze ed elementi di
continuità con la previgente di-
sciplina applicabile, quali sono gli
adempimenti che devono essere
adottati, dal titolare del tratta-
mento, allorché siano svolte, ai
sensi del Regolamento Genera-
le in Materia di Protezione dei
Dati Personali (GDPR), opera-
zioni di profilazione per finali-
tà promozionali (marketing) o
commerciali.
IL PARERE DEL LEGALE
95
ottobre-novembre 2017