Con provvedimento del 19 marzo 2015, pubblicato in Gazzetta Ufficiale il 6 maggio 2015, l’Autorità Garante per la protezione dei dati personali ha emanato le “Linee guida in materia di trattamento di dati personali per profilazione on line”[1], intervenendo, al fine di arginarlo, su un fenomeno che sta ormai dilagando e che rappresenta una delle principali attività – spesso, all’insaputa degli utenti – degli operatori che offrono servizi in rete.
Per profilazione si intende l’analisi e l’elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo.
L’importanza di una simile attività, a fini commerciali, è facilmente intuibile: essa è strumentale sia alla messa a disposizione di servizi sempre più mirati e conformati sulle specifiche esigenze dell’utente, sia alla fornitura di pubblicità personalizzata, che, perciò, abbia un grado di probabilità di successo (ma, al tempo stesso, anche un livello di pervasività) molto più elevati rispetto a messaggi promozionali generici, sia all’analisi e monitoraggio dei comportamenti dei visitatori dei siti web, sia allo sfruttamento commerciale dei profili ottenuti, i quali possono avere un significativo valore di mercato in ragione della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi.
Altrettanto intuitiva è la considerazione che, tra gli operatori, quelli che sono in grado di raggiungere i risultati migliori, sia dal punto di vista numerico, sia per quanto riguarda la precisione dei profili, sono quelli che trattano una quantità considerevole di dati, riferiti ad un numero elevato di utenti.
Ciò detto, occorre svolgere una breve premessa circa l’ambito di applicabilità delle linee guida emanate dal Garante, con le quali si è inteso dettare regole di condotta uniformi per i fornitori di servizi on line, richiamandoli ad un puntuale rispetto delle disposizioni di legge in materia di trattamento dei dati.
In particolare, oltre a ricordare la piena applicabilità del quadro normativo in materia di protezione dei dati personali, sia europeo sia nazionale, ai fornitori di servizi stabiliti su territorio nazionale – in virtù della diretta applicabilità del principio di stabilimento di cui agli artt. 4 della direttiva 95/46/CE, nonché 5, comma 1, del D.Lgs. n. 196/2003 (Codice Privacy)[2] – è lo stesso Garante a segnalare come al pieno rispetto degli obblighi derivanti dalla menzionata disciplina non possano sottrarsi i soggetti anche non stabiliti su territorio nazionale, in virtù delle più recenti tendenze interpretative espresse dalla Corte di Giustizia dell’Unione europea[3].
Si pensi, ad esempio, alla nota sentenza Google Spain SL, Google Inc. vs Agencia Española de Protección de Datos, Mario Costeja González (causa C−131/12) del 13.5.2014, con cui la CGE ha osservato che Google Spain costituisce una filiale di Google Inc. nel territorio spagnolo e, pertanto, uno “stabilimento” ai sensi della Direttiva 95/46/CE, argomentando che il trattamento può dirsi effettuato “nel contesto delle attività” di tale stabilimento, ai sensi della Direttiva – anche se in questo non si svolge l’attività di motore di ricerca, gestita da Google Inc. – qualora esso sia destinato ad assicurare, nello Stato membro in questione, la promozione e la vendita degli spazi pubblicitari proposti sul motore di ricerca, al fine di rendere redditizio il servizio offerto da quest’ultimo.
Operata tale premessa, si possono quindi esaminare le prescrizioni contenute nel provvedimento del Garante.
Esso, come accennato, si rivolge al trattamento di dati trattati con l’ausilio di strumenti elettronici, volto a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti[4].
Tale trattamento, ai sensi della normativa vigente, necessita di:
– notificazione al Garante (art. 37, lett. d), Codice Privacy);
– informativa specifica (si veda anche il provvedimento del Garante “Profilazione della clientela di alberghi”, del 9.3.2006);
– consenso separato e specifico (si veda anche il provvedimento del Garante “Marketing: necessario il consenso per l’invio di comunicazioni promozionali via email”, dell’8.4.2010).
In particolare, il Garante chiarisce che i fornitori di servizi su internet dovranno dare agli utenti informazioni chiare e complete e garantire la tutela dei dati sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (per esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line[5].
Gli operatori devono fornire un’informativa sul trattamento dei dati chiara, completa, esaustiva e resa ben visibile già dalla prima pagina del sito, essendo altresì necessario che, a fronte di eventuali aggiornamenti o modifiche, gli interessati siano posti nella condizione di comprendere e valutare i cambiamenti apportati, anche mediante raffronto tra le diverse versioni dell’informativa eventualmente susseguitesi nel tempo.
È opportuno che l’informativa sia strutturata su più livelli: un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio, l’indicazione dei trattamenti e dei dati oggetto di trattamento)[6]; un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti, quali “l’informativa relativa alle specifiche funzionalità, ovvero diversi esempi per chiarire le modalità del trattamento delle informazioni personali”. In questo secondo livello, precisa il Garante, potrebbero anche essere archiviate “le eventuali precedenti versioni dell’informativa, ancorché non più in vigore, l’indicazione dei rischi specifici che possono derivare per gli interessati dall’utilizzo dei servizi (ad esempio in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione etc.) e tutte le altre indicazioni di dettaglio idonee a consentire il più efficace esercizio dei diritti riconosciuti agli utenti”.
Qualunque attività di profilazione (diversa da quelle necessarie per la fornitura del servizio, come, per esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali) potrà essere effettuata esclusivamente con il consenso informato dell’utente, in applicazione del principio generale di cui all’art. 23 del Codice Privacy[7] e della norma, specifica, di cui al successivo art. 122, secondo la quale “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio“.
Sarà importante distinguere, quindi, le attività di profilazione[8], per le quali sarà sempre necessario il consenso, da quelle finalizzate esclusivamente a consentire la fornitura del servizio dal punto di vista strettamente tecnico, o necessarie al fine di adempiere a quanto contrattualmente richiesto dall’utente[9].
Particolare attenzione è stata posta, quindi, con riferimento alle attività di profilazione realizzate tramite utilizzo di identificatori diversi dai cookie.
Il Garante si sofferma sulle tecniche di identificazione basate sul trattamento di informazioni o parti di informazioni (che non sono o non sono ancora dati personali ma che, poste in associazione tra loro, ovvero con altre informazioni, possono diventarlo), che hanno l’obiettivo di pervenire all’identificazione inequivoca del terminale (cd. single out) e, per il suo tramite, anche del profilo di uno o più utilizzatori di quel dispositivo.
Precisa il Garante che tale tecnica, denominata fingerprinting, utilizzata per il conseguimento delle medesime finalità di profilazione, risulta anch’essa disciplinata, al pari dell’impiego dei cookie, dall’art. 122 del Codice Privacy; con ogni riflesso in ordine all’obbligo di acquisizione del consenso preventivo dell’interessato, tranne i casi di esenzione previsti (nella specie, trasmissione di una comunicazione su una rete di comunicazione elettronica o erogazione del servizio su richiesta dell’utente).
La sola differenza apprezzabile tra l’impiego dei cookie e del fingerprinting, continua l’Autorità, “consiste nel fatto che mentre nel primo caso l’utente che non intenda essere profilato, oltre alle tutele di carattere giuridico connesse all’esercizio del diritto di opposizione, ha anche la possibilità pragmatica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo, con riguardo al fingerprinting il solo strumento nella sua disponibilità consiste nella possibilità di rivolgere una specifica richiesta al titolare, confidando che essa venga accolta. Ciò in quanto il fingerprinting non risiede nel terminale dell’utente, bensì presso i sistemi del provider, ai quali l’interessato non ha, ovviamente, alcun accesso libero e diretto”.
In definitiva, affinché i trattamenti di dati effettuati per finalità di profilazione, anche realizzata con diverse modalità, soddisfino i requisiti degli artt. 23, 24 e 122 del Codice Privacy, è necessario il consenso dell’interessato.
Consenso che dovrà naturalmente essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto e la sua espressione deve costituire una inequivoca manifestazione di volontà da parte dell’interessato.
Esso, tuttavia, potrà essere espresso anche con modalità semplificate, in considerazione della particolarità delle attività esaminate, purché, in ogni caso, sia data agli utenti la possibilità di scegliere in modo attivo e consapevole se acconsentire alla profilazione e sia sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo, dovrà essere predisposto un link, sempre ben visibile.
Gli operatori, infine, devono poi definire tempi certi di conservazione dei dati (data retention), proporzionati alle specifiche finalità perseguite, in conformità al principio di finalità di cui all’art. 11 del Codice Privacy.
Avv. Flaviano Sanzari
© Riproduzione Riservata
[1] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3881513
[2] A norma del quale, “Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato”.
[3] Ed in attesa dell’approvazione della proposta di Regolamento generale sulla protezione dei dati personali (presentata dalla Commissione UE il 25 gennaio 2012 e approvata in prima lettura dal Parlamento Europeo il 12 marzo 2014), che andrà a sostituire l’attuale Direttiva 95/46/CE, uniformando su tutto il territorio dell’UE la normativa – oggi frammentata – in tema di privacy. Essa, in particolare, prevede, all’art. 3, comma secondo, che “Il presente regolamento si applica al trattamento dei dati personali di interessati nell’Unione effettuato da un responsabile del trattamento o da un incaricato del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato ; oppure b) il controllo di tali interessati”.
[4] Si tratta, precisa il Garante, di una vasta gamma di funzionalità, che possono “variare dal motore di ricerca sul web alla posta elettronica, dalle mappe on line alla commercializzazione di spazi pubblicitari, dai social network alla gestione di pagamenti on line, dai negozi virtuali per l’acquisto di applicazioni, musica, film, libri e riviste, alla ricerca, visualizzazione e diffusione di filmati, da servizi di immagazzinamento, condivisione e revisione di testi, a software per la visualizzazione di immagini o per la gestione di agende e calendari, da funzionalità per il controllo e la gestione dei profili dell’utente, all’immagazzinamento (servizi cloud/storage), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web e così via”.
[5] Le regole che determinano l’efficacia e la correttezza dell’informativa resa all’utente, peraltro, “devono applicarsi in modo identico per ciascun tipo di terminale (mobile, tablet, desktop computer, dispositivi portatili e TV plug-in) e per ogni applicazione resa disponibile agli utenti”.
[6] In questo primo livello, secondo il Garante, “è inoltre necessario sia riportata almeno l’indicazione della finalità di profilazione perseguita, a seconda dei casi, attraverso le diverse modalità utilizzate dal titolare.
In linea con l’indicazione della menzionata finalità di profilazione e delle modalità attraverso cui il titolare la persegue, il primo livello dovrà inoltre indicare dettagliatamente le modalità di acquisizione del consenso al trattamento, ove necessario”.
[7] “Il trattamento di dati personali da parte di privati … è ammesso solo con il consenso espresso dell’interessato“; inoltre tale consenso è valido solo “se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13“. Il successivo art. 24 disciplina, poi, una serie di presupposti considerati equipollenti al consenso, al ricorrere dei quali il trattamento può essere pertanto effettuato anche in assenza di esso. Tra questi, a titolo esemplificativo, l’adempimento di obblighi di legge, l’esecuzione di obblighi contrattuali, il perseguimento di un legittimo interesse del titolare o di un terzo destinatario dei dati etc.
[8] Ivi comprese “le operazioni di trattamento tese alla profilazione dell’utente realizzate anche attraverso l’incrocio di dati raccolti in relazione a funzionalità diverse”.
[9] Per quanto riguarda, ad esempio, l’attività di fornitura del servizio di posta elettronica per l’inoltro e la ricezione di messaggi, i fornitori di tale funzionalità effettuano attività di trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati che utilizzano il servizio; e ciò per il conseguimento di diverse finalità. Alcune di esse, anche di carattere strettamente tecnico, sono direttamente riconducibili alla fornitura del servizio in questione secondo specifiche modalità, quali ad esempio l’impiego di filtri antispam, la rilevazione di virus, la possibilità, garantita all’utente, di effettuare ricerche testuali, utilizzare il controllo ortografico, far ricorso all’inoltro selettivo di messaggi o di risposte automatiche in caso di assenza, gestire le preferenze e la creazione di regole per l’assegnazione del messaggio a cartelle determinate in base al suo contenuto, fare uso di flag per marcare messaggi segnati da carattere di urgenza, consentire la lettura vocale dei messaggi per soggetti non vedenti, la conversione delle e-mail in entrata in messaggi di testo per telefoni cellulari etc.
In questo caso, precisa il Garante, “il trattamento dei dati degli interessati per le richiamate finalità – effettuato verosimilmente in modo automatizzato e dunque senza alcun intervento umano – come pure per salvaguardare la sicurezza dei servizi offerti all’utente, è, ai sensi delle direttive 95/46/CE e 2002/58/CE prima, e del Codice poi, sottratto all’obbligo della preventiva acquisizione del consenso, dal momento che rientra nell’ipotesi di deroga che attiene l’esecuzione di obblighi derivanti dal contratto di fornitura del servizio di posta elettronica”.