Nello specifico, Il processo di Data enrichment prevede il recupero e l’ottenimento di dati da numerose fonti per integrarli con quelli già disponibili. Le fonti dei dati possono essere database pubblicamente accessibili, liste scaricabili e riutilizzabili previa autorizzazione o dataset prodotti da istituti statistici nazionali o internazionali.
Naturalmente, i processi di Data enrichment comportano un trattamento di dati personali e, per questo motivo, le aziende devono necessariamente rispettare i principi imposti dalla normativa rilevante e le indicazioni delle Autorità Garanti per la protezione dei dati personali.
I fini della divulgazione di questi dati sono commerciali. Essi servono ad agenzie ed aziende per conoscere meglio i loro consumatori, per proporre loro contenuti che più di altri potrebbero attrarre e modificare ciò che non piace al pubblico in merito all’operato dell’azienda.
Si tratta di un procedimento assolutamente legale che però deve essere seguito in maniera trasparente e coerente con i meri fini commerciali. Deve permettere potenzialmente di individuare l’interessato “target”, anche senza che questo fornisca dati identificativi. Il processo di arricchimento presenta, pertanto, specifici rischi per i diritti e le libertà fondamentali degli interessati.
È necessario per questo condurre una valutazione d’impatto e, qualora essa indichi che il trattamento presenta un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, procedere alla consultazione preventiva del Garante.
Nell’ambito del processo di arricchimento dei dati, che si inserisce nel contesto dell’attività di profilazione svolta dalle aziende, devono essere rispettate alcune misure ed in particolare quelle che ineriscono a:
- la tipologia e il livello di aggregazione dei dati utilizzati per la profilazione;
- la separazione fisica e logica dei sistemi dedicati alla profilazione rispetto agli altri sistemi aziendali;
- il mascheramento dei dati personali aggregati, utilizzati per l’attività di profilazione;
- le misure di autenticazione e autorizzazione del personale addetto all’attività di profilazione;
- il periodo di conservazione dei dati.
L’International Commissioner Office (“ICO”), nella propria indagine sulla conformità alla protezione dei dati nel settore dell’intermediazione di dati di marketing diretto, ricomprende le attività di Data enrichment all’interno dei possibili servizi forniti dai data broker per finalità di marketing diretto.
Tali attività comportano un doppio regime di responsabilità: i broker di dati hanno la responsabilità di garantire che il loro trattamento dei dati personali sia conforme alla legge, mentre coloro che sono loro clienti e utilizzano i loro servizi di brokeraggio di dati devono rispettare alcuni principi e dettami per trattare tali informazioni in compliance alla normativa applicabile in materia di protezione dei dati personali.
Nel rispetto del principio di trasparenza, è necessario fornire agli interessati tutte le informazioni con riguardo al trattamento dei loro dati e alle finalità per le quali essi saranno utilizzati.
(G.S)
