«Le straordinarie potenzialità delle nuove tecnologie esigono uno statuto di regole capace di restituire alla persona quella centralità altrimenti negata dall’economia digitale, fondata sullo sfruttamento dei dati»[1]. Così Antonello Soro, Presidente del Garante per la protezione dei dati personali, punta il dito contro il nuovo capitalismo estrattivo che si nutre dei frammenti dell’identità personale, ivi inclusa la sua proiezione digitale che ormai costituisce una rappresentazione di primo piano del proprio io.
Da quando il marketing gravita nell’orbita dei Big data, le pratiche di advertising si fanno giorno dopo giorno più intelligenti, manifestando sempre più di conoscere molto di noi. In nome della tempestività, della redditività e della competitività, le imprese assumono le vesti di Sherlock Holmes per ripercorrere le impronte digitali lasciate dagli utenti nel corso della navigazione nello spazio virtuale.
Al fine di bilanciare la corsa inarrestabile dello sviluppo tecnologico con tecniche di profilazione sempre più puntuali e analitiche da un lato, con la tutela imprescindibile dei diritti e delle libertà fondamentali della persona dall’altro, il legislatore europeo ha aggiornato la disciplina in materia di protezione dei dati personali restituendo un quadro normativo più solido e coerente quanto ambizioso, rigoroso e dinamico, in vigore dal 25 maggio 2018[2].
Con l’obiettivo di creare un clima di fiducia attorno allo spazio virtuale della Rete e favorirne la crescita economica, il legislatore europeo per la prima volta ha conferito attenzione normativa alle attività di profilazione, le quali devono essere ispirate alla trasparenza affinché l’interessato possa manifestare in modo assolutamente consapevole il proprio consenso al trattamento dei dati personali, senza l’ostacolo di asimmetrie informative che lo rendano vuoto di effettivo significato[3]. La mancanza di trasparenza nell’informativa è costata a Google una maxi sanzione da 50 milioni di euro, comminata a inizio 2019 dall’Autorità francese, dal momento in cui il linguaggio utilizzato rispetto l’attività di profilazione, finalizzata alla personalizzazione degli annunci pubblicitari (behavioral advertising), era eccessivamente vago e generico e le informazioni disseminate in una molteplicità di documenti diversi, secondo un’architettura informativa che rende costoso il reperimento di informazioni.[4]. L’assenza di accessibilità, chiarezza e intelligibilità nelle informazioni fornite da Big G non mette l’utente nelle condizioni di comprendere appieno l’estensione del trattamento e la sua intrusività, così come le relative conseguenze.
Inoltre, il trattamento dei dati personali alla base della profilazione non deve essere assimilato al trattamento dei dati funzionale alle attività di marketing. Trattandosi di due attività distinte, ognuna con le proprie finalità, richiedono un consenso differenziato, specifico e indipendente l’una dall’altra[5]. Una pratica illecita, quella di predisporre un’unica casellina di spunta tanto per le finalità di profilazione quanto per le finalità di marketing, che non è esente da sanzione, come ha dimostrato il caso Avis Budget, la quale ha dovuto pagare la somma di 60.000 euro stabilita dall’Autorità italiana[6]. Infatti, in calce al contratto di autonoleggio, Avis Budget, compagnia leader nel proprio settore, adottava una formula unica di acquisizione del consenso, inclusiva sia delle attività di invio di materiale pubblicitario sia delle attività di analisi della soddisfazione della clientela e delle abitudini di consumo, scontrandosi così con la specificità e la granularità del consenso prescritte dalla normativa.
Il fine ultimo del nuovo Regolamento, ovvero la protezione dei dati personali, si compie anche attraverso il pieno riconoscimento del potere di controllo sui propri dati, il quale si estende dal diritto di accesso al diritto di opposizione, diritto incondizionato nello specifico della profilazione finalizzata al marketing[7]. È proprio il caso del lasciapassare conferito dall’Autorità italiana al progetto Sky di personalizzazione degli spot TV, AdSmart, il quale altro non è che l’applicazione al mezzo televisivo dei sistemi di pianificazione tipici del web. AdSmart prevede espressamente a livello di informativa la possibilità per l’interessato di opporsi in qualunque momento al trattamento di profilazione che risulta poi nella differenziazione degli annunci pubblicitari televisivi[8]. Per di più, inserendosi in linea di continuità con il principio di privacy by design raccomandato dal nuovo Regolamento, Sky realizza attività di profilazione esclusivamente a livello aggregato con dati personali che hanno subito prima un processo di pseudonimizzazione e successivamente un processo di anonimizzazione irreversibile che rende impossibile risalire ai singoli abbonati[9]. Facendo leva, ad esempio, sul parametro geografico, è quindi possibili differenziare le campagne pubblicitarie TV nel settore automobilistico, dal momento in cui da Nord a Sud vengono venduti modelli d’auto diversi, così come nel settore della grande distribuzione organizzata, in cui le catene conoscono una diffusione capillare in zone geografiche dello Stivale circoscritte. A fronte delle adeguate garanzie poste a tutela dei diritti e delle libertà fondamentali degli interessati, l’Autorità ha autorizzato il progetto presentato da Sky, AdSmart.
Tra le innovazioni di maggior rilievo introdotte dal GDPR vi è il nuovo approccio al rischio incentrato sulla responsabilizzazione del titolare del trattamento[10]. La sicurezza delle attività di profilazione acquisisce così un carattere dinamico e relazionale. Quanto al periodo di conservazione dei dati oggetto di profilazione, ad esempio, questo non viene più impartito dall’alto dell’Autorità ma stabilito dallo stesso titolare del trattamento conformemente ai principi cardine della normativa e alle peculiarità del settore in cui opera. In tal senso, possono rilevare, fungendo da guida, le valutazioni condotte dall’Autorità antecedentemente all’entrata in vigore del nuovo Regolamento. Alla luce delle specificità del settore del lusso, ad esempio, l’Autorità ha ritenuto opportuno e proporzionato riconoscere a Fendi, così come ad altri brand dell’alta moda italiana (Moncler, Loro Piana, Tod’s), un prolungamento dei tempi di conservazione dei dati di profilazione per un termine massimo di sette anni. Ecco quindi che a fronte di una frequenza media di acquisito che non supera i due articoli per cliente l’anno, l’Autorità ha conferito significatività alla profilazione nel settore del lusso[11].
Non si può parlare di profilazione senza parlare dei cookies, quei piccoli file di testo che depositati nel terminale dell’utente permettono di creare profili sui suoi gusti, le sue abitudini e i suoi interessi. Alla luce del nuovo Regolamento, i cookies possono essere considerati in tutto e per tutto dati personali. Quindi non è più sufficiente che il consenso dell’utente sia libero, specifico e informato ma deve anche tradursi in una dichiarazione o azione positiva inequivocabile dell’utente. Pertanto un comportamento passivo, quale quello determinato dalla preselezione di una casella di spunta, fa cadere la validità del consenso[12]. Ad accendere il semaforo rosso è stata la sentenza della Corte di Giustizia europea il 1° ottobre 2019 in merito al caso Planet 49, società tedesca di giochi a premi online[13].
In conclusione, il GDPR ha portato certezza e unitarietà giuridica nel territorio europeo, delineando per la prima volta i contorni della profilazione, la cui disciplina dettagliata e specifica si interseca con elementi giuridici dinamici. Si tratta di una dinamicità ad oggi indispensabile per far fronte alla rapidità con cui avanza il progresso tecnologico e con esso quindi le tecniche di profilazione degli utenti. Resta poi da valutare negli anni a venire i risultati di una riforma normativa tanto ambiziosa, da rapportarsi anche ai movimenti in materia di tutela della privacy del contesto globale.
[1] NICOLAIS, M., Intervista a Antonello Soro – Difesa dal capitalismo che accumula dati, 17.05.2019, in www.garanteprivacy.it.
[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, in GUUE L 119 del 04.05.2016, p. 1, in www.eur-lex.europa.eu.
[3] Regolamento 2016/679, artt. 12, 13; Autorità Garante della Concorrenza e del Mercato, Autorità per le Garanzie nelle Comunicazioni, Garante per la protezione dei dati personali, Big data. Indagine conoscitiva congiunta. Linee guida e raccomandazioni di policy, 2019, in www.garanteprivacy.it.
[4] Commission Nationale de l’Informatique et des Libertés, Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC, in www.cnil.fr.
[5] Regolamento 2016/679, art. 4, par. 11, art. 6, par. 1, lett. a), consid. 32.
[6] Garante per la protezione dei dati personali, Provvedimento n. 34, Ordinanza ingiunzione nei confronti di Avis Budget Italia s.p.a., 25 gennaio 2018, in www.garanteprivacy.it, doc. web n. [8429624].
[7] Regolamento 2016/679, art. 21, par. 2; artt. 12-20.
[8] Garante per la protezione dei dati personali, Provvedimento n. 306, Invio di spot pubblicitari mirati. Verifica preliminare, 13 luglio 2016, in www.garanteprivacy.it, doc. web n. [5408313].
[9] Regolamento 2016/679, art. 4, par. 5, art. 25; Garante per la protezione dei dati personali, Provvedimento n. 306, Invio di spot pubblicitari mirati. Verifica preliminare, 13 luglio 2016, in www.garanteprivacy.it, doc. web n. [5408313].
[10] Regolamento 2016/679, art. 5, par. 2, art. 24.
[11] Garante per la protezione dei dati personali, Provvedimento n. 632, Verifica preliminare. Trattamento di dati personali diretto alla profilazione della clientela, 2 dicembre 2015, in www.garanteprivacy.it, doc. web n. [4642844].
[12] Regolamento 2016/679, art. 4, par. 11, consid. 32.
[13] Corte di giustizia dell’Unione europea, Sentenza nella causa C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV c. Planet49 GmbH, 1° ottobre 2019, in www.curia.europa.eu.
