GDPR e Marketing: la profilazione

04 novembre 2020
Tempo di lettura stimato: 5'
Quando si parla di profilazione, la prima cosa che di solito ci viene in mente è la profilazione online: cookie, social, app. Perché la maggior parte dei casi di profilazione automatizzata avviene sui siti web – attraverso i cookie di profilazione di terze parti, nelle App – pensiamo alla geolocalizzazione – e sui Social, con le tecniche di retargeting. 
Ma non riguarda solo l’online. Anche nelle attività di marketing tradizionale può esserci profilazione. Per esempio, possiamo raccogliere e poi profilare dati personali usando un semplice modulo cartaceo.
Quindi è importante capire cos’è la profilazione e cosa deve fare chi decide di usarla per le attività di marketing. 


Cos’è la profilazione?

Per capire cos’è la profilazione, partiamo da due definizioni. Una è quella dell’articolo 4, punto 4, del GDPR, l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.
  • La definizione del GDPR
L’articolo 4 del Regolamento, al punto 4, dà una definizione generica e che considera solo il trattamento automatizzato dei dati, quindi non comprende i trattamenti manuali, cioè l’intervento di una persona in carne ed ossa nell’attività di profilazione. 
L’articolo 4 ci dice che la profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti. 
Quindi è una definizione che non tocca solo il marketing, ma anche la profilazione nell’ambito dell’HR, del recruiting, nell’ambito finanziario – quando, ad esempio, facciamo analisi e previsioni sulla situazione economica di una persona fisica – e l’ambito sanitario. Se parliamo di marketing, i dati raccolti e usati per la profilazione sono quelli sulle preferenze personali e sugli interessi di una persona, sui suoi comportamenti ed i suoi gusti. 
  • La definizione delle linee guida dell’Autorità Garante
Secondo questa definizione, la profilazione può essere di tre tipi:
1 – Profilazione generale, che corrisponde alla definizione data nel GDPR e che abbiamo appena visto.
2 - Profilazione come fondamento di un processo decisionale automatizzato, ma che non è unicamente automatizzato. È la situazione in cui il profilo viene creato utilizzando mezzi automatizzati, ma poi una persona prende le risultanze e le valuta. 
Facciamo un esempio, slegato dal marketing, ma utile per capire cosa si intende:
Peppino va in banca a chiedere un prestito. L’addetto dell’istituto di credito controlla il gestionale dove un algoritmo stila un profilo sulla base delle informazioni a disposizione. 
Se Peppino ha un profilo di rischio alto, l’addetto della banca decide che è meglio non concedere il prestito. Se ha un profilo di rischio basso, glielo concede.
3 – Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato. Qui non c’è alcun intervento umano. È l’algoritmo che decide. 
Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.

Attenzione - Questo tipo di trattamento è vietato! C’è scritto nell’articolo 22 del GDPR che dice: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 
Un’altra cosa che andrebbe evitata è la profilazione dei minori. Anche se non c’è uno specifico divieto, per le attività di marketing però è bene non profilare chi ha meno di 18 anni. 
Poniamo che tu decida di fare profilazione per le tue attività di marketing. Cosa devi fare?


Cosa deve fare chi fa profilazione per le sue attività di marketing

Se decidi di fare profilazione, per prima cosa devi dirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono. 
Occhio alla minimizzazione dei dati.
Di solito, chi fa marketing ha bisogno di raccogliere più dati possibili, ma nella profilazione il trattamento deve essere minimizzato. Se non sei in grado di minimizzare i dati che raccogli, allora usa dati aggregati e anonimi per fare la profilazione. 
Importante: devi chiedere il consenso! 
Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.
Facciamo un esempio semplice e comunissimo: se la Peppino srl ha la newsletter, il consenso alla newsletter deve essere distinto da quello del modulo di contatto. Sono due finalità diverse. Lo stesso vale per la profilazione.
Poi c’è la conservazione dei dati. Per quanto tempo puoi tenere i dati profilati?
La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.
Bene. Ma quali sono i diritti di chi lascia i propri dati per la profilazione?


I diritti degli interessati nella profilazione

Primo fra tutti, è il diritto di opposizione, che nell’ambito del marketing non può essere mai negato. Se Peppino non vuole che i suoi dati vengano usati per finalità di marketing e profilazione, non possiamo usarli. Punto. 
Gli altri diritti sono:
  • Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati. 
  • Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti. 
  • Diritto alla rettifica e alla cancellazione - L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.

Attenzione alle discriminazioni

La profilazione ha un rischio, soprattutto se il processo decisionale è automatizzato o completamente automatizzato, perché può incidere in modo rilevante sulla persona fisica: discriminarla o escluderla. È l’esempio che abbiamo già fatto: Peppino non riceve un prestito perché l’algoritmo dice che non ha il profilo adatto. 
E nel marketing? 
Una campagna di retargeting può incidere significativamente su una persona se, per esempio, sfruttiamo le sue debolezze. E questa è una tecnica vietata dall’articolo 22.  
Per esempio, se Antonio ha perso il lavoro e la Peppino srl - che ha come core business il gioco d’azzardo - gli invia delle newsletter che fanno leva sulla mancanza di denaro e sulla possibilità di ottenere soldi facili, la Peppino srl sta sfruttando una debolezza di Antonio. 
Ma non lo può fare, per legge.

Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy