Profilazione: con i nuovi rischi sta cambiando la percezione del valori dei propri dati personali?

La Società Digitale è ormai la realtà che ci circonda: siamo sempre più connessi, più interattivi, più condizionati da quanto avviene nella rete e che anche noi contribuiamo ad orientare con le nostre scelte, con le nostre navigazioni tra i siti, con i nostri post, con i nostri “like”.  

Oggi che siamo tutti profilati e soggetti alle Analytics che utilizzano algoritmi che interpretano il nostro profilo di preferenze e di comportamento per inserirci in categorie, finalmente gli utenti cominciamo ad avere sempre più perplessità, quasi un rigetto per la profilazione. La vera novità è che dopo un lunghissimo periodo in cui i social network hanno perpetrato uno sfruttamento intensivo per finalità di business della conoscenza delle abitudini, dei gusti, delle preferenze e perfino degli spostamenti degli utenti (e delle organizzazioni), nell’ultimo anno ci sono dei segnali di discontinuità rispetto al passato. Quali sono?

Per esempio negli Stati Uniti un’importante multinazionale come la Mattel si è vista costretta a ritirare il lancio di un prodotto innovativo come Aristotle, il primo assistente virtuale pensato per i piccoli di casa, a causa delle proteste e delle accuse di rischio di invasione della privacy dei bambini e di una profilazione inconsapevole dei minori e delle loro famiglie. Un’inversione di tendenza storica.

Altro esempio significativo è ciò che è avvenuto in Germania con l’Autorità Garante delle Telecomunicazioni che ha messo al bando Cayla, una bambola interattiva, perché questo giocattolo in realtà rappresentava un dispositivo in grado di registrare e trasmettere dati personali e conversazioni private in modo occulto, violando la locale legge nazionale sulle telecomunicazioni. Ma oltre a questo, poteva profilare le preferenze dei bambini e dei loro genitori (sul cibo, sui vestiti, sui cartoni animati, sui giocattoli, ecc.).

Ultimo esempio simpatico, infine, è rappresentato dalle esperienze quotidiane in cui riceviamo delle proposte commerciali di prodotti e servizi. Un collega mi ha chiesto: “Ma perché solo a me arrivano le proposte per l’acquisto di pannoloni per anziani? Vorrei conoscere dal vivo lo sviluppatore che ha scritto l’algoritmo di profilazione che mi ha inserito nella categoria anziani e, oltretutto, con problemi di incontinenza!” sostenendo implicitamente di essere ancora giovane. 

Insomma i consumatori sono sempre più insofferenti alla profilazione digitale, sia diretta, che indiretta.

Cos’è la profilazione? Come la possiamo definire?

La profilazione consiste nell’operazione di gestione, grazie a strumenti software automatici, di enormi masse di dati personali degli utenti e di applicazione di algoritmi che identificano e segmentano le identità reali delle persone in identità potenziali e astratte, a ciascuna delle quali si possono attribuire caratteristiche specifiche, gusti e preferenze e si associano, infine, previsioni di comportamento e preferenze di acquisto o di tendenza sociale.

L’effetto di questa attività è che ad un individuo verranno associate, in modo del tutto inconsapevole e senza il suo consenso, previsioni mirate che tratteggiano un’identità digitale magari completamente fuorviante rispetto alla realtà. Dati sensibili come quelli anagrafici, genetici, sanitari, comportamentali, insomma tutto lo scibile di un individuo potrebbe essere soggetto alla profilazione digitale, ingabbiando la sua identità.

E potrebbe capitare che un istituto di credito potrebbe arrivare o negare un prestito o l’incremento di un fido ad un interessato solo perché convinta della sua inaffidabilità, frutto di una profilazione errata.

Come minimizzare questi rischi? Quali difese si possono attivare?

Nel nostro ordinamento si può ricorrere alle disposizioni del Codice della Privacy, emanato con il Decreto legislativo 196 del 2003 e più volte aggiornato, completato dalle Linee guida in tema di profilazione riportate sulla Gazzetta Ufficiale del 6 maggio 2015.

La parte più interessante su questo tema è quella del consenso poiché si afferma che “Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell’utente.”

Quest’obbligo, quindi, si applica dunque alla profilazione per finalità promozionali comunque effettuata: sia quella sui dati relativi all’uso della posta elettronica, sia quella basata sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi ecc.), sia infine quella fondata sull’impiego di strumenti di identificazione diversi dai cookie (come il fingerprinting, che costruisce profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo).

Il consenso deve essere libero, acquisito prima del trattamento dati e chiaramente riferibile a trattamenti che perseguono finalità esplicite e determinate. Di tale consenso deve rimanere traccia scritta in forma digitale.

Cosa cambia con l’applicazione del GDPR (679/2016) dal maggio del 2018?

L’art. 9 del GDPR vieta il trattamento, e quindi anche la profilazione, di tutti i dati personali sensibili, ma contiene significative deroghe tra le quali il consenso esplicito dell’interessato, ragioni mediche e sanitarie, indagini statistiche, storiche e scientifiche.

Colui i cui dati vengono trattati ha vari diritti tra i quali l’accesso, la rettifica dei dati inesatti e la cancellazione (definita anche come diritto all’oblio). Quanto alla profilazione, se ne occupa l’art. 22, affermando in particolare il diritto dell’interessato di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

L’art. 35 introduce l’interessante e innovativo istituto della valutazione d’impatto (PIA). Esso si applica allorché una tipologia di trattamento dati fondata su nuove tecnologie crei un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il titolare del trattamento è tenuto a valutare l’impatto che questo può avere sulla protezione dei dati personali. Il rischio è presunto quando vengano in rilievo valutazioni sistematiche e globali di aspetti personali di persone fisiche, il trattamento su larga scala di dati sensibili, la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Lo scorso 3 ottobre 2017 il Gruppo consultivo ed indipendente istituito dall’art. 29 della direttiva 95/46 (meglio noto come Working Party 29), ha pubblicato delle linee guida sulla profilazione che meglio precisano come deve essere applicato il GDPR su questo tema e che fornisce delle raccomandazioni/best practise.

Conclusione

Non è solo il Data Breach (la violazione dei dati personali) che può comportare delle sanzioni gravi (fino al 2% o al 4% del fatturato annuo o fino a 10 o 20 milioni di euro) ed ancor più pesanti danni di immagine per le organizzazioni. Anche l’attività di profilazione, che è ampiamente utilizzata senza alcun consenso da parte degli interessati, rappresenta una vera e propria “mina vagante” all’interno degli asset aziendali, molto sottovalutata.

Occorre stoppare immediatamente queste attività nel caso fossero state avviate senza il rispetto delle informative e della raccolta del consenso. Se si desiderasse reimpostarle occorre riavviarle richiedendo il consenso in modo trasparente e manifestando le finalità esplicite per cui è richiesto il consenso.

Magari sapremmo per quale motivo ci vogliono vendere dei pannoloni anche se non soffriamo (ancora) di problemi d’incontinenza!

Francesco Speciale

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .