Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Accountability e profilazione dei soggetti interessati, procedure e regole per il settore B2C

La profilazione di persone fisiche è un business importante nel settore B2C e deriva dall’analisi di dati riservati e relativi ai soggetti interessati. Alla luce del GDPR occorre conformità attraverso la dimostrazione di precisa accountability, per trarre vantaggio dei dati raccolti ed evitare il rischio di sanzioni

01 Lug 2019
B
Alessio Bottarelli

Senior Advisor Privacy Officer e Consulente della Privacy Certificato TÜV Italia S.r.l.


Le imprese presenti in ogni settore hanno l’importante necessità di poter valutare, ma soprattutto prevedere, ogni forma di acquisti da parte dei loro clienti e al contempo, con la piena applicabilità del GDPR, devono anche effettuare un attento bilanciamento tra accountability e profilazione dei soggetti per non incappare in una violazione dei loro dati personali.

Ciò in modo di poter ottimizzare gli acquisti di materie prime diversificabili in base a diverse necessità di produzione, per ottimizzare i tempi e le modalità di produzione o erogazione di servizi, e ovviamente per aumentare i profitti migliorando le offerte ai clienti per gli abituali prodotti/servizi se non per indurli verso nuovi orientamenti di consumi più redditizi per le imprese.

Nel settore B2B questo consiste in un’analisi degli ordini di acquisto gestiti tra aziende venditrici ed acquirenti, ma nel settore B2C i clienti sono persone fisiche da cui poter trarre una serie di informazioni molto importanti per il budget delle aziende venditrici di prodotti/servizi. Occorre dunque fare attenzione, alla luce del GDPR.

Raccolta e trattamento dei dati nel settore B2C

Questo tipo di aziende hanno necessità di poter raccogliere ed analizzare i dati relativi alle risposte delle proposte effettuate ai clienti, i loro interessamenti, le loro scelte, e non si tratta solo di un’analisi dello storico di ordini.

Questo ragionamento comporta che si concretizzi un trattamento di dati (ex art. 4 punto 2 GDPR 2016/679) di persone fisiche (ossia soggetti interessati ex art. 4 punto 1 GDPR 2016/679), e che tale trattamento rientra nella definizione di profilazione, da cui deriva una necessaria conformità con il Regolamento UE GDPR 2016/679 da parte di aziende che rientrano quindi nella definizione di titolari del trattamento (ex art. 4 punto 7 GDPR 2016/679).

La profilazione consiste in qualsiasi forma di trattamento automatizzato di dati personali, e che risulta necessaria per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica (ex art. 4 punto 4 GDPR 2016/679, Considerando 24 GDPR 2016/679).

Un’azienda con forti attività di Pull Marketing potrebbe trarre quindi un forte interesse nel raccogliere ed analizzare le preferenze dei consumatori finali, i loro interessi, le loro ubicazioni o altre tipologie di dati che possono comportare un rilevante vantaggio produttivo o di erogazione di servizi, ed è per questo motivo che si manifesta da parte delle maggiori imprese nazionali ed internazionali che presentano frequenti iniziative di Pull Marketing.

Ma la profilazione in Italia non deriva unicamente dal GDPR 2016/679, in quanto l’Autorità nazionale Garante per la protezione dei dati personali aveva già provveduto a darne regolamentazione in passato con provvedimenti generali e specifici con valore nazionale, e richiedendone la conformità da parte dei titolari del trattamento che nutrivano la forte necessità di profilare i clienti consolidati ed i prospect.

Questo era già avvenuto con il provvedimento n. 242 del 15 maggio 2013[1], con le linee guida del 04/07/2013[2], nonché con il provvedimento n. 229 del 08/05/2014 [3] relativo al consenso per l’uso di cookie ed i relativi chiarimenti di attuazione pubblicati il 05/06/2015[4].

Le disposizioni del GDPR 2016/679 al riguardo non hanno quindi introdotto delle nuove necessità di conformità da attuare all’interno di iniziative di marketing nel settore B2C, ma anzi ne hanno fornito maggiori chiarimenti e ne hanno ribadito la necessità di conformità normativa.

Gli strumenti di Pull Marketing

I principali strumenti di Pull Marketing possono consistere nell’organizzazione di specifici eventi, o nel riconoscimento di specifici sconti o omaggi per consumatori; ma se si vogliono trarre risultati significativi bisogna essere certi dell’interesse manifestato da parte dei clienti consolidati o dei prospect già al momento della principale fase di raccolta di loro dati, ossia durante l’iscrizione a servizi forniti dai titolari del trattamento.

Attraverso un sistema automatizzato si può quindi ottimizzare l’analisi dei dati raccolti, al fine di valutarne gli elementi e per ripetere l’iter durante ogni relazione con i soggetti interessati e conseguente raccolta di loro dati.

In questo modo si possono produrre analisi di loro comportamenti, di loro scelte o loro gusti di preferenza, al fine di poter presentare degli strumenti di Pull Marketing molto diretti e personalizzati, diversificati per ogni tipo di cliente, che comportano un sicuro interessamento da parte del singolo soggetto interessato ricevente.

Ma per fare questo, il soggetto interessato deve accettare di essere oggetto di analisi molto approfondita nei rapporti con il titolare del trattamento, evitando ogni filtro di riservatezza nei rapporti tra le parti.

L’invio di particolari promozioni di prodotti ai soggetti profilati è raggiungibile attraverso l’analisi di ogni forma di consumo in azienda ad esempio, così come l’invito ad eventi aziendali relativi a particolari categorie di servizi può avere degli effetti importanti per i titolari del trattamento se può analizzare anche interessi personali dei soggetti interessati.

La normativa e il principio di accountability

Il GDPR 2016/679 attraverso l’art. 22 par.1 sembra imporre un divieto di profilazione dei dati di soggetti interessati ma, interpretando correttamente tale articolo, in realtà viene definito il diritto di rifiuto di tale trattamento, così come in linea con i provvedimenti nazionali sopra indicati.

I titolari del trattamento devono quindi procedere con l’applicazione del nuovo principio di accountability, ossia dimostrando la reale applicazione della conformità con GDPR 2016/679 presentando ai soggetti interessati innanzitutto una trasparente informativa ex art. 13 GDPR 2016/679.

Attraverso tale documento, il titolare del trattamento deve quindi presentare adeguata informazione al riguardo, che in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (ex art. 12 par.1 GDPR 2016/679) deve fornire al soggetto interessato gli elementi di valutazione del trattamento.

Da questo ne consegue che il soggetto interessato possa esprimere un suo libero consenso relativamente alla profilazione dei suoi dati, ai sensi di art. 7 par. 1 GDPR 2016/679 nonché Considerando 70 specifico per trattamenti nel settore marketing diretto, escludendo ogni forma di pre-impostazione di consenso in forma di default al momento di raccolta di dati, ed offrendo al soggetto interessato la possibilità di rimuovere il suo consenso (unscribe) fornito al momento di prima raccolta dati.

Tale consenso non può essere implicito, reso necessario o obbligatorio per effetto di accettazione delle condizioni di contratto, o “associato” ad un consenso relativo ad un’altra forma di servizio presentato nel documento informativo; deve quindi essere formalizzato un rapporto diretto tra il trattamento specifico (profilazione) e la derivante richiesta di consenso.

Un’altra necessaria forma di applicazione del principio di accountability coincide con la necessità di dimostrare l’applicazione di adeguate misure di sicurezza ed organizzative definite dall’art. 32 GDPR; ciò al fine di dare dimostrazione della continua valutazione ed applicazione della necessità di sicurezza in merito ai dati di profilazione raccolti sia a livello tecnico ed organizzativo, con rettifica di inesattezze dei dati, minimizzazione di errori, e valutazione di eventuali effetti discriminatori sui soggetti interessati derivanti da un implicita analisi di categorie particolari[5] di dati, anche se si tratta di dati non richiesti direttamente.

L’utilizzo della DPIA

Occorre quindi procedere con la valutazione anche degli strumenti automatici che si intendono introdurre in azienda per la profilazione dei soggetti interessati, per effettuare in forma preventiva rispetto all’introduzione del trattamento una Valutazione d’Impatto (DPIA) in caso si rientrasse in quanto definito da art. 35 GDPR 2016/679 e dalle linee guida WP 248 pubblicate il 04/10/2017[6].

Se il trattamento dei dati di profilazione generasse quindi un “rischio elevato” dei dati e dei diritti di soggetti interessati, e se rientrasse in almeno due delle nove categorie espresse dalle linee guida sopra indicate, occorre procedere con una DPIA in merito allo specifico trattamento in modo da dimostrare di avere valutato le adeguate misure di sicurezza, le adeguate misure organizzative e la riduzione più possibile dei dati oggetto di trattamento.

Questo adempimento consiste quindi in una forma di “consulenza interna” svolta da parte dei titolari del trattamento e dei responsabili interni a capo dei servizi aziendali coinvolti, producendo una valutazione del trattamento e delle considerazioni in merito a quanto rilevato.

Laddove risultassero presenti delle irriducibili difficoltà operative al fine di garantire la conformità con gli adempimenti normativi e quindi un rischio residuale elevato, la DPIA fornisce anche indicazioni in merito a come procedere con la richiesta di una consultazione preventiva da presentare ad Autorità competente, in modo da poterne ricevere indicazioni (ex art. 36 GDPR 2016/679).

Al momento di progettazione del servizio di profilazione di soggetti interessati (principio di privacy by design), o dalle valutazioni necessarie per garantire costantemente le misure tecniche ed organizzative imposte da GDPR 2016/679 (principio di privacy by default), può derivare che il titolare del trattamento rientri nella necessità di procedere anche con la nomina di un Responsabile per la protezione dei dati (DPO), così come definito da art. 37 GDPR 2016/679 e chiarito dalle linee guida WP 243[7] pubblicate il 05/04/2017, in caso che il trattamento di profilazione comporti monitoraggi regolari e sistematici su larga scala dei soggetti interessati.

Tali considerazioni possono derivare anche dall’analisi derivante da DPIA sopra indicato, sottolineando quindi l’importanza di questo tipo di valutazione.

La completezza della conformità organizzativa deriva infine anche dall’impostazione di un organigramma di ruoli e responsabilità, definendo con specifici contratti ed atti di nomina i ruoli di responsabili del trattamento ex art. 28 GDPR 2016/679, o di autorizzati del trattamento ex art. 29 GDPR 2016/679, laddove risulti necessario.

Ai soggetti interessati devono quindi essere fornite tutte le garanzie di esercizio dei loro diritti definiti da art. 15 ad art.21 GDPR 2016/679, offrendo quindi la libera possibilità di presentare opposizione e revisione al trattamento; tale richiesta implicherà una valutazione al riguardo da parte del titolare del trattamento, del responsabile del trattamento e/o del DPO se nominati.

Rischi e sanzioni

La profilazione dei dati di soggetti interessati può quindi produrre effetti di budget molto interessanti, ma solo in caso risulti possibile per il titolare del trattamento dimostrare l’applicazione reale e concreta del principio di accountability e di tutti gli adempimenti derivanti da questo specifico trattamento.

In caso contrario, in seguito a controlli effettuati da Autorità competente con la rilevazione di imprecisioni, difformità o illeceità dei trattamenti, ne possono derivare le sanzioni ormai note definite da art. 83 par. 2 GDPR 2016/679, prevedendo massimali di 20.000.000 euro o pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Note

[1] Si veda “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 [2543820]

[2] Si veda “Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348]”

[3] Si veda “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]

[4] Si veda “Chiarimenti in merito all´attuazione della normativa in materia di cookie

[5] Si intendono “valutazioni di razza, origine etnica, opinioni politiche, confessioni religiose, convinzioni personali, appartenenze sindacali, status genetico, stato di salute, orientamento sessuale” ex Considerando 71 GDPR 2016/679

[6] Si veda “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01

[7] Si veda “Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)

@RIPRODUZIONE RISERVATA