Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Fiducia digitale e consenso al trattamento dei dati: consigli per le aziende

17 Ott 2018

Una recente indagine internazionale condotta da Frost & Sullivan e CA Technologies ci svela come, in uno scenario dove i dati acquistano sempre maggiore importanza per il business, crolla il “Digital Trust”, la fiducia digitale effettiva dei consumatori.

La fiducia digitale, secondo Jarad Carleton, Industry Principal Cybersecurity presso Frost & Sullivan, è “la fiducia riposta in un’organizzazione per raccogliere, archiviare e utilizzare le informazioni digitali degli altri in modo da avvantaggiare e proteggere coloro a cui appartengono le informazioni”. Su questa definizione è stato elaborato il Digital Trust Index, una serie di metriche che misurano i fattori chiave sul concetto di fiducia digitale:

  • la disponibilità dei consumatori a condividere i propri dati personali;
  • la convinzione che le aziende proteggano tali dati;
  • la misura in cui gli utenti ritengono che le aziende vendano i dati personali ad altre aziende.

Il risultato ottenuto, come riportato in dettaglio da Digital4 nell’articolo Digital trust in calo: i consumatori italiani si fidano poco a rilasciare i dati personali alle aziende, vede il Digital Trust Index dei consumatori italiani inferiore a quello americano e del resto d’Europa. Ciò lascia pensare che gli utenti italiani si fidino poco delle organizzazioni quando si tratta di proteggere i propri dati digitali, e probabilmente tale percezione non risulta del tutto errata se consideriamo che il 70% delle aziende italiane, sempre secondo lo studio, ammette di utilizzare internamente i dati degli utenti, mentre il 53% addirittura di venderli ad altre organizzazioni.

Di contro, questa posizione si scontra con il preoccupante scenario di leggerezza nella condivisione, che vede il 64% dei consumatori italiani disponibili a fornire alle aziende i propri dati personali in cambio di servizi gratuiti o scontati.

È fondamentale che le imprese pongano la giusta importanza a valori di privacy e security, per evitare di incorrere in sanzioni anche in base alle stringenti normative in vigore in tema di protezione dei dati personali.

Il trattamento dei dati, ricordiamo, può avvenire solo ed esclusivamente in base al consenso prestato dall’utente. E tale consenso per ritenersi espresso secondo modalità conformi alle condizioni del regolamento deve essere:

  • informato;
  • specifico per ciascuna finalità del trattamento;
  • libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi;
  • inequivocabile.

Proprio questa ultima voce è quella che da maggiori problemi alle aziende che hanno negli anni raccolto dati personali in modo “fantasioso”: il consenso deve, infatti, essere manifestato attraverso una dichiarazione o azione positiva inequivocabile e la richiesta di consenso deve essere chiaramente distinguibile dalle altre materie; non è ammesso – ad esempio – il consenso tacito o presunto e non costituiscono valido consenso caselle pre-spuntate su un modulo. Ovviamente è necessario avere documentazione adeguata del momento in cui tale consenso è stato rilasciato.

Nota critica nell’ambito dell’utilizzo dei dati, trattata dalla nuova Normativa Privacy – GDPR e ben trattata nell’articolo Informativa e consenso: i punti da chiarire nel GDPR di ZeroUnoWeb, è il principio secondo cui il trattamento dei dati personali per alcuni tipi di attività di marketing sia online che offline è da considerarsi di interesse legittimo, purché sussistano adeguate garanzie, compreso fra l’altro un meccanismo efficace che permetta di opporsi a tale trattamento.

Il Titolare del trattamento può però ricorrere al legittimo interesse quale base giuridica solo se non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato cercando un bilanciamento spesso complesso e a volte impossibile da trovare.

Quando il consenso è “quasi sempre” obbligatorio

Trattandosi di un principio del tutto rivoluzionario rispetto agli orientamenti sinora prevalenti in ambito nazionale ed europeo in materia di pubblicità commerciale ed essendo comunque contenuto solo in un considerando e in forma di mera possibilità, questo principio impone però grande cautela agli interpreti.

Secondo il Data Protection WP29, il consenso è «quasi sempre» necessario anche quando un’organizzazione intende analizzare o prevedere le abitudini, i comportamenti e le preferenze personali dei clienti al fine di assumere «misure e decisioni» su di loro; monitorarne le attività on-line or off-line, combinare grandi quantità di loro dati, creare – e tramite l’intermediazione di data brokers, anche commercializzare – complessi profili delle personalità e delle preferenze dei clienti stessi.

Il legittimo interesse potrebbe invece rappresentare una condizione di legittimità adeguata per il direct marketing meno invasivo, pur soggetto in ogni caso ad adeguate misure di sicurezza e all’esito del test di bilanciamento, ad esempio nelle ipotesi in cui i dati siano stati raccolti in un contesto e nell’ambito di una relazione in cui l’interessato potrebbe “ragionevolmente aspettarsi” che i dati verranno utilizzati anche per finalità di marketing diretto, al fine di offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti sia online che offline.

A tale proposito il Gruppo dei Garanti Europei ha previsto espressamente che i titolari possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti stessi.

Una consulenza adeguata e precisa sull’espressione dei consensi e sui trattamenti da parte di professionisti diventa quindi per ogni azienda che tratta dati assolutamente fondamentale: in un panorama così complesso, le dinamiche e le procedure di espressione del consenso possono rappresentare la discriminante tra poter usare efficacemente un dato o trovarsi con dati che, a causa di una errata richiesta iniziale, ora non solo non possono più essere corretti ma, paradossalmente, non possono più essere detenuti pena aspre sanzioni.

A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation

@RIPRODUZIONE RISERVATA

Articolo 1 di 5