PRIVACY

Marketing e profilazione sul web: le regole pratiche per la compliance GDPR

Parlando di marketing e profilazione sul web è importante, innanzitutto, identificare i dati personali oggetto di trattamento e poi porsi alcune domande sulla reale necessità di profilare gli utenti. Ecco le risposte pratiche per ottenere una reale compliance in materia di data protection

12 Feb 2020
R
Paola Rollo Löning

Business Process & GDPR Expert


La profilazione dei clienti sul web è uno strumento fondamentale del marketing e ha il fine di realizzare un database di clienti in base a specifiche caratteristiche. In questo modo si possono progettare campagne di marketing più efficaci riducendo i costi pubblicitari e massimizzando i risultati con un ritorno più alto.

La profilazione dei clienti serve quindi a:

  • inviare una comunicazione mirata;
  • fidelizzare i clienti;
  • avere una strategia di marketing efficace.

Ci sono diverse definizioni connesse alla profilazione, quali customer journey, analisi web, targeting, retargeting o anche remarketing, termini che non sono altro che metodi di profilazione.

Grazie all’ elaborazione da parte di servizi web, durante la profilazione l’utente, più specificatamente l’endpoint, può essere identificato, può esserne osservato il comportamento e in seguito può essere “ritrovato” per proporre pubblicità mirate.

Nello specifico, in caso di profilazione sul web vengono trattati i seguenti dati:

  • indirizzi IP;
  • MAC address;
  • IMEI/IMSI (numeri seriali delle SIM telefoniche);
  • AD-IDs (Advertising-Identifier).

Bisogna quindi essere ben consapevoli quando si decide di utilizzare uno strumento di profilazione per il proprio sito internet, in quanto sono strumenti invadenti che hanno un forte impatto sull’adeguamento del titolare del trattamento alla normativa sul protezione dei dati (così come indicato anche nel libro “Web-Tracking nach DSGVO” di Kristin Benedikt, Alexander Buckel e. Jan-Hendrik Mammen, appartenenti al Garante della Baviera di Ansbach).

È quindi opportuno porsi le seguenti domande:

  • Perché profilare?
  • Quali sono i fini perseguiti?
  • Per le finalità che vogliamo perseguire, ci sono strumenti adatti?

Spesso, infatti, molto gestori di siti internet non hanno intenzione di fare una profilazione vera e propria, ma semplicemente vogliono misurare la copertura del sito internet adottando però degli strumenti “sovradimensionati”.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Quando il fine è quello di “misurare” le performance del sito e quindi il focus è rivolto verso la pagina e non verso l’utente, non è necessario profilare i visitatori del sito internet. Se c’è interesse nel sapere quante persone visitano il sito, o piuttosto quali tipi di endpoint vengono utilizzati per l’accesso (computer, cellulare oppure tablet) in maniera tale da migliorare la qualità di visualizzazione, oppure comprendere da quale paese il sito è visitato, o come l’utente si muove all’interno delle pagine, allora è bene optare per uno strumento adatto a questo fine e che operi solo ed unicamente in questo senso.

La finalità della profilazione consiste nell’acquisire più informazioni possibili dell’utente per poi utilizzare queste conoscenze per finalità di marketing quali per esempio, inserzioni pubblicitarie personalizzate.

Determinazione della titolarità e liceità del trattamento

Per ogni trattamento di dati personali bisogna far riferimento ad una base giuridica che garantisca la liceità del trattamento secondo l’art. 6 GDPR. Per quanto riguarda la profilazione le basi giuridiche che possono essere prese in considerazione sono:

  • consenso (art. 6 a);
  • esecuzione di un contratto (art. 6 b);
  • legittimo interesse (art. 6 f).

In caso di trattamenti dati ex art. 9 oppure di siti internet che si occupano di tematiche che rientrano nei trattamenti dati particolari, tra cui siti di partiti politici, sindacati e religiosi, portali di appuntamenti, della salute, di fitness, pornografici e via dicendo, devono acquisire il consenso dell’utente.

Obblighi da parte del titolare del trattamento (art. 5);

  • che i dati siano trattati in maniera lecita;
  • che l’utente sia informato in maniera chiara e trasparente relativamente allo strumento di profilazione utilizzato;
  • che l’utente abbia in ogni momento la possibilità di fermare la propria profilazione (processo di opt-out) e di far valere i propri diritti (artt. 15-22);
  • che ci sia un contratto tra il titolare e il service-provider in cui siano chiaramente definiti i ruoli, eventuali contitolarità;
  • integrare il code del tracking sul website solo dopo un attento controllo.

Il primo passo da compiere è dunque quello di conoscere bene lo strumento usato per la profilazione. Di che tipo di strumento si tratta?

  1. Mette a disposizione un servizio e non ha interesse di elaborare i risultati per propri fini?
  2. Oppure è uno strumento che utilizza i dati anche per propri fini?

Nel primo caso, il titolare è chiaramente identificabile con l’intestatario del sito web che potrà, a secondo del fine che persegue, adottare la base giuridica più consona. Bisogna comunque procedere ad una nomina da responsabile ex. art. 28 per lo strumento utilizzato.

Nel secondo caso, e lo è quando si decide di utilizzare servizi come Google Analytics, si pone il caso della contitolarità. Infatti, questo tipo di caso si ha quando oltre all’ intestatario del sito, anche il service provider del servizio di profilazione utilizza i dati che vengono raccolti attraverso un sito internet, anche per proprie finalità. Per questa eventualità bisogna acquisire in ogni caso il consenso dell’utente (art. 6 a). Ovviamente è necessario procedere ad un accordo di contitolarità che però spesso vengono già forniti dal servizio stesso.

Chiarita la titolarità del trattamento, analizziamo le finalità:

  • esecuzione di un contratto (art. 6 b): è una base giuridica non ancora del tutto chiarita per quanto riguarda la profilazione in internet. Di fatto dimostrare che la profilazione sul sito internet sia parte di un contratto in essere è alquanto difficoltoso. Sarebbe immaginabile per un sito di servizio video streaming che, per offrire un miglior servizio al proprio abbonato, mette in atto la profilazione. In genere è una base giuridica molto complessa da giustificare per cui è consigliabile escluderla come base giuridica per la profilazione.
  • legittimo interesse (art. 6 f): questa base giuridica potrebbe sembrare la soluzione ideale in quanto ovviamente il titolare ha un interessa nel trattamento dei dati relativi alla profilazione. Ma non è proprio di semplice applicazione. Qualora si decida di adottare questa base, bisogna procedere ad una valutazione del bilanciamento degli interessi e dimostrare, con opportuna documentazione, le ragioni per cui l’interesse del titolare prevale su quello dell’utente.

Marketing e profilazione sul web: il consenso sì o no?

A secondo della base giuridica è possibile scegliere tra due procedure di acquisizione del consenso:

  1. consenso passivo: questo è attualmente più in uso, ovvero l’utente acconsente alla profilazione anche semplicemente scrollando la pagina oppure cliccando sul button “accetta”. L’opt-out è possibile accedendo alla cookie policy per cui la profilazione deve terminare. In questa modalità la profilazione in genere inizia già prima del consenso dell’utente. Questa procedura può essere impiegata in caso si abbia scelto l’interesse legittimo come base giuridica (art. 6 f);
  2. consenso attivo: l’utente acconsente con un’azione attiva alla profilazione tramite un banner che si attiva al primo accesso al sito internet. Solo dopo aver acquisito il consenso dell’utente può iniziare la profilazione. Anche qui l’opt-out deve essere garantito accedendo alla cookie policy. Questa tipologia di consenso è necessaria quando la base giuridica è quella del consenso ovvero l’art. 6 a. Bisogna comunque tenere un registro dei consensi e mettere a disposizione una modalità di revoca di consenso semplice e facile per l’utente. Per gestire in maniere agevole questa parte, è opportuno dotarsi di un consent manager.

In entrambi i casi l’utente del sito deve essere informato in maniera esaudiente.

In caso di consenso attivo, alla prima visita dell’utente dovrà essere visualizzato un banner nel quale, in modo sintetico e chiaro, si informerà sulla modalità e finalità del trattamento con un chiaro link che porti ad un’informativa estesa, dove sarà anche possibile per l’utente procedere all’opt-out oppure alla modifica dei consensi e si potrà acconsentire alla profilazione. Nel banner i consensi non possono essere preselezionati.

In caso di “legittimo interesse” non è previsto l’acquisizione di un consenso ma solo la possibilità di procedere all’opt-out e quindi il banner non è necessario.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

In entrambi i casi però l’accesso alla privacy e alla cookie policy dovrà essere semplice ed intuitivo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3