Profilazione degli utenti online. Il Garante vara nuove linee guida

By 7 maggio 2015News
profilazione online e privacy

Pubblicate sulla G.U. le nuove linee guida con cui il Garante Privacy fornisce indicazioni in merito al trattamento dei dati personali nelle attività di profilazione online.

In sintesi, il Garante delinea la necessità di predisporre:

a. in merito all’informativa:

– un primo livello di informativa, accessibile dal dominio di ingresso dell’utente al sito mediante un semplice “click”. Un’informativa chiara e completa, indicante le finalità generali della profilazione, le modalità con cui il titolare del trattamento le persegue e tutto quanto richiesto dall’art. 13 del Codice Privacy. Questo primo livello dovrà, inoltre, indicare dettagliatamente le modalità di acquisizione del consenso al trattamento, ove necessario;

– un secondo livello di informativa, raggiungibile dal primo, che contenga l’informativa relativa alle specifiche funzioni per cui i dati vengono acquisiti, anche utilizzando diversi esempi per chiarire le modalità del trattamento delle informazioni personali, l’indicazione dei rischi specifici che possono derivare per gli interessati dall’utilizzo dei servizi (ad esempio, in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione, etc.) e ogni altra istruzione dettagliata, idonea per permettere agli utenti di esprimere il proprio consenso in modo validamente informato.

b. in merito al consenso:

– è necessario che gli utenti autenticati e quelli non autenticati esprimano un consenso preventivo, libero, informato e documentato per iscritto, per finalità di profilazione on line, in relazione al trattamento delle informazioni che li riguardano, anche derivanti, a seconda dei casi, dal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica. Il consenso non è necessario per attività di profilazione di tipo tecnico (cioè quelle direttamente riconducibili alla fornitura del servizio in questione secondo specifiche modalità, quali ad esempio l’impiego di filtri antispam, la rilevazione di virus, la possibilità, garantita all’utente, di effettuare ricerche testuali, utilizzare il controllo ortografico, far ricorso all’inoltro selettivo di messaggi o di risposte automatiche in caso di assenza, gestire le preferenze e la creazione di regole per l’assegnazione del messaggio a cartelle determinate in base al suo contenuto, fare uso di flag per marcare messaggi segnati da carattere di urgenza, ecc), ma è necessario per fornire attività di profilazione relative, ad esempio, all’invio di pubblicità comportamentale personalizzata. Il Garante fornisce indicazioni dettagliate sulle modalità in cui il consenso debba essere richiesto, documentato e tracciato.

c. opportuni strumenti per il rispetto del diritto di opposizione di cui all’art. 7 del Codice.

Il Garante raccomanda, inoltre, l’adozione di una policy di data retention per le imprese che operano online, effettuando attività di profilazione, una policy che rispetti i principi di cui all’art. 11 del Codice Privacy.

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy