Email marketing, profilazione e decisori automatizzati. Come gestire le attività di marketing in conformità al GDPR

consulenza dati personali e marketing

Il GDPR prevede regole stringenti in merito all’impiego di processi decisionali basati esclusivamente sull’uso di strumenti tecnologici automatizzati, infatti, l’art. 22 paragrafo 1, stabilisce che l’interessato del trattamento ha il diritto a non essere sottoposto ad un trattamento di dati personali basato unicamente sull’impiego di processi decisionali totalmente automatizzati, (ovvero algoritmi che compiono scelte senza l’intervento umano), compresa la profilazione se le decisioni così assunte producono effetti giuridici sull’interessato o incidono significativamente sulla sua persona. Vi sono tuttavia delle eccezioni a tale imposizione; il secondo paragrafo dell’art. 22 stabilisce, infatti, che se l’interessato abbia prestato il proprio consenso espresso a tale trattamento oppure esso sia necessario per la conclusione o l’esecuzione di un contratto, o ancora tale processo sia autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, il trattamento mediante decisori completamente automatizzati può essere effettuato, a condizione che sia garantito all’interessato il diritto di richiedere l’intervento umano e il diritto di esprimere la propria opinione, contestando la decisione assunta. L’interessato pertanto deve essere innanzitutto:

  1. informato chiaramente dell’esistenza di tale processo;
  2. messo nelle condizioni di potersi opporre;
  3. messo nelle condizioni di poter esprimere liberamente un proprio giudizio o contestare la decisione.

Fatte queste premesse, vediamo cosa intende il GDPR per profilazione, per processo decisionale automatizzato e quali strumenti impiegati nell’area marketing potrebbero rientrare nella definizione.

Innanzitutto, partiamo col dire che, come chiarito dal Gruppo Art. 29, decisioni automatizzate e profilazione non sono la stessa cosa, possono essere prese decisioni automatizzate su un soggetto senza operare una profilazione o anche la profilazione può avvenire senza usare esclusivamente decisori automatizzati, quando ad esempio parte del processo di profilazione avviene attraverso l’intervento umano; ma può anche accadere che vengano svolte entrambe le operazioni assieme, a seconda di come i dati vengano utilizzati.

Quando si effettua una profilazione in base al GDPR

La profilazione è in sostanza quel processo che permette di fornire servizi, prodotti dedicati o pubblicità personalizzata basata sul comportamento del soggetto (behavioural advertising), sulla base di determinati criteri o variabili che consentono all’operatore economico di creare un ritratto dell’individuo; per il GDPR si ha profilazione:

  1. quando i dati sono trattati in modo automatizzato (ma non per forza per tutto il processo);
  2. quando il trattamento viene svolto per valutare determinati aspetti di una persona fisica, in particolare per analizzare o prevedere comportamenti riguardanti le prestazioni di tale persona fisica al lavoro, la sua situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o i movimenti;
  3. quando l’obiettivo della profilazione è quello di valutare le caratteristiche personali presenti o future di un individuo.

Si tenga presente che tracciare il comportamento di un utente online non implica automaticamente la profilazione, il tracciamento diventa profilazione a seconda della finalità per cui i dati così raccolti, vengono impiegati. Ad esempio, se il tracciamento del comportamento dell’utente online viene svolto al fine di analizzare le sue preferenze d’acquisto o predire il suo comportamento futuro allo scopo di inviargli offerte commerciali mirate, allora quel tracciamento diventa profilazione, se invece quei dati sono solo utili per avere un’idea di chi sono i clienti sulla base di dati aggregati, non si tratta di profilazione (cfr. cons. n. 24 GDPR).

Se un operatore economico ha intenzione di svolgere attività di profilazione deve informare l’interessato dell’esistenza di tale processo, chiarendo altresì le logiche ad esso sottese, le finalità di tale trattamento, gli effetti che esso ha sulla persona dell’interessato, informandolo chiaramente ed espressamente che può opporsi al trattamento. Tali informazioni devono essere contenute nell’informativa ex art. 13 GDPR, che deve essere fornita nel momento in cui avviene la raccolta del dato. L’interessato inoltre deve prestare il proprio consenso espresso (separato dagli altri), salvo che non sussista un’altra condizione di liceità del trattamento come previsto dall’art. 6 del GDPR.

Decisori automatizzati per finalità di marketing

Qualora poi sia un algoritmo a decidere, sulla base dei dati raccolti automaticamente e combinati insieme, se è il caso di far visualizzare una determinata offerta promozionale ad un soggetto piuttosto che ad un altro oppure se è il caso di offrirgli un pacchetto di servizi/prodotti piuttosto che un altro o un insieme di promozioni piuttosto che un altro o anche una specifica tipologia di finanziamento o un pacchetto assicurativo ad hoc, ad esempio, siamo nell’ambito di decisioni assunte con l’esclusivo impiego di strumenti completamente automatizzati; se tali decisioni incidono da un punto di vista giuridico o comunque significativamente sulla persona degli interessati, interviene l’art. 22 in base al quale, salvo non si rientri nelle deroghe di cui ai commi 2 e 3, tale trattamento è sostanzialmente e in generale vietato.

In altre parole, se crei una campagna promozionale per il tuo B&B di lusso o il tuo albergo a cinque stelle, impostando che essa deve avere come target coppie residenti in Germania con un’età compresa tra 30 e 40 anni, stai svolgendo una normale profilazione (anche se usi cookies, beacons o altri strumenti come tracking pixel, in questo caso dovrai sottostare anche alla normativa sui cookies); se però usi un algoritmo che svolge analisi predittive basate su specifiche variabili e sul rilevamento di dati personali che non farà visualizzare la tua offerta promozionale a determinate coppie tra i 30 e i 40 anni perché non risultano residenti nei quartieri alti della Germania o anche perchè dalle loro abitudini – rilevate dall’algoritmo – emerge che generalmente non frequentano B&B di lusso, allora stai usando un decisore automatizzato che effettua un particolare trattamento di dati e anche in questo caso, adottando un’interpretazione restrittiva della norma, si potrebbe rientrare nell’ambito di applicazione dell’art. 22.

A mio avviso la pubblicità comportamentale applicata ad alcune tipologie di servizi o prodotti, anche quelli che possono apparire più banali di altri, potrebbe incidere sull’auto-percezione del consumatore e potrebbe essere considerata una circostanza in cui il processo decisionale automatizzato grava significativamente sulle libertà degli individui, andandosi ad estendere l’applicazione dell’art. 22 a molte più circostanze di quelle che si potrebbe immaginare, tuttavia, molto dipenderà dal tipo di interpretazione appunto restrittiva o più elastica della norma che si assume. Ad ogni modo, se invece tali strumenti vengono impiegati nell’ambito di servizi di finanziamento, assicurativi, amministrativi e le decisioni assunte in maniera automatizzata vanno ad infierire a livello giuridico sui soggetti, allora l’art. 22 opererà senza dubbio alcuno (di seguito chiariremo meglio attraverso degli esempi).

Questo tipo di strumenti automatizzati sono usati sempre più spesso nel settore marketing, ma soprattutto nel web marketing, in quanto consentono di gestire una grande mole di dati ed organizzare offerte e promozioni mirate sulla base del carattere individuato di un soggetto, dopo averne tracciato ad esempio il comportamento d’acquisto online e dopo aver creato uno storico. Ma questi strumenti non sono solo usati per le attività di marketing (pubblicità comportamentale on-line), si tratta, infatti, di una tendenza generale della società interconnessa, che ha un impatto significativo sulle nostre attività quotidiane. Ed è proprio qui che il GDPR intende intervenire: come cittadini, siamo monitorati costantemente per strada (sorveglianza della telecamera), in auto (radar e dispositivi di geolocalizzazione), in casa (si pensi alla domotiva e alle smart TV), sul posto di lavoro (badge, videocamere, monitoraggio di devices)  e nella maggior parte delle altre attività mediante l’uso continuo di devices, telefonia cellulare, laptop, applicazioni, auto interconnesse, wearing ecc. Dal punto di vista dell’impresa queste sono le nuove frontiere del behavioural advertising e grazie a tali strumenti un imprenditore può disporre di un numero rilevante di dati, molto più precisi di un tempo che gli permettono di ridurre i costi di gestione dell’area marketing (e non solo) e decidere di impiegare veri e propri software e CMS che agiscono come cervelli pensanti, dotati di intelligenza artificiale, che è possibile, in alcuni casi, utilizzare anche in abbonamento mensile e che consentono di assumere decisioni in ambito commerciale sulla base della combinazione di dati personali da loro stessi effettuata. Questi sistemi vanno solitamente in apprendimento e in autocorrezione, analizzando costantemente le regole e nuovi dati per essere sempre più efficaci e precisi. Può essere ad esempio che un imprenditore già impieghi tali strumenti, ma non sappia che essi fanno parte di quelli che il GDPR definisce decisori automatizzati.

Si comprende bene come siamo di fronte ad interessi divergenti, consumatore vs impresa, che vanno bilanciati e regolati.

Gestire correttamente le attività di marketing usando i decisori automatizzati in conformità al Regolamento privacy

Tornando dunque al GDPR, lo abbiamo accennato all’inizio dell’approfondimento, questo tipo di processo può essere impiegato solo se:

  • è necessario per l’esecuzione di un contratto;
  • è autorizzato dalla legge dell’Unione o dello Stato membro;
  • si basa sul consenso esplicito dell’interessato.

Se il tuo trattamento di dati mediante decisori automatizzati (anche connesso con la profilazione) rientra in una di queste tre eccezioni, puoi procedere con il trattamento. Tuttavia, non dimenticare che tutti gli altri articoli del GDPR si applicano anche a questo tipo di trattamento (si pensi agli artt. 13, 14, 15 GDPR) e alcuni richiedono maggiore attenzione. Ad ogni modo, tieni presente che se il trattamento presenta dei rischi elevati gravando sui diritti e le libertà degli individui sarà necessario effettuare una DPIA ed ottenere il consenso. Inoltre, se rientri in una delle tre eccezioni elencate in precedenza, non dimenticare che i tuoi clienti possono sempre richiedere l’intervento umano, opporsi al trattamento, esprimere la propria opinione sul trattamento e contestarne la decisione e tu in qualità di titolare del trattamento devi predisporre misure per consentire loro di esercitare tali diritti in maniera semplificata.

Devi quindi essere il più trasparente e chiaro possibile con gli utenti: nella tua informativa sulla privacy, dovrai menzionare questo trattamento automatizzato e spiegare i dati che userai e la logica che sta alla base (ciò non significa dover rivelare le logiche sottese all’algoritmo che usi), dovrai anche spiegare le conseguenze del processo decisionale automatizzato sull’individuo.

Proviamo a chiarire meglio: sei un fornitore di servizi di noleggio auto a lungo termine che segmenta i suoi clienti e in base a tale segmentazione, tiene traccia di coloro che sono in ritardo con i pagamenti dei canoni di noleggio, questi vengono inseriti nella sezione “Pericolo mancato pagamento”. Decidi di usare un algoritmo che ti indica in automatico, sulla base di determinati parametri, quali sono i soggetti più a rischio (perchè magari hanno perso il lavoro, perchè hanno subito delle perdite finanziarie, o altro). Decidi di agire e:

  1. li contatti prima degli altri creditori (in questo caso, la tua decisione è basata esclusivamente su decisioni automatizzate, ma non vi è un effetto significativo sui diritti e le libertà dell’interessato);
  2. Oppure decidi di aumentare automaticamente l’importo del canone mensile (in questo caso, stai prendendo decisioni automatizzate basate esclusivamente sull’elaborazione automatica, ma che si ripercuotono in maniera significativa sui diritti dell’interessato);
  3. O ancora gli ritiri l’auto per inadempimento contrattuale (in questo caso, le decisioni automatizzate basate esclusivamente sull’elaborazione automatica, hanno anche un effetto legale).

E’ evidente che i casi 2 e 3 rientrano nelle disposizioni dell’articolo 22. Il caso 1 non ha altre restrizioni perché si tratta di profilazione, come spiegato precedentemente, standard e quindi si applicano tutti gli articoli indicati (informativa, consenso, ecc).

La DPIA quando si utilizzano decisori automatizzati per finalità di marketing

Devi tenere presente che, in ogni caso, anche se puoi effettuare il trattamento mediante decisori automatizzati perché rientri in una delle tre deroghe, dovrai  dimostrare di aver messo a punto “misure adeguate e specifiche per salvaguardare i diritti fondamentali e gli interessi dell’interessato”. Come? Nella sostanza, dovrai svolgere una valutazione d’impatto o DPIA, quando il trattamento, per come è organizzato, incide o potrebbe incidere significativamente sui diritti e le libertà dell’interessato (quindi nei casi 2. e 3. Dell’esempio). Peraltro, se il trattamento dovesse basarsi sull’interesse legittimo del titolare, la legge di bilancio 2018 ha imposto comunque che venga preventivamente notificato al Garante se svolto mediante strumenti automatizzati. In questo caso, dovrai aver effettuato autonomamente la DPIA e successivamente potrai provvedere alla notifica.

E ricorda ancora che se il processo decisionale automatizzato coinvolge dati sensibili, puoi effettuare tale tipo di trattamento se e solo se hai ricevuto il consenso espresso dell’interessato oppure se il trattamento è necessario per realizzare un interesse pubblico o si basa su una legge dell’Unione o dello Stato membro.

Insomma come hai potuto vedere, la questione è tutt’altro che semplice e le implicazioni sono tante, anche perchè ogni operazione, ogni progetto, ogni app o software che un’impresa crea o usa, comporta ormai il necessario trattamento di dati personali sia esso basato esclusivamente su decisori automatizzati o meno.

Essendo tu un marketing manager ti consiglio di studiare nel dettaglio il GDPR oppure di chiamare un consulente che possa chiarirti i principi presenti nella norma ed esserti di supporto per tutte le operazioni necessarie per conformarsi al GDPR e continuare a gestire le tue attività di marketing basate sui dati personali in tranquillità. Tieni anche conto del fatto che se sei fornitore di operazioni di web marketing per i tuoi clienti, gestisci anche dati per loro conto e sei un responsabile del trattamento che va designato, per cui molte delle norme del GDPR si rivolgono anche a te!

Per qualsiasi info, non esitare a contattarmi!

 

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy