Feltrini per i mobili o malattie, le nostre impronte nel web. Profilazione commerciale e privacy

di Licia Califano
Professore ordinario di Diritto costituzionale presso l’Università degli studi di Urbino e componente del Collegio del Garante per la protezione dei dati personali dal 2012 al luglio 2020.

Compri feltrini per i mobili? Allora hai un profilo da risparmiatore e, quindi, hai più possibilità di ottenere un prestito: sei considerato un pagatore affidabile, secondo le strategie di Data Mining.

Quali sono i problemi principali nella profilazione commerciale rispetto alla tutela della nostra privacy?

La profilazione commerciale è una delle tipologie di trattamento che, allo stato attuale, crea maggiori problemi per la tutela della privacy dei cittadini. L’applicazione di nuove modalità di calcolo e di analisi, le sempre maggiori capacità sia di raccolta che di conservazione (si pensi alle grandi banche dati ma più in generale ai big data) e analisi di dati personali hanno completamente modificato il concetto di tutela della privacy, rendendo di fatto obsolete o comunque non più efficienti le norme che fino a qualche anno fa tutelavano la riservatezza degli individui intesa semplicemente come diritto ad essere lasciati soli.

Nel mondo digitale “essere lasciati soli” non basta, dal momento che è l’individuo stesso che, più o meno consapevolmente, produce contenuti e con essi genera dati personali che viaggiano liberamente in rete. Per far fronte alle sfide che l’era digitale comporta le autorità pubbliche necessitavano di un nuovo e più moderno strumento normativo, in grado di superare i confini territoriali dei singoli Paesi e persino dei continenti (si pensi al principio del cd. Targeting); uno strumento in grado di essere applicato in maniera omogenea in tutta Europa, assicurando al contempo sia la massima circolazione delle informazioni che la massima tutela per gli individui. Mi sto riferendo al nuovo Regolamento generale europeo n. 679 del 2016 (GDPR), in vigore ormai da quattro anni ma pienamente applicabile dal 2018.

Tornando ora allo specifico della domanda, risulterà più chiaro comprendere come la profilazione sia a tutti gli effetti un trattamento automatizzato di dati personali che ormai avviene principalmente attraverso la tracciabilità e l’analisi della nostra presenza in rete (diffidiamo da chi scrive o pensa, magari anche con convinzione, che la profilazione consista in un trattamento di dati anonimi). Si pensi alle ricerche effettuate in internet, alla installazione di cookies, alla memorizzazione degli indirizzi IP o, più semplicemente alla volontaria cessione di dati da parte nostra all’interno di form on line, convinti così di ottenere in cambio un servizio (apparentemente) gratuito. 

Questo tipo di trattamento, effettuato principalmente a fini commerciali, comporta, a mio avviso, almeno tre problemi concreti. In primo luogo, la massificazione delle opinioni, dei gusti, dei comportamenti determinata dal fatto che all’individuo viene riproposto sempre un contenuto affine a quello già oggetto di interesse o di ricerca.

Un secondo problema è dato dal mancato rispetto del principio di trasparenza informativa: l’utente in nessun momento sa da parte di chi e come vengono gestiti i propri dati personali.

Ciò si ricollega ad un terzo ed ultimo problema ovvero l’impossibilità per l’utente di esprimere un consenso informato a determinati trattamenti e, di conseguenza, il libero riutilizzo dei dati per finalità differenti da quelle per cui sono stati originariamente raccolti. Un esempio banale per comprendere: cerco on line informazioni su una malattia diagnosticata ad un mio familiare (magari su siti medici o comunque di settore) e ricevo in automatico notifiche pubblicitarie sulla mail personale da parte di aziende che vendono dispositivi medicali.

Note e approfondimenti

[Il nuovo regolamento] Il Regolamento costruisce la tutela dei dati personali su quattro pilastri: il rafforzamento dei diritti degli interessati; l’introduzione del principio di responsabilizzazione dei titolari del trattamento; il rafforzamento dell’apparato sanzionatorio per le violazioni della disciplina a danno degli interessati; il rafforzamento della governance europea. Vorrei soffermarmi, in particolare e brevemente, soprattutto sui primi due. Il testo regolamentare rafforza i diritti degli interessati, sia specificando meglio alcuni aspetti dei diritti già introdotti dalla precedente direttiva, sia introducendone di nuovi, già frutto di una elaborazione giurisprudenziale (diritto all’oblio) oppure di una riflessione sulle difficoltà che il “cittadino digitale” vive (diritto alla portabilità; opposizione al processo decisionale unicamente automatizzato). Il legislatore europeo ha poi introdotto a chiare lettere il principio di responsabilizzazione del titolare del trattamento. Quest’ultimo, sia esso persona fisica o giuridica, deve essere il primo a garantire la privacy dei singoli, valutando preventivamente tutti i rischi del trattamento (valutazione di impatto preliminare), adottando tutte le adeguate misure di sicurezza e comunicando tempestivamente gli attacchi a tale sicurezza (obbligo di notifica del data breach), tenendo un registro accurato e aggiornato dei trattamenti, nominando il Responsabile per la protezione dei dati. Ovviamente l’elenco non è esaustivo ma riporta solo alcuni dei principali oneri che il regolamento ha previsto per i titolari del trattamento. Il Garante per la protezione dei dati personali è stato in prima fila, assieme anche agli omologhi europei, nella non semplice transizione data dal nuovo quadro normativo. Non dimentichiamo, infatti, che su delega del Parlamento il Governo ha poi modificato il Codice privacy per poter dare piena e completa attuazione al GDPR. Dal 25 maggio 2018 (data della piena applicazione del GDPR) il Collegio ha fatto fronte a svariate questioni interpretative che sono sorte, ha dovuto più volte approntare dei bilanciamenti tra tutela della dignità della persona e tutela di libertà economiche e, soprattutto, ha adottato numerosi provvedimenti che danno attuazione al nuovo quadro regolamentare. Il tutto sempre valorizzando il profilo della dignità della persona quale principio fondante del diritto fondamentale alla protezione dei dati personali; un diritto ormai con una ben definita dimensione costituzionalistica tanto in Italia quanto in Europa (art. 8 della Carta di Nizza).

L’immagine in copertina di Iris Semprevivo è protetta da copyright.