Il Garante per la protezione dei dati personali ha di recente approvato, ai sensi degli articoli 40 e 41 del GDPR, il Codice di Condotta per il trattamento di dati personali svolti nel contesto delle attività di telemarketing e teleselling, promosso da associazioni rappresentative di committenti, call center, teleseller, list provider e associazioni di consumatori.
Oltre ai nuovi obblighi per il monitoraggio della filiera e la garanzia della privacy degli utenti, sono presenti nuove definizioni sulla classificazione e profilazione dei dati. Proviamo nel seguito ad individuare le modalità di trattamento e gli effettivi vantaggi per i titolari.
Il concetto di profilazione tra GDPR e nuovo Codice di Condotta telemarketing
Notoriamente, ai sensi dell’art. 4 GDPR, per profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Trattasi di quell’attività di elaborazione automatizzata che consente a titolari e responsabili di orientare le proposte di beni e servizi tenuto conto delle abitudini e delle preferenze dei soggetti destinatari, utenti prospect o contraenti in costanza di rapporto, in questo modo ottimizzando gli investimenti in termini di engagement della clientela. È, peraltro, il meccanismo impiegato da alcune tipologie di cookie presenti sulle properties digitali, su cui risulta basarsi buona parte delle campagne di digital advertising.
Ma la profilazione è anche altro: come la clusterizzazione della clientela per rischio d’insolvenza operata dagli istituti di credito o dai fornitori di pagamento, come l’elaborazione di percorsi terapeutici personalizzati nell’ambito sanitario.
Il concetto di profilazione viene, poi, ulteriormente menzionato dal GDPR all’art. 22 – “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona” – che ne delinea le corrette modalità di svolgimento, prescrivendo ai titolari l’acquisizione del consenso espresso dell’interessato, salvo il caso di necessaria esecuzione di un contratto nell’interesse di questi o esplicita previsione di legge al riguardo.
La definizione viene oggi espressamente richiamata e trascritta dal nuovo Codice di Condotta per attività di telemarketing e teleselling, applicabile a tutte le attività di trattamento dei dati personali effettuati, da soggetti operanti in territorio italiano o estero, per promuovere e/o offrire beni o servizi, tramite il canale telefonico, a soggetti ubicati nel territorio dello Stato italiano, ad esclusione delle promozioni in app e del digital advertising, nonché dei contatti telefonici con finalità esclusivamente limitata alla rilevazione del grado di soddisfazione della clientela, a sondaggi e/o ricerche di mercato senza alcuna finalità commerciale, e di tutte le modalità di contatto sviluppate tramite canali diversi da quello telefonico (SMS, email).
Poco prima della suddetta citazione, tuttavia, il Codice di Condotta definisce un’altra attività di trattamento perseguibile in ambito telemarketing, similare a quella della profilazione ma non per questo uguale ed ugualmente gestibile.
Si tratta della “classificazione”, da intendersi, per questo Codice, come “l’operazione di mera estrazione da database di macro-categorie di interessati effettuata tramite query per partizionare i dati grezzi presenti nella banca dati (ad esempio, fascia di età, genere, area di residenza, nazionalità), senza effettuare ulteriori operazioni di trattamento consistenti in attività di profilazione quali, ad esempio, lo sviluppo di conclusioni in merito ad aspetti personali relativi ad un interessato, quali preferenze d’acquisto, interessi, gusti ed abitudini, comportamenti on line, ubicazione o spostamenti”.
Nel settore del telemarketing e del teleselling, dunque, è possibile distinguere, come operazione di trattamento a sé stante e per questo differente, la fase di estrazione del dato personale al fine della creazione di macro-cluster, di natura “grezza”, dalla fase della creazione di profili individuali contenenti informazioni relative alle abitudini e preferenze degli interessati.
La necessaria distinzione sarebbe da presumersi dagli scopi differenti delle due operazioni: da un lato, infatti, l’elaborazione non comporterebbe l’associazione di informazioni aggiuntive e “profilanti” in capo al singolo interessato, con la conseguenza che dal dato personale e dettagliato dell’individuo il titolare riuscirebbe ad ottenere solo dei “cluster” di alto livello, ossia informazioni riferibili a categorie di soggetti (ad es. per fascia d’età, per sesso, per provenienza); dall’altro lato, invece, nel caso della profilazione, la realizzazione di un profilo individuale completo consentirebbe di formulare proiezioni sulle abitudini di acquisto e consumo, agevolando un valore aggiunto, in grado di orientare il business del titolare sulla base delle preferenze del suo target di interesse.
E tale distinzione porterebbe prima facie ad immaginare una base giuridica idonea per la classificazione, differente da quella del consenso espressamente prevista dall’art. 22 GDPR per la profilazione.
Una indicazione ulteriore sul punto può essere individuata nella norma del Codice di Condotta che stabilisce le istruzioni per lo svolgimento della classificazione e della profilazione.
I requisiti per la profilazione e per la classificazione
Come si diceva, per il GDPR (art. 22), la profilazione richiede sempre la preventiva acquisizione del consenso espresso e specifico dell’interessato, salvo i casi di deroga espressamente previsti dalla norma.
La regola della specificità del consenso viene chiaramente confermata dal Codice di Condotta telemarketing che, all’art. 12, prevede che non è valido il consenso “c) unico per trattamenti di marketing e di marketing su dati oggetto di profilazione”, per poi fornire un chiarimento per quanto concerne la differenza operazione di classificazione.
Prosegue infatti l’art. 12: “4. L’attività di profilazione finalizzata al marketing richiede un consenso specifico e distinto, in linea con i requisiti di cui al precedente comma 1, rispetto al consenso per l’effettuazione di attività promozionali. Non necessita di un consenso specifico e distinto l’attività di classificazione degli interessati eseguita da parte o per conto dell’aderente purché sia effettuata come descritto al precedente articolo 2, comma 2, lett. n) e non comporti in alcun modo un’attività di profilazione”.
Il rinvio va alla definizione di “data quality”, con cui si intende l’operazione o l’insieme di operazioni, con esclusione di ogni forma di profilazione, per garantire che i dati personali trattati per finalità promozionali siano sempre esatti ed aggiornati. Tra le operazioni di data quality rientrano, a titolo esemplificativo, la messa a disposizione di liste di dati nei confronti di uno o più fornitori di servizi, ai fini dello svolgimento di attività di controllo dell’esattezza ed aggiornamento anche mediate la c.d. operazione di “deduplica”.
Stando alla lettera del Codice, dunque, si avrebbero tre differenti attività di elaborazione dei dati.
La prima attività sarebbe la tipica profilazione, tesa alla creazione dei profili individuali e sempre basata sul consenso dell’interessato; la seconda sarebbe la classificazione dei dati in macro-cluster ai fini di data quality, finalizzata all’aggiornamento dei dati e nel rispetto del principio di esattezza e che non richiederebbe il consenso dell’interessato, ma potrebbe a questo punto basarsi sul legittimo interesse del titolare di garantire la bontà delle liste.
Infine, la terza operazione potrebbe sostanziarsi nella classificazione dei dati in macro-cluster di dati grezzi, per ragioni ulteriori e differenti dal controllo delle liste, per cui il Codice sembrerebbe richiedere comunque un consenso, distinto e separato dal consenso per il marketing profilato ed opportunamente anticipato da una informativa puntuale e trasparente su tali aspetti.
La base giuridica della classificazione potrebbe infatti cogliersi nell’inciso “purché sia effettuata come descritto al precedente articolo 2, comma 2, lett. n) e non comporti in alcun modo un’attività di profilazione”: in assenza del contesto e dello scopo di cui alla precedente definizione di “data quality”, dunque, per il Codice sarebbe necessario acquisire consenso ulteriore dall’interessato, dovendosi dedurre l’insufficienza della sola assenza di scopi di profilazione dalla scelta della congiunzione “e”.
La classificazione per gli operatori del telemarketing
Il Codice di Condotta sembra aver testimoniato un confronto a lungo tenutosi tra gli operatori del settore del telemarketing sulla complessità delle operazioni di classificazione.
Come si è visto, infatti, la classificazione dei dati personali può presentarsi in diverse modalità, tenuto conto degli scopi del trattamento. I titolari del trattamento possono, infatti, classificare i dati per ragioni di profilazione e di marketing orientato, così come per la creazione di cluster aggregati, per la verifica della correttezza e dell’aggiornamento dei dati, e per tante altre occasioni di elaborazione (si pensi, tra le altre cose, al significato di data classification ed alla strumentalità della classificazione dei dati nei progetti di data mapping presso gli asset aziendali per ragioni di security o di tutela delle informazioni confidenziali).
Ognuna di queste attività, oltre a presentare scopi differenti, potrà presentare impatti diversi per gli interessati coinvolti, specie considerato il livello di dettaglio delle informazioni raccolte ed il perimetro del trattamento.
Certamente, guardando alla disciplina principale, quella dell’art. 22 GDPR, la circostanza della produzione di effetti giuridici che riguardano l’interessato o che incidano in modo analogo significativamente sulla sua persona richiede la sussistenza del requisito del consenso espresso e specifico; circostanza che parimenti non parrebbe sussistere in occasione della mera estrazione da database di macro-categorie di interessati per classificare i dati grezzi presenti nella banca dati (ad esempio, fascia di età, genere, area di residenza, nazionalità) – in assenza della creazione di profili individuali – che quindi suggerirebbe un approccio di opportunità per i titolari nell’individuazione della base giuridica.
Tuttavia, nel contesto di riferimento, anche tale fase di classificazione non potrebbe dirsi del tutto scevra ma uno scopo promozionale di vendita ed in qualche modo orientata alla definizione delle singole campagne degli operatori del settore: a cosa gioverebbe, infatti, la clusterizzazione dei dati per sesso, età, località agli operatori del telemarketing, se non allo svolgimento di analisi comunque strumentali all’efficientamento delle proprie piattaforme di Customer Relationship Management?
Conclusioni
Tenuto conto dell’obiettivo del Codice di tracciare regole di condotta uniformi per consentire agli operatori di poter contare su pari condizioni di mercato e, parallelamente, di recuperare la fiducia degli interessati e la relativa disponibilità all’ascolto, la scelta di puntualmente definire le diverse tipologie di classificazione assolve il generale obbligo di trasparenza nei confronti degli utenti, principio cardine della disciplina di settore.