A poco più di un mese dall’entrata in vigore del GDPR, è opportuno aprire una finestra di approfondimento su uno dei temi cardine che con i principi afferenti alla protezione dei dati personali ha uno stretto legame, seppur, per sua natura, trasversale tra diversi ambiti: il marketing (pubblicità online e profilazione) nella dinamica tra GDPR ed ePrivacy Regulation.
Rapporto tra Gdpr ed ePrivacy
Quando ad aprile del 2016 le istituzioni comunitarie hanno definitivamente approvato la grande riforma del mercato più rilevante dei nostri tempi, il mercato dei dati, attraverso l’adozione del Regolamento n. 679/2016, il GDPR, in molti lo hanno salutato come un punto di rilevante svolta, una pietra miliare, che per complessità ed organicità sarebbe stata destinata a disciplinare l’intera materia per i prossimi vent’anni, sulla falsariga di quanto egregiamente fatto dalla Direttiva 95/46/CE, che per anni è stata fonte delle leggi adottate dagli Stati membri dell’Ue sulla privacy, e guida primaria all’interpretazione di Autorità garanti e tribunali in tutta Europa, prima di uscire di scena del tutto il 25 maggio 2018.
L’illusione è durata molto poco. Qualche mese dopo abbiamo tutti dovuto prendere atto che il GDPR non avrebbe coperto tutti i meandri dell’universo dei dati e che molti dei trattamenti di dati relativi al web, ad Internet, al cosiddetto online, sarebbero stati successivamente interessati da un’altra riforma, quella della Direttiva 2002/58/CE (cosiddetta “Direttiva ePrivacy“), che mediante un altro regolamento comunitario, il regolamento ePrivacy appunto, sarebbe poi andata a modificare e uniformare l’attuale quadro normativo in materia di tutela e libera circolazione dei dati personali nelle comunicazioni elettroniche. Un nuovo capitolo della data protection Ue si appresta dunque ad essere scritto, subito dopo la data di piena applicazione del GDPR, che come noto ha iniziato a dispiegare tutti i suoi effetti solo a partire dal 25 maggio 2018.
Ricordiamo, inoltre, che il Codice Privacy – attualmente in fase di armonizzazione con il GDPR attraverso la relativa bozza di decreto che si avvia verso il vaglio finale da parte del Legislatore proprio in questi giorni – regola le comunicazioni elettroniche nel suo Titolo X, frutto della Direttiva e-Privacy (Dir. 2002/58/UE), che come detto prima sarà presto sostituita dal regolamento e-Privacy.
Marketing e profilazione con il Gdpr
Il minimo comune denominatore tra vecchia e nuova normativa è la consapevolezza e la protezione dell’interessato. Di fatto, centrale resta la corretta e chiara informazione dello stesso rispetto ai trattamenti posti in essere dal titolare del trattamento e, oltre a ciò, rileva la chiara informazione della presenza di tecnologie volte alla raccolta di informazioni come, per l’appunto, i cookies.
Uno dei temi cruciali che ci si attende possa essere affrontato dalla riforma della ePrivacy è quello delle basi giuridiche del trattamento a fini di marketing e profilazione.
Il considerando 47 del GDPR, se pur con natura squisitamente programmatica, apre all’esercizio di taluni trattamenti per direct marketing sulla base del legittimo interesse del titolare che, tuttavia, dovrà essere ancorato a solide relazioni tra il destinatario della comunicazione e il titolare stesso, sulla base dell’aspettativa del primo ad essere contattato dal secondo, alla luce del rapporto già intercorrente tra i due.
Acquisto di beni o servizi e legittimo interesse
Individuando la più semplice delle declinazioni di tale concetto, sembra opportuno esaminare il caso dell’acquisto di un bene o di un servizio da parte dell’interessato. L’acquisto di tale bene consente al titolare del trattamento di presupporre non solo l’aspettativa ma anche un interesse dell’acquirente riguardo a comunicazioni commerciali da parte del fornitore/titolare, purché su prodotti analoghi o simili a quelli già acquistati. Tale interpretazione è il frutto di una messa a sistema non soltanto del considerando succitato, ma anche di interpretazioni dell’articolato del GDPR, soprattutto del suo art. 6, relativamente al legittimo interesse del titolare.
Chiunque attui politiche di marketing proverà a far leva, come è normale, sul legittimo interesse per effettuare le proprie campagne commerciali, ma tale base giuridica non può e non deve diventare la panacea buona per ogni circostanza: il rischio di violazione dei principi cardine del GDPR è alto ed è opportuno affrontare un’attenta analisi caso per caso, senza limitare il proprio business, da un canto, ma anche senza far correre inutili rischi alla propria azienda.
Gdpr e profilazione come finalità del trattamento
Tra i principali mezzi, poi, con i quali migliorare la potenzialità derivante dall’uso dei dati, troviamo quello senza dubbio lo strumento della profilazione. Purtroppo io ho un antico vizio, duro a morire, che mi spinge a ritenere la profilazione piuttosto un mezzo, una modalità del trattamento, anziché un fine. Da una prima lettura delle norme sulla profilazione, contrariamente a questa linea, parrebbe che il GDPR sancisca definitivamente la profilazione come finalità del trattamento, in linea peraltro con la giurisprudenza consolidata delle Autorità garanti privacy europee.
Devo dire, invece, che più leggo le norme sul GDPR e più mi convinco che forse cosi non sia del tutto. Inoltre, mentre in tanti hanno ritenuto che la profilazione entrando nel club delle finalità del trattamento sarebbe sempre e comunque stata soggetta al previo consenso dell’interessato, a ben guardare, il GDPR, all’art. 22, prevede il diritto dell’interessato a non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, quando questi producano effetti giuridici che lo riguardano o che incidano analogamente in modo significativo sulla sua persona. Ma nulla di più. E neanche nulla di meno.
Gdpr e trattamento automatizzato di dati personali, ecco le tutele per gli utenti
Vediamo di chiarire meglio questo passaggio cruciale. L’art. 22, dunque, sembrerebbe riportare la profilazione nell’alveo dei mezzi e non dei fini del trattamento.
Ma per far si che tale meccanismo operi adeguatamente, sono necessarie un paio di condizioni.
- La prima condizione, relativa alla natura dei mezzi utilizzati per il trattamento, implica l’assenza di qualsiasi intervento umano da parte del titolare/incaricato del trattamento, nel prendere qualsiasi decisione che valuti aspetti personali relativi all’interessato.
- La seconda condizione, a sua volta, richiede che le operazioni di trattamento producano effetti giuridici sostanziali sull’interessato.
Profilazione e richiesta del consenso
La misura in cui un trattamento possa essere considerato come impattante su un individuo è una questione molto discutibile che pone la domanda se sia necessario un atto formale (come stipulare un accordo con l’interessato) o se anche un rapporto indiretto possa essere ritenuto sufficiente per soddisfare il requisito di cui sopra.
A tal riguardo, viene fornita un’utile indicazione al considerando 71 del GDPR, che menziona come esempi di trattamento automatizzato delle decisioni che rientrano nel campo di applicazione dell’art. 22.1 del GDPR, il rifiuto automatico di una domanda di credito online o di una domanda di assunzione in azienda senza alcun intervento umano.
Alla luce di ciò, e considerando che il risultato del trattamento automatizzato deve essere “significativo” per innescare l’obbligo di ottenere un consenso specifico da parte dell’individuo prima di intraprendere qualsiasi attività decisionale automatizzata, si potrebbe arguire che solo le azioni atte a causare conseguenze sostanziali pratiche – come l’adozione o il rifiuto di una misura riguardante la relazione attuale / prevista con l’interessato – dovrebbero essere considerate come contemplate da questa disposizione.
In altre parole, sembra che la profilazione richieda il consenso dell’interessato solo quando una sorta di conseguenza o azione sia generata come risultato di una elaborazione, come confermato anche dagli articoli 13 e 15 del GDPR (si vedano anche i considerando 60 e 63, a tale riguardo) che elencano, tra le informazioni che devono essere fornite all’individuo al momento della raccolta dei dati o su sua richiesta (nell’esercizio del diritto di accesso), l’esistenza del processo decisionale automatizzato, inclusa la profilazione insieme a “l’importanza e le conseguenze previste di tale trattamento per l’interessato“.
Ciò significa che le persone interessate hanno il diritto evitare di essere assoggettate a una decisione basata esclusivamente sulla profilazione, quando ciò possa provocare conseguenze giuridicamente rilevanti o considerevolmente influire sulla sfera privata dell’interessato.
Il diritto di opporsi a trattamenti basati sulla profilazione
Le operazioni di profilazione sono anche oggetto di un’altra disposizione cardine del GDPR. Ai sensi dell’art. 21.1 del Regolamento, l’interessato ha il diritto di opporsi ai trattamenti basati sulla profilazione, in qualsiasi momento, qualora tale trattamento sia basato sul presupposto dell’interesse legittimo del titolare del trattamento.
Il secondo comma dell’art. 21 rafforza ancor di più la disposizione di cui sopra, stabilendo che quando il trattamento venga effettuato a fini di marketing diretto, con o senza profilazione, gli interessati devono sempre poter esercitare il loro diritto di opposizione, con cessazione immediata di ogni ulteriore trattamento anche per finalità correlate.
Sembrerebbe dunque che il GDPR, stante taluni presupposti, con riferimento a marketing diretto e alla profilazione, apra le porte ad un sostanziale opt-out.
In questo contesto appare chiaro che gli spazi per chi volesse effettuare marketing diretto e profilazione, in maniera proporzionata, etica e ragionata sono molti.
Profilazione nella bozza ePrivacy: torna il consenso
Tuttavia, la discussione che ruota intorno alla bozza di ePrivacy Regulation su questi punti sembrerebbe introdurre meccanismi retrogradi, volti a piegare il sistema piuttosto verso la base giuridica del consenso, in luogo di quella dell’interesse legittimo del titolare.
Occorre poi non dimenticare che al momento quella parte del Codice Privacy che disciplina il settore e che è basata sulla ePrivacy Directive, è ancora pienamente vigente.
Invito dunque tutti i miei lettori che magari abbiano provato un moto di entusiasmo nel leggere le mie argomentazioni su marketing e profilazione ad essere cauti nell’abbandonare, tout court, il consenso, aprendo freneticamente al legittimo interesse come base giuridica dei relativi trattamenti.
Al momento l’unica cosa certa, che non va dimenticata, è che in caso di mancata valutazione di impatto privacy (cd. “DPIA”) ed in assenza dei vari presupposti del trattamento, le sanzioni che possono essere irrogate sulla base del GDPR questa volta non potranno essere ignorate, considerato che nel massimo esso introduce criteri di calcolo della sanzione parametrati fino al 4% del fatturato mondiale annuo del trasgressore e del suo gruppo imprenditoriale.
| Il Regolamento ePrivacy, direttiva NIS e metadati |
| Il progetto di Regolamento ePrivacy attualmente in cantiere, del quale sono state presentate e discusse alcune bozze dalle istituzioni europee e dai loro comitati di esperti e politici (l’ultima è del 4 maggio scorso), rappresenta una tra le priorità più pressanti per i legislatori Ue, non solo in vista della necessità di rendere coerente il quadro normativo continentale in materia di data protection, ma anche per costituire un contraltare al grande mercato internazionale dominato dai big players, vittime e carnefici, al tempo stesso, di una selvaggia deregulation all’americana – basti pensare in tal senso ai recenti accadimenti della vicenda Cambridge Analitica, che hanno mostrato tutto il lato più inquietante di un mercato finora molto lasciato a sé stesso. |
| Poiché il GDPR, come noto, ha abrogato e sostituito la Direttiva 95/46/CE, senza tuttavia toccare il quadro ePrivacy, l’attuale proposta di Regolamento rappresenterebbe la coerente continuazione del processo di riforma avviato all’alba del 2012 con il Data Protection Reform Package delineato dalla Commissione Ue. |
| Tale “pacchetto” di norme, si è andato arricchendo nel tempo. L’approvazione della Network and Information Systems Directive (cosiddetta “Direttiva NIS”), in materia di cyber security delle infrastrutture strategiche – da poco recepita in Italia – segna un altro rilevante punto di svolta cruciale per il futuro della libera e sicura circolazione delle informazioni all’interno, da e verso l’Unione. |
| La proposta di Regolamento ePrivacy sembrerebbe prossima ad introdurre importanti cambiamenti per il settore del digitale in senso ampio. Dal marketing ai big data analytics, dalla profilazione al re-targeting online, la vera chiave di volta di questo progetto ruota evidentemente intorno ai metadati e alla loro enorme capacità di produrre ricchezza ed essere trasformati in valore aggiunto per OTT e operatori di comunicazione elettronica in generale. Già oggi, infatti, con il trattamento di tali flussi di informazioni è possibile interpretare e addirittura prevedere lo sviluppo di nuovi trend e modelli di comportamento, l’interazione online tra diversi individui, le modalità di selezione di luoghi, preferenze, eventi e molto altro ancora. |
| La semplificazione delle regole di “soft opt-in” |
| Nello specifico, la semplificazione delle regole in materia di “soft opt-in” ha previsto, almeno per il momento, una generale esenzione dall’obbligo di consenso per i cosiddetti cookie tecnici e di configurazione che non effettuano particolari attività di tracciamento e profilazione dell’utente. Inoltre, a ulteriore riprova del coordinamento tra GDPR e futuro Regolamento ePrivacy, queste prime bozze circolate sembrerebbero introdurre l’obbligo di implementare soluzioni “Do Not Track” by design e by default per tutti i provider di beni e servizi anche gratuiti forniti attraverso piattaforme e interfacce di comunicazione elettronica agli utenti finali – principio peraltro più volte apparso e scomparso nelle bozze degli ultimi mesi e fortemente avversato dalle associazioni di categoria dei produttori di software e di direct marketing. |
| In presenza di questo scenario, tuttavia, lo sfruttamento dei dati personali degli individui, essenziale per l’armonico sviluppo dell’economia digitale, deve sempre e comunque avvenire in conformità a tutte quelle garanzie di legge e regolamentari previste dalle norme a tutela della personalità e della libera concorrenza sul mercato. L’Europa, con l’Italia schierata in prima fila, rappresenta da sempre un’eccellenza su questo fronte, per quanto le difficoltà nell’attività di compliance ed enforcement da parte delle singole Autorità garanti privacy nazionali e della Commissione non cessino mai di mancare. |
| In tal senso si è anche espresso qualche giorno fa il Presidente dell’Autorità Garante per la protezione dei dati personali Antonello Soro, nel corso dell’annuale Relazione al Parlamento, in cui non ha mancato di sottolineare la particolare attenzione dell’Autorità italiana e delle Autorità europee alla fenomenologia del web, all’operato dei cosiddetti OTT e alle dinamiche del telemarketing, confermando una sorta di “guerra santa” al marketing selvaggio, trovandosi, peraltro in linea con le azioni che da tempo la DMA Direct Marketing Association e la FEDMA conducono rispettivamente a livello nazionale e comunitario. |
