Parlare di marketing e profilazione in Italia significa toccare inevitabilmente un tema da sempre caldo, anzi caldissimo, nell’ambito della protezione dei dati personali. Da un lato c’è il sempiterno e naturale interesse delle aziende al trattamento di grandi moli di dati per finalità di promozione commerciale e (sempre più spesso) personalizzata. Dall’altro c’è l’altissima attenzione che fin dalla propria istituzione il Garante per la protezione dei dati personali ha dedicato a tali tematiche. Nel mezzo ci sono le innovazioni, tanto tecnologiche quanto normative, portate dall’avvento della nuova economia dei dati, le quali impongono ora un generale ripensamento delle logiche fino ad oggi adottate dai vari attori in gioco.
Come dovrebbe allora cambiare l’approccio a questi temi da parte delle imprese e del Garante? A questa ambiziosa domanda proveremo a dare una risposta in questo breve contributo, che è anche la quarta puntata di “Italia: focus data economy”, la serie di approfondimenti dedicata alle sfide che attendono l’Italia di fronte all’avvento della data economy.
Codici di condotta, lo strumento per un’Italia a prova di data economy
Un piano di rinnovamento per il Garante
Lo si è detto fin da subito nell’incipit, marketing e profilazione sono due settori molto cari alla nostra Autorità. Prendiamo soltanto i piani ispettivi dal 2017 al 2021. I riferimenti alle attività di marketing, di telemarketing e di profilazione (in particolare quella degli interessati che aderiscono a carte di fidelizzazione) sono un leitmotiv ricorrente. Un interesse che ha avuto, a monte, una proficua (ma ormai lontana) produzione di provvedimenti generali e, a valle, una forte (e recentemente incrementata) attenzione sanzionatoria.
Quanto al primo aspetto, basterà rammentare come i capisaldi della disciplina in queste materie affondano le proprie radici addirittura nei primi anni duemila, quando venne adottato un provvedimento allora visionario e che fece (e che fa ancora) scuola, quello in materia di fidelity card e garanzie per i consumatori. Era il 24 febbraio 2005, il Presidente del Garante era Stefano Rodotà e al suo fianco c’era Giovanni Buttarelli come Segretario Generale. Chi scrisse quel provvedimento, Roberto Lattanzi, è ancora in Autorità ed oggi si occupa di Intelligenza artificiale. Oltre a questo, sono tanti altri i provvedimenti di carattere generale partoriti in quegli anni e che tuttora guidano operatori ed interpreti nell’applicazione della normativa data protection. Le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, ma anche le Linee guida in materia di trattamento di dati personali per profilazione on line del 19 marzo 2015, sono sicuramente tra gli esempi più noti e cristallini di una regolamentazione che ha travalicato i tempi della propria adozione.
Nondimeno, con l’entrata in pieno rodaggio del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) ci si aspettava un intervento volto non solo ad attualizzare i provvedimenti più datati rispetto alla nuova cornice normativa, ma anche a prendere atto e disciplinare l’evidente – e per certi versi drastico – mutamento di scenario tecnologico registratosi negli ultimi anni. L’interesse e la pervasività delle attività di marketing (e sempre più anche di profilazione) giustificavano un’aspettativa che rimane ad oggi ancora disattesa.
L’attività sanzionatoria
Di converso, a trovare rinnovata linfa negli ultimi anni è stata l’attività sanzionatoria della nostra Autorità, che ha iniziato a presidiare con sempre maggior riguardo i settori dei quali qui si discute. Un’attenzione che ha visto calata sulle attività di telemarketing la più pesante delle lenti di ingrandimento. Non fa certo più notizia il fatto che le sanzioni privacy ad oggi più ingenti in Italia sono state comminate dal nostro Garante proprio per operazioni di trattamento poste in essere per finalità di marketing.
Marketing e profilazione: i tre punti per un cambio di approccio dell’Autorità
Il quadro appena descritto è sufficientemente delineato per tracciare ora quelli che, a mio avviso, potrebbero essere i tre punti fondamentali sui quali l’Autorità dovrebbe fondare il proprio impegno di medio lungo termine nel settore del marketing e della profilazione.
Un cambio di direzione concettuale
Occorre innanzitutto un cambio di direzione concettuale, che personalmente auspicavo già a ridosso dell’entrata in piena vigenza del GDPR e ancor prima quando il nuovo regolamento era ancora in fase di adozione. Marketing e profilazione non devono essere più considerati come due mondi separati, due distinte finalità del trattamento che, per questo, richiedono consensi indipendenti. Si tratta invero di prendere atto che la profilazione, più che una finalità, costituisce una modalità del trattamento, la quale permette il perseguimento di altre e diverse finalità, come per l’appunto quella commerciale. La sperimentazione e l’esperienza pratica della normativa data protection rendono a mio parere tale assunto un’evidenza. E dunque personalmente non posso che sperare anche in una chiara presa di posizione istituzionale sul punto.
Una virata di strategia operativa
Le Autorità di controllo, non solo il nostro Garante, dovrebbero poi impegnarsi in una virata di strategia operativa. Bene le sanzioni, esemplari ma mai esasperate, ora però serve anche con coraggio rinnovare i provvedimenti generali più datati. Il recente ripensamento delle linee guida sui cookie a livello europeo fa ben sperare. Da questo punto di vista, il Garante italiano pare aver pienamente compreso l’importanza di garantire una disciplina al passo con le novità della tecnica e che al tempo stesso sia in grado di prevedere, in maniera flessibile e dinamica, i possibili sviluppi futuri. È arrivato il momento di sperimentare questo approccio anche in un altro settore di pari – se non addirittura superiore – interesse per le imprese.
I codici di condotta
Da ultimo, e quale corollario dei punti appena evidenziati, il ripensamento e la modernizzazione della disciplina di secondo grado dovrebbe passare anche attraverso l’impiego dei nuovi strumenti introdotti dal GDPR. Mi sto chiaramente riferendo ai codici di condotta (di cui scrivevo qualche settimana fa per questa testata). Il Garante ha ampiamente dimostrato di essere un’autorità sensibile rispetto all’opportuna valorizzazione di questo mezzo di autodisciplina, tanto da fungere da apripista a livello europeo con l’adozione del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, il primo codice approvato nell’era post GDPR, seguito poi anche dal Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. Il passo successivo è quello di aprirsi e proiettarsi verso un codice di condotta dedicato proprio al settore del marketing (ad esempio seguendo quanto fatto dall’Autorità di controllo spagnola).
La strategia per le imprese
Non a caso il terzo ed ultimo punto dedicato al Garante aveva ad oggetto l’adozione di un codice di condotta. Trovando tale istituto la propria genesi nell’interlocuzione dialettica tra privati ed Autorità, il riferimento permette di anticipare l’imprinting di ciò che mi piacerebbe suggerire alle imprese.
Non compete certo ad un avvocato della data economy come me spiegare quali siano le opportunità che oggi la circolazione e la valorizzazione dei dati personali sono in grado di portare ad ogni business, piccolo o grande che sia. Invece, credo che sia mio compito insistere affinché venga compreso che il massimo profitto lo si può raggiungere solo quando ogni trattamento sia pienamente e perfettamente lecito ed etico. Ciò vale a maggior ragione quando di mezzo ci sono marketing e profiling. Questo è dunque l’obiettivo a cui dovrebbero tendere le aziende, che è al tempo stesso compliance alla normativa e massimizzazione del proprio business, la seconda per il tramite della prima. Per farlo, anche qui, consiglio tre semplici mosse.
Fare tesoro dei provvedimenti sanzionatori del Garante
La prima: fare tesoro dei provvedimenti sanzionatori del Garante. In mancanza di un rinnovamento della disciplina generale in materia, gli orientamenti e gli eventuali revirement dell’Autorità vivono inevitabilmente nei (frequenti) provvedimenti di carattere particolare, vale a dire le sanzioni. Bisogna dunque evitare l’errore da primo giorno di scuola che porta a ritenere irrilevante un provvedimento destinato ad un altro compagno di mercato. È al contrario proprio dallo studio di queste singole prese di posizione dell’Autorità che dovrà partire il proprio processo di ciclica autovalutazione.
Assessment e remediation
Ed ecco la seconda mossa, che in realtà ne contiene al suo interno altre due. Assessment e remediation. La stagione dell’adeguamento a cavallo dell’entrata in vigore del GDPR non può e non deve ritenersi conclusa. La c.d. privacy è una materia in costante divenire, che richiede un commitment continuo. E sono gli stessi istituti data protection (penso anche solo al registro dei trattamenti o alla valutazione di impatto) a indicare a chiare lettere la necessità di non chiudere mai nulla nel cassetto, dovendosi invece tenere sempre tutto a portata di penna. La valutazione dei trattamenti in ambito marketing e profilazione, per la intrinseca delicatezza di tali ambiti e per la posizione di forte esposizione in cui si trovano ad operare titolari e responsabili del trattamento, non può dunque e a maggior ragione mai dirsi finita. Ecco che allora processi e personale devono essere organizzati in modo da consentire mappature regolari, audit periodici, analisi preventive e piani di intervento rimediale per ogni dimensione temporale. Tutto questo, va da sé, non deve riguardare solo e soltanto i nuovi tool o le campagne di volta in volta sviluppate, ma anche tutto il pregresso, per garantire sempre un’adeguata perimetrazione di sicurezza del sistema e la migliore valorizzazione del patrimonio informativo a disposizione.
Formazione
Da ultimo, e non certo per importanza, c’è la vecchia e cara formazione. Sembrerà banale, ma è un aspetto assolutamente da non trascurare. Soprattutto in tali ambiti, dove i dati personali quasi assumono una propria materialità, venendo “maneggiati” dai reparti commerciali e IT. Proprio a tali funzioni deve essere dedicata una particolare e specifica attenzione in termini di istruzione. Sul punto ci si potrà chiaramente affidare anche all’opera del Data Protection Officer eventualmente nominato, al fine altresì di creare un canale quanto più possibile diretto tra questa fondamentale funzione di controllo e consulenza ed autorizzati al trattamento a dir poco strategici.
Le sfide future: dall’ePrivacy all’IA, passando per la monetizzazione dei dati
Il programma appena delineato è certamente ambizioso. Eppure, è reso necessario dall’incessante progredire della data economy. Un fenomeno, quest’ultimo, che sta già portando in scena nuove comparse. Limitandosi alle attività di marketing e profilazione, non v’è dubbio che la prossima adozione del nuovo Regolamento ePrivacy, ormai da troppo tempo attesa, avrà un impatto non affatto trascurabile. Allo stesso modo, l’impiego di sempre più evolute tecniche di intelligenza artificiale potrebbe portare a fare i conti con le nuove regole che verranno dettate in materia dall’Artificial Intelligence Act.
C’è tuttavia un ulteriore tema che con tutta probabilità impatterà già nel breve termine questo mercato. Mi sto riferendo alla cosiddetta “monetizzazione” dei dati, la possibilità cioè di ricevere un bene o un servizio “in cambio” dei propri dati personali. Si tratta di un dibattito che risale nel tempo fin dalla gestazione e successiva approvazione della Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali e che oggi trova rinnovata linfa a seguito dell’approvazione del D.Lgs. 4 novembre 2021, n. 173 che attua la suddetta direttiva (come approvato lo scorso 28 ottobre dal Consiglio dei Ministri). La novella, che dal prossimo primo gennaio farà comparire nel Codice del Consumo italiano (D.Lgs. 6 settembre 2005, n. 206) i nuovi articoli che andranno dal 135-octies al 135-vicies ter, interviene andando a regolare taluni aspetti dei contratti di fornitura di contenuto digitale o di servizi digitali conclusi tra consumatore e professionista, fra cui la conformità del contenuto digitale o del servizio digitale al contratto, i rimedi in caso di difetto di conformità al contratto o di mancata fornitura, le modalità di esercizio degli stessi, nonché la modifica del contenuto digitale o del servizio digitale (ex nuovo articolo 135-octies). Ed è lo stesso articolo 135-ocites che, nell’offrire le necessarie definizioni e nel delineare l’ambito di applicazione del capo, espressamente sancisce che «[l]e disposizioni del presente capo si applicano altresì nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti».
Stiamo dunque assistendo a quello che pare essere a tutti gli effetti un riconoscimento ex lege della possibilità di effettuare uno scambio tra dati personali e contenuti o servizi digitali. Ciò non può che far accendere immediatamente svariate lampadine nella mente delle funzioni marketing. Il sentiero scolpito dal legislatore, comunitario prima e nazionale ora, richiede tuttavia di procedere con le dovute cautele. Saranno infatti e fin da subito necessarie lucide valutazioni di principio, di sistema e di compatibilità con l’assetto normativo ad oggi vigente in materia di protezione dei dati personali. Nondimeno, il dado pare ormai tratto e tutti, aziende, professionisti della data economy e lo stesso Garante, saranno sicuramente presto chiamati a fare i conti anche con questa importante novità.
Abbiamo ancora tempo per scrivere regole semplici, chiare e incontrovertibili – per quanto possibile – sarebbe un peccato non approfittare di questo tempo di rinnovamento della società dovuto alla doppia azione della pandemia e delle misure di stimolo e sostegno alla crescita. Sarebbe imperdonabile dover assistere ad un liberi tutti – un po’ all’americana – salvo dover poi ricordarsi che dietro ai dati ci sono individui, con le loro vite, i loro diritti e le loro libertà. Occuparsi per bene di questa problematica, prima che i dati diventino res in commercio, è un dovere di tutti noi, ma in primis delle istituzioni che ci rappresentano e di quelle preposte.