Hai un sito internet e vuoi sapere come raccogliere correttamente i dati personali degli utenti per finalità di profilazione?
I dati personali degli utenti possono, infatti, essere raccolti per suddividere gli interessati in profili, oppure in gruppi omogenei per comportamenti o caratteristiche specifici. Perché? La ragione è semplice. Questo è consentito per identificare inequivocabilmente il singolo utente o il terminale e, per il suo tramite, anche il profilo di uno o più utilizzatori di quel dispositivo.
Detto questo, è necessario conoscere le regole dettate in tema di profilazione. Come si acquisiscono in maniera corretta i dati personali per fini di profilazione? Vediamolo insieme!
Noi di DirittodelWeb mettiamo a tua disposizione il nostro servizio di consulenza fiscale e legale online.
Contattaci per saperne di più.
Cosa si intende per profilazione dei dati personali
L’articolo 4 del GDPR definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica”. In particolare ci si riferisce ad aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Il Garante Europeo specifica che la profilazione è integrata quando il trattamento è svolto in forma automatizzata, ha ad oggetto dati personali e il suo obiettivo è quello di valutare aspetti personali di una persona fisica. Questi aspetti devono coesistere.
Con la profilazione, infatti, si raccolgono informazioni su un individuo (o gruppi di individui). Inoltre si analizzano le sue caratteristiche o modelli di comportamento. Il profilo individuale viene poi inserito in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un’attività, i suoi interessi o comportamento probabile.
La profilazione può essere il fondamento di un processo decisionale parzialmente automatizzato. Non è consentito, ai sensi dell’articolo 22 del GDPR, sottoporre un soggetto a una decisione basata su un trattamento totalmente automatizzato, se questa attività produce effetti giuridici che lo riguardano.
Perché è usata la profilazione?
Per fornire servizi sempre più mirati e conformati sulle specifiche esigenze dell’utente e per garantire una pubblicità personalizzata. Inoltre l’analisi e il monitoraggio dei comportamenti dei visitatori dei siti web e lo sfruttamento commerciale dei profili ottenuti possono avere un significativo valore di mercato.
Fatta questa premessa, scopriamo insieme qualcosa in più sulla normativa in tema di dati personali e profilazione.
GDPR e profilazione
Se vuoi sapere come acquisire correttamente i dati personali degli utenti per finalità di profilazione, devi fare riferimento al GDPR.
Il GDPR, il Regolamento europeo 2016/679, tutela il titolare dei dati personali che naviga sul tuo sito. Cosa prevede il GDPR? Prima di tutto la necessità del consenso espresso dell’interessato al trattamento dei dati personali per attività di profilazione. L’articolo 23 specifica che il consenso è valido solo se è espresso liberamente ed è documentato per iscritto.
Attenzione! Il GDPR prevede per le attività di profilazione un consenso a parte rispetto a quello più generale per il trattamento dei dati personali.
Tuttavia, esistono dei casi in cui il consenso non è necessario. In queste ipotesi il trattamento dei dati personali per finalità di profilazione può essere effettuato anche in assenza del consenso. Pensiamo all’adempimento di obblighi di legge, all’esecuzione di obblighi contrattuali, al perseguimento di un legittimo interesse del titolare o di un terzo destinatario dei dati.
Ma cosa devi fare prima di acquisire e archiviare queste informazioni degli utenti? Cosa prevede la legge? Leggiamo l’articolo 122. Esistono degli obblighi di informazione da parte del titolare del sito nei confronti dell’utente. L’utente deve esprimere il suo consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3.
L’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate sono consentiti unicamente se utili alla trasmissione di una comunicazione su una rete di comunicazione elettronica. Allo stesso modo, sono consentiti se necessari al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.
Ma come acquisire il consenso ai sensi del GDPR? Continua a leggere questo articolo per scoprirlo.
Acquisizione del consenso e profilazione
Abbiamo parlato della necessità del consenso dell’interessato al trattamento dei dati personali per finalità di profilazione, ai sensi del GDPR.
Questo consenso deve inoltre rispondere, ai fini della sua validità, a specifici requisiti di legge. Deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto.
L’espressione del consenso deve costituire una inequivoca manifestazione di volontà da parte dell’interessato.
Veniamo adesso all’aspetto pratico. Come si acquisisce praticamente il consenso al trattamento dei dati per finalità di profilazione?
Il GDPR propone, anche per finalità di semplificazione, una soluzione di acquisizione del consenso on line idonea a soddisfare i menzionati requisiti. Presupposto per l’acquisizione online è che il consenso non sia stato già altrimenti acquisito, sulla base di altre modalità. Pensiamo a un coupon, a un form on line, a moduli cartacei, o simili.
Le forme di acquisizione del consenso possono comunque essere diverse a seconda del tipo di utente che naviga sul sito, se autenticato mediante credenziali o no.
Il GDPR ha adottato delle Linee Guida ai sensi dell´art. 154, comma 1, lett. h, dello stesso.
Diritti dell’interessato nella profilazione
L’interessato al trattamento dei suoi dati personali riceve una forte tutela dal GDPR. Quali sono i suoi diritti in tema di acquisizione dei dati personali per profilazione?
In primo luogo, il diritto di opposizione, a norma dell’articolo 7, comma 3, del GDPR. In base a questo diritto, l’interessato può revocare il proprio consenso in qualsiasi momento. Esiste poi un diritto a essere informato sulla profilazione e su eventuali processi decisionali (parzialmente) automatizzati. Ancora, l’utente in ogni momento può chiedere di visualizzare il proprio profilo, i suoi dati personali usati e quelli che risultano dall’analisi dei suoi comportamenti. Si tratta di quello che viene definito “diritto di accesso”. Infine, l’interessato può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati. Inoltre, in qualsiasi momento, può chiedere la limitazione della profilazione. È questo il contenuto del diritto alla rettifica e alla cancellazione.
Contattaci se hai bisogno di maggiori informazioni su come raccogliere i dati personali degli utenti per profilazione.
Conclusioni e consigli
Hai dei dubbi? Scrivici nei commenti, ti risponderemo!
Siamo sempre a disposizione se vuoi ricevere una consulenza gratuita.
Contattaci tramite il form che trovi qui sotto!
