Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs.
196/03
(Paolo Gallarati)
INDICE
-nozione di profila...
NOZIONE DI PROFILAZIONE
E’ comunemente definita come l’attività per mezzo della quale una serie complessa di dati
relativi...
NOZIONE DI PROFILAZIONE (segue)
Data mining
È l’esame complessivo dei dati raccolti sull’attività di utenti, tendente a tr...
La definizione normativa di profilazione
Il Garante definisce la profilazione come la “aggregazione di dati personali seco...
- Profilo demografico -
(esempio)
•Genere / sesso / razza
•Età/stato matrimoniale
•Grado d’istruzione
•Occupazione
•Prole ...
-profilo commerciale –
(esempio)
•Totale di spesa in acquisti on line
•Tempo passato a fare acquisti
•Occupazione/reddito
...
Dati personali oggetto di profilazione
Il Cod. Priv. definisce quale dato personale “qualunque informazione relativa a per...
Rilievo giuridico della profilazione
La possibilità di disporre e trattare, su base aggregata, di dati personali elaborati...
OBBLIGHI NORMATIVI IN CASO DI PROFILAZIONE
L’obbligo di informativa
E’ vietato il trattamento occulto di dati personali e,...
Case study:
Peppermint Jam Records e Techland:
Diveto di profilazione occulta per far difendere un diritto
(decisione del ...
L’obbligo di acquisizione del consenso
Dati personali individuali:
L’attività di profilazione ad oggetto dati personali in...
Case study:
E-dreams: divieto di consenso"omnibus"
(Prescrizioni del Garante 8 aprile 2010, n. 1629107)
Il Garante per la ...
Case study:
Finelco (radio studio 105, RMC, Virgin radio):
Vietata profilazione occulta tramite concorsi online e webradio...
Obbligo di notificazione
Chi intende procedere per finalità di profilazione al trattamento dei dati personali (“individual...
Profilazione e fidelizzazione della clientela
(provvedimento del 24 febbraio 2005)
Il Garante con ha individuato prescrizi...
Il Garante stabilisce che i trattamenti connessi a programmi di fidelizzazione devono svolgersi
rispettando I principi di:...
Case study:
Supermercati Pim / Sir
- Prescrizioni del 15 novembre 2007 -
Per verificare la conformità alle prescrizioni in...
case study:
fornitori di servizi di comunicazione elettronica accessibili al pubblico
(Prescrizioni 25 giugno 2009)
Il Gar...
prior checking
Se la profilazione ha ad oggetto dati personali aggregati, occorre in primo luogo osservare che il
livello ...
Sanzioni
La mancata osservanza delle disposizioni richiamate nonchè le prescrizioni impartite
comportano l'applicazione de...
SULAKE ITALIA - NCTM La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 Avv. Paolo Gallarati (P...
Upcoming SlideShare
Loading in …5
×
Upcoming SlideShare
Sindrom uremik
Next

1

Share

SULAKE ITALIA - NCTM La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 Avv. Paolo Gallarati (Partner NCTM)

SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici.

Milano 17.11.10

Intervento Avv. Paolo Gallarati (Partner NCTM)

- la nozione di profilazione

- obblighi di informativa, raccolta del consenso e notificazione al Garante;

- profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009)

- profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

SULAKE ITALIA - NCTM La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 Avv. Paolo Gallarati (Partner NCTM)

  1. 1. La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 (Paolo Gallarati) INDICE -nozione di profilazione -obblighi di informativa, raccolta del consenso e notificazione al Garante -profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009) -profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)
  2. 2. NOZIONE DI PROFILAZIONE E’ comunemente definita come l’attività per mezzo della quale una serie complessa di dati relativi a clienti viene elaborata per generare la segmentazione di utenti in gruppi omogenei di comportamento. I dati più comuni oggetto di profilazione: -la serie delle scelte di navigazione effettuate su un sito internet da utenti identificati; -la dichiarazione esplicita di preferenze e interessi ottenuta tramite procedure di registrazione o sondaggi; -la risposta di utenti identificati a promozioni, concorsi od operazioni a premio; - La tenuta di condotte seriali di acquisto di prodotti o servizi tracciate con programmi di fidelizzazione. I sistemi di profilazione consentono di segmentare in gruppi l’utenza sia manualmente, sia automaticamente, in base in base ad un software.
  3. 3. NOZIONE DI PROFILAZIONE (segue) Data mining È l’esame complessivo dei dati raccolti sull’attività di utenti, tendente a trovare nei loro comportamenti correlazioni significative da un punto di vista commerciale. Tra le correlazioni più utili, in relazione a siti internet, si annoverano le seguenti: Content affinities (affinità di contenuto) – gli insiemi di contenuti visti insieme dagli utenti del sito; Content effectiveness (efficacia dei contenuti) – l’elenco dei contenuti visti in sessioni- utente che si concludono con un acquisto; Product affinities (affinità di prodotto) – l’elenco dei prodotti acquistati insieme. Lo scopo dell’attività di data mining è la previsione della domanda di beni o servizi e quindi lo sviluppo di beni o servizi suscettibili di acquisto, attraverso le seguenti operazioni: associazioni – due eventi si verificano spesso insieme; sequenze – due eventi successivi legati da una relazione di causa-effettomo classificazioni – ordine in una serie di eventi; raggruppamenti – ricerca e presentazione di gruppi di fatti apparentemente slegati
  4. 4. La definizione normativa di profilazione Il Garante definisce la profilazione come la “aggregazione di dati personali secondo parametri predefiniti” (provv. 25 giugno 2009). Tali dati possono comprendere informazioni personali di tipo variegato, quali: - dati di carattere contrattuale - dati relativi ai consumi effettuati Da questi dati è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (es. fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza). Particolare attenzione è inoltre rivolta alla “profilazione mediante trattamento di dati personali con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica” (art. 37.1, lett. d) Cod. Priv.).
  5. 5. - Profilo demografico - (esempio) •Genere / sesso / razza •Età/stato matrimoniale •Grado d’istruzione •Occupazione •Prole e nucleo familiare
  6. 6. -profilo commerciale – (esempio) •Totale di spesa in acquisti on line •Tempo passato a fare acquisti •Occupazione/reddito •Rateo di successo nelle operazioni di acquisto • tipo di beni o servizi acquistati e frequenza di acquisto •Tempo passato con call center e numeri verdi
  7. 7. Dati personali oggetto di profilazione Il Cod. Priv. definisce quale dato personale “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. L’attività di profilazione può concernere: • dati personali “individuali”, così come definiti dall’art. 4 d.lgs.196/2003: […] “Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. • dati personali “aggregati”: derivano, da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico) contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (es. fatturazione, art. 123 del Codice, finalità di accertamento e repressione di reati, art. 132 del D. lgs. 196/2006 e d. lg. 109 del 2008).
  8. 8. Rilievo giuridico della profilazione La possibilità di disporre e trattare, su base aggregata, di dati personali elaborati rispetto a quelli originari comporta la disponibilità di un patrimonio informativo maggiore delle informazioni relative all’interessato considerate singolarmente. Da ciò deriva il rischio che l’elaborazione di dati aggregati: - Determina la creazione di dati personali nuovi molto significativi, di cui l’interessato è inconsapevole; - Determina iniziative commerciali invasive della sfera privata, potenzialmente indesiderate all’interessato; - Comporta potenziali errori di definizione nel profilo, con ripercussioni seriali sull’interessato
  9. 9. OBBLIGHI NORMATIVI IN CASO DI PROFILAZIONE L’obbligo di informativa E’ vietato il trattamento occulto di dati personali e, conseguentemente è vietata la profilazione occulta. Conseguentemente, i fornitori che intendano procedere ad un’attività di profilazione dei dati devono fornire agli interessati adeguata informativa ai sensi dell’art. 13 D.lgs. 196/2003. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
  10. 10. Case study: Peppermint Jam Records e Techland: Diveto di profilazione occulta per far difendere un diritto (decisione del 28 febbraio 2008, n. 1495246) Il Garante si è espresso vietando alle società di svolgere attività di monitoraggio sistematico e alla profilazione finalizzate all’individuazione di utenti responsabili di scambio illecito di file su Internet. Nel caso in esame il Garante avvia un’istruttoria nei confronti di Peppermint Jam Records GmbH, casa discografica con sede in Germania e di Techland sp. z.o.o. con sede in Polonia. Le società svolgono attraverso la Logistep AG un monitoraggio delle reti peer to peer (P2P). Tramite l’utilizzo di un software le società individuano, all’insaputa degli interessati, indirizzi IP di utenti responsabili di scambio di file protetti dal diritto d’autore e risalgono ai nominativi degli utenti, anche italiani, al prevalente fine di poter ottenere un risarcimento del danno. Il Garante ritiene illecita l’attività svolta dalle società. Il trattamento è viziato sotto il profilo della trasparenza e della correttezza, posto che non è stata fornita alcuna informativa preliminare agli utenti, in quanto i file offerti in condivisione, la data e l’ora del download sono stati raccolti direttamente presso gli interessati.
  11. 11. L’obbligo di acquisizione del consenso Dati personali individuali: L’attività di profilazione ad oggetto dati personali individuali è consentita solo se il titolare, ai sensi dell’art. 23 del D. lgs. 196/2003, sia in grado di documentare per iscritto un consenso al trattamento dei dati, informato, libero e specifico manifestato dall’interessato per tale finalità e relativo all’utilizzo dei dati. Dati personali aggregati: Il consenso deve essere obbligatoriamente prestato anche per il trattamento di dati personali aggregati. Infatti, pur in presenza di aggregazione, i dati non sono per ciò qualificabili come anonimi e rientrano nella nozione di dati personali secondo la definizione dell’art. 4, comma 1, lett. b) del D. lgs.196/2003
  12. 12. Case study: E-dreams: divieto di consenso"omnibus" (Prescrizioni del Garante 8 aprile 2010, n. 1629107) Il Garante per la protezione dei dati personali si è espresso vietando i consensi omnibus, indifferenziati, che hanno ad oggetto finalità diverse. Nel caso di attività di marketing e profilazione, i consensi al trattamento dei dati deve essere tenuti e prestati distintamente. Nel caso di specie, un interessato lamenta di aver ricevuto - dopo la registrazione al sito di eDreams s.r.l. attiva nella promozione di servizi turistici - e-mail indesiderate, contenenti la promozione di offerte relative a voli aerei, anche dopo la reiterata opposizione del segnalante a tale trattamento di dati. Nel corso della conseguente indagine, il Garante ha rilevato che "nel form di registrazione al suo sito la società non richiede un espresso consenso - distinto rispetto a quello necessario per i trattamenti con finalità di marketing - all'impiego dei dati per la finalità di profilazione, posta in essere dalla medesima come emerge dall'informativa del detto sito ("I dati verranno trattati per finalità istituzionali, connesse o strumentali all'attività del nostro Gruppo, e quindi: "1. per dare esecuzione ad un Servizio o ad una o più operazioni contrattualmente convenute …; 4. raccogliere informazioni sui gusti e preferenze del cliente in tema di viaggi ed informazioni socio demografiche….”) ed ha prescritto l’obbligo di raccogliere il consenso alla profilazione in modo separato.
  13. 13. Case study: Finelco (radio studio 105, RMC, Virgin radio): Vietata profilazione occulta tramite concorsi online e webradio (Prescrizioni del Garante 22 luglio 2010, n.1741988) Il Garante Privacy si è pronunciato in merito al trattamento dei dati effettuato da Gruppo Finelco S.p.a. e dalle proprie controllate Radio studio 105 s.r.l., United Music s.r.l., RMC Italia s.r.l., Virgin Radio Italy S.p.A. in relazione alla partecipazione a concorsi online ed all'attività di web radio. Nei form di registrazione alle community dei portali delle controllate, sia in quello di partecipazione al concorso “Summer Compilation” è richiesto agli interessati un unico consenso - il cui rilascio è obbligatorio- al trattamento dei propri dati per diverse finalità. Nel form si richiede all’utente un unico consenso al trattamento dei dati personali: 1) per finalità strettamente necessarie alla fornitura del servizio; 2) per il trasferimento dei dati alle società del Gruppo Finelco S.p.A.; 3) per l’invio di comunicazioni commerciali; 4) per operazioni di profilazione i cui risultati possono essere comunicati alle controllate o partners commerciali. Il Garante ha concluso che: "il titolare del trattamento deve anzitutto prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (consenso che è invece sollecitato nella modulistica presente on line), trattamenti per i quali il consenso non è richiesto (art. 24, comma 1, lett. b) del d.lgs.196/2003)”.
  14. 14. Obbligo di notificazione Chi intende procedere per finalità di profilazione al trattamento dei dati personali (“individuali o aggregati”) è tenuto ai sensi dell’art. 37, co. 1 lett. d) del Codice, a notificare, in ogni caso, al Garante tale trattamento con le modalità indicate dall’art. 38 del Codice, purché per l’esecuzione di tale attività faccia uso di strumenti elettronici, come di seguito indicato: d) “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”
  15. 15. Profilazione e fidelizzazione della clientela (provvedimento del 24 febbraio 2005) Il Garante con ha individuato prescrizioni ad oggetto i programmi di fidelizzazione della clientela (fidelity card) per la cd. grande distribuzione, volte a creare un rapporto duraturo con la clientela per acquisti e servizi e profilazione dei clienti. Il fenomeno ha assunto ampia portata interessando: 1- La commercializzazione di beni di consumo 2- La prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, e simili
  16. 16. Il Garante stabilisce che i trattamenti connessi a programmi di fidelizzazione devono svolgersi rispettando I principi di: 1) necessità, 2) liceità, 3) correttezza, 4) qualità dei dati, 5) proporzionalità (artt. 3 e 11 del D. lgs. 196/2003). In particolare: • In applicazione del principio di necessità (art. 3 del D. lgs.), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi (codici numerici); •Nel rispetto del principio di proporzionalità (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite. Dati sensibili: l’utilizzazione di (ex art. 4, comma 1, lett. d)del D. lgs. 196/2003 non è di regola ammessa per finalità di profilazione. in particolare non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale. Resta salva l'ipotesi eccezionale nella quale il trattamento di dati sia: 1) realmente indispensabile in rapporto allo specifico bene o servizio Richiesto. 2) autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. (cfr. Autorizzazione Generale del Garante n. 5/2004).
  17. 17. Case study: Supermercati Pim / Sir - Prescrizioni del 15 novembre 2007 - Per verificare la conformità alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, il Garante dopo aver svolto accertamenti presso alcuni operatori economici ha trattato in data 15 novembre 2007 cinque casi aventi ad oggetto il trattamento di dati personali nell'ambito di programmi di fidelizzazione della clientela. A riguardo sono state riscontrati profili di violazione nella disciplina del trattamento dei dati personali, circa l’eccedenza di dati (quali la professione, titolo di studio, componenti del nucleo familiare)
  18. 18. case study: fornitori di servizi di comunicazione elettronica accessibili al pubblico (Prescrizioni 25 giugno 2009) Il Garante per la protezione dei dati personali, a seguito dii molteplici accertamenti ed ispezioni, ha realizzato un monitoraggio sull'attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori"), con l'intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di "profilazione" della totalità dei propri clienti (c.d. "base clienti"), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster). Oltre agli obblighi di informativa e consenso, viene specificato l’onere di cd. Prior checking.
  19. 19. prior checking Se la profilazione ha ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento. Pertanto, nell'eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovrà essere presentata in base al disposto dell'art. 17 del D. lgs. 196/2003, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta: a)verifica la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento; b)prescrive le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice; c)valuta se autorizzare i fornitori ad effettuare l'attività di profilazione, in assenza del consenso degli interessati, ai sensi dell' art. 24, comma 1, lett. g), del Codice.
  20. 20. Sanzioni La mancata osservanza delle disposizioni richiamate nonchè le prescrizioni impartite comportano l'applicazione delle sanzioni ex artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del D. lgs. 196/2003. • art. 161 - mancata o inidonea informativa. La violazione delle disposizioni di cui all'art. 13, nel quale è indicato che le informazioni da rendere all'interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; • art. 163 - omessa o incompleta notificazione. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ex artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro; • L'art. 164 bis – banche dati. In caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata fino al quadruplo (commi 3 e 4 del medesimo articolo).
  • EnricoLaRosa

    Oct. 8, 2015

SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici. Milano 17.11.10 Intervento Avv. Paolo Gallarati (Partner NCTM) - la nozione di profilazione - obblighi di informativa, raccolta del consenso e notificazione al Garante; - profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009) - profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)

Views

Total views

858

On Slideshare

0

From embeds

0

Number of embeds

3

Actions

Downloads

0

Shares

0

Comments

0

Likes

1

×