SlideShare a Scribd company logo

SULAKE ITALIA - NCTM La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 Avv. Paolo Gallarati (Partner NCTM)

Sulake Italia Srl
Sulake Italia Srl

SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici. Milano 17.11.10 Intervento Avv. Paolo Gallarati (Partner NCTM) - la nozione di profilazione - obblighi di informativa, raccolta del consenso e notificazione al Garante; - profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009) - profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)

Business
1 of 21
La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 (Paolo Gallarati) INDICE -nozione di profilazione -obblighi di informativa, raccolta del consenso e notificazione al Garante -profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009) -profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)
NOZIONE DI PROFILAZIONE E’ comunemente definita come l’attività per mezzo della quale una serie complessa di dati relativi a clienti viene elaborata per generare la segmentazione di utenti in gruppi omogenei di comportamento. I dati più comuni oggetto di profilazione: -la serie delle scelte di navigazione effettuate su un sito internet da utenti identificati; -la dichiarazione esplicita di preferenze e interessi ottenuta tramite procedure di registrazione o sondaggi; -la risposta di utenti identificati a promozioni, concorsi od operazioni a premio; - La tenuta di condotte seriali di acquisto di prodotti o servizi tracciate con programmi di fidelizzazione. I sistemi di profilazione consentono di segmentare in gruppi l’utenza sia manualmente, sia automaticamente, in base in base ad un software.
NOZIONE DI PROFILAZIONE (segue) Data mining È l’esame complessivo dei dati raccolti sull’attività di utenti, tendente a trovare nei loro comportamenti correlazioni significative da un punto di vista commerciale. Tra le correlazioni più utili, in relazione a siti internet, si annoverano le seguenti: Content affinities (affinità di contenuto) – gli insiemi di contenuti visti insieme dagli utenti del sito; Content effectiveness (efficacia dei contenuti) – l’elenco dei contenuti visti in sessioni- utente che si concludono con un acquisto; Product affinities (affinità di prodotto) – l’elenco dei prodotti acquistati insieme. Lo scopo dell’attività di data mining è la previsione della domanda di beni o servizi e quindi lo sviluppo di beni o servizi suscettibili di acquisto, attraverso le seguenti operazioni: associazioni – due eventi si verificano spesso insieme; sequenze – due eventi successivi legati da una relazione di causa-effettomo classificazioni – ordine in una serie di eventi; raggruppamenti – ricerca e presentazione di gruppi di fatti apparentemente slegati
La definizione normativa di profilazione Il Garante definisce la profilazione come la “aggregazione di dati personali secondo parametri predefiniti” (provv. 25 giugno 2009). Tali dati possono comprendere informazioni personali di tipo variegato, quali: - dati di carattere contrattuale - dati relativi ai consumi effettuati Da questi dati è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (es. fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza). Particolare attenzione è inoltre rivolta alla “profilazione mediante trattamento di dati personali con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica” (art. 37.1, lett. d) Cod. Priv.).
- Profilo demografico - (esempio) •Genere / sesso / razza •Età/stato matrimoniale •Grado d’istruzione •Occupazione •Prole e nucleo familiare
-profilo commerciale – (esempio) •Totale di spesa in acquisti on line •Tempo passato a fare acquisti •Occupazione/reddito •Rateo di successo nelle operazioni di acquisto • tipo di beni o servizi acquistati e frequenza di acquisto •Tempo passato con call center e numeri verdi
Dati personali oggetto di profilazione Il Cod. Priv. definisce quale dato personale “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. L’attività di profilazione può concernere: • dati personali “individuali”, così come definiti dall’art. 4 d.lgs.196/2003: […] “Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. • dati personali “aggregati”: derivano, da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico) contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (es. fatturazione, art. 123 del Codice, finalità di accertamento e repressione di reati, art. 132 del D. lgs. 196/2006 e d. lg. 109 del 2008).
Rilievo giuridico della profilazione La possibilità di disporre e trattare, su base aggregata, di dati personali elaborati rispetto a quelli originari comporta la disponibilità di un patrimonio informativo maggiore delle informazioni relative all’interessato considerate singolarmente. Da ciò deriva il rischio che l’elaborazione di dati aggregati: - Determina la creazione di dati personali nuovi molto significativi, di cui l’interessato è inconsapevole; - Determina iniziative commerciali invasive della sfera privata, potenzialmente indesiderate all’interessato; - Comporta potenziali errori di definizione nel profilo, con ripercussioni seriali sull’interessato
OBBLIGHI NORMATIVI IN CASO DI PROFILAZIONE L’obbligo di informativa E’ vietato il trattamento occulto di dati personali e, conseguentemente è vietata la profilazione occulta. Conseguentemente, i fornitori che intendano procedere ad un’attività di profilazione dei dati devono fornire agli interessati adeguata informativa ai sensi dell’art. 13 D.lgs. 196/2003. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
Case study: Peppermint Jam Records e Techland: Diveto di profilazione occulta per far difendere un diritto (decisione del 28 febbraio 2008, n. 1495246) Il Garante si è espresso vietando alle società di svolgere attività di monitoraggio sistematico e alla profilazione finalizzate all’individuazione di utenti responsabili di scambio illecito di file su Internet. Nel caso in esame il Garante avvia un’istruttoria nei confronti di Peppermint Jam Records GmbH, casa discografica con sede in Germania e di Techland sp. z.o.o. con sede in Polonia. Le società svolgono attraverso la Logistep AG un monitoraggio delle reti peer to peer (P2P). Tramite l’utilizzo di un software le società individuano, all’insaputa degli interessati, indirizzi IP di utenti responsabili di scambio di file protetti dal diritto d’autore e risalgono ai nominativi degli utenti, anche italiani, al prevalente fine di poter ottenere un risarcimento del danno. Il Garante ritiene illecita l’attività svolta dalle società. Il trattamento è viziato sotto il profilo della trasparenza e della correttezza, posto che non è stata fornita alcuna informativa preliminare agli utenti, in quanto i file offerti in condivisione, la data e l’ora del download sono stati raccolti direttamente presso gli interessati.
L’obbligo di acquisizione del consenso Dati personali individuali: L’attività di profilazione ad oggetto dati personali individuali è consentita solo se il titolare, ai sensi dell’art. 23 del D. lgs. 196/2003, sia in grado di documentare per iscritto un consenso al trattamento dei dati, informato, libero e specifico manifestato dall’interessato per tale finalità e relativo all’utilizzo dei dati. Dati personali aggregati: Il consenso deve essere obbligatoriamente prestato anche per il trattamento di dati personali aggregati. Infatti, pur in presenza di aggregazione, i dati non sono per ciò qualificabili come anonimi e rientrano nella nozione di dati personali secondo la definizione dell’art. 4, comma 1, lett. b) del D. lgs.196/2003
Case study: E-dreams: divieto di consenso"omnibus" (Prescrizioni del Garante 8 aprile 2010, n. 1629107) Il Garante per la protezione dei dati personali si è espresso vietando i consensi omnibus, indifferenziati, che hanno ad oggetto finalità diverse. Nel caso di attività di marketing e profilazione, i consensi al trattamento dei dati deve essere tenuti e prestati distintamente. Nel caso di specie, un interessato lamenta di aver ricevuto - dopo la registrazione al sito di eDreams s.r.l. attiva nella promozione di servizi turistici - e-mail indesiderate, contenenti la promozione di offerte relative a voli aerei, anche dopo la reiterata opposizione del segnalante a tale trattamento di dati. Nel corso della conseguente indagine, il Garante ha rilevato che "nel form di registrazione al suo sito la società non richiede un espresso consenso - distinto rispetto a quello necessario per i trattamenti con finalità di marketing - all'impiego dei dati per la finalità di profilazione, posta in essere dalla medesima come emerge dall'informativa del detto sito ("I dati verranno trattati per finalità istituzionali, connesse o strumentali all'attività del nostro Gruppo, e quindi: "1. per dare esecuzione ad un Servizio o ad una o più operazioni contrattualmente convenute …; 4. raccogliere informazioni sui gusti e preferenze del cliente in tema di viaggi ed informazioni socio demografiche….”) ed ha prescritto l’obbligo di raccogliere il consenso alla profilazione in modo separato.
Case study: Finelco (radio studio 105, RMC, Virgin radio): Vietata profilazione occulta tramite concorsi online e webradio (Prescrizioni del Garante 22 luglio 2010, n.1741988) Il Garante Privacy si è pronunciato in merito al trattamento dei dati effettuato da Gruppo Finelco S.p.a. e dalle proprie controllate Radio studio 105 s.r.l., United Music s.r.l., RMC Italia s.r.l., Virgin Radio Italy S.p.A. in relazione alla partecipazione a concorsi online ed all'attività di web radio. Nei form di registrazione alle community dei portali delle controllate, sia in quello di partecipazione al concorso “Summer Compilation” è richiesto agli interessati un unico consenso - il cui rilascio è obbligatorio- al trattamento dei propri dati per diverse finalità. Nel form si richiede all’utente un unico consenso al trattamento dei dati personali: 1) per finalità strettamente necessarie alla fornitura del servizio; 2) per il trasferimento dei dati alle società del Gruppo Finelco S.p.A.; 3) per l’invio di comunicazioni commerciali; 4) per operazioni di profilazione i cui risultati possono essere comunicati alle controllate o partners commerciali. Il Garante ha concluso che: "il titolare del trattamento deve anzitutto prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (consenso che è invece sollecitato nella modulistica presente on line), trattamenti per i quali il consenso non è richiesto (art. 24, comma 1, lett. b) del d.lgs.196/2003)”.
Obbligo di notificazione Chi intende procedere per finalità di profilazione al trattamento dei dati personali (“individuali o aggregati”) è tenuto ai sensi dell’art. 37, co. 1 lett. d) del Codice, a notificare, in ogni caso, al Garante tale trattamento con le modalità indicate dall’art. 38 del Codice, purché per l’esecuzione di tale attività faccia uso di strumenti elettronici, come di seguito indicato: d) “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”
Profilazione e fidelizzazione della clientela (provvedimento del 24 febbraio 2005) Il Garante con ha individuato prescrizioni ad oggetto i programmi di fidelizzazione della clientela (fidelity card) per la cd. grande distribuzione, volte a creare un rapporto duraturo con la clientela per acquisti e servizi e profilazione dei clienti. Il fenomeno ha assunto ampia portata interessando: 1- La commercializzazione di beni di consumo 2- La prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, e simili
Il Garante stabilisce che i trattamenti connessi a programmi di fidelizzazione devono svolgersi rispettando I principi di: 1) necessità, 2) liceità, 3) correttezza, 4) qualità dei dati, 5) proporzionalità (artt. 3 e 11 del D. lgs. 196/2003). In particolare: • In applicazione del principio di necessità (art. 3 del D. lgs.), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi (codici numerici); •Nel rispetto del principio di proporzionalità (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite. Dati sensibili: l’utilizzazione di (ex art. 4, comma 1, lett. d)del D. lgs. 196/2003 non è di regola ammessa per finalità di profilazione. in particolare non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale. Resta salva l'ipotesi eccezionale nella quale il trattamento di dati sia: 1) realmente indispensabile in rapporto allo specifico bene o servizio Richiesto. 2) autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. (cfr. Autorizzazione Generale del Garante n. 5/2004).
Case study: Supermercati Pim / Sir - Prescrizioni del 15 novembre 2007 - Per verificare la conformità alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, il Garante dopo aver svolto accertamenti presso alcuni operatori economici ha trattato in data 15 novembre 2007 cinque casi aventi ad oggetto il trattamento di dati personali nell'ambito di programmi di fidelizzazione della clientela. A riguardo sono state riscontrati profili di violazione nella disciplina del trattamento dei dati personali, circa l’eccedenza di dati (quali la professione, titolo di studio, componenti del nucleo familiare)
case study: fornitori di servizi di comunicazione elettronica accessibili al pubblico (Prescrizioni 25 giugno 2009) Il Garante per la protezione dei dati personali, a seguito dii molteplici accertamenti ed ispezioni, ha realizzato un monitoraggio sull'attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori"), con l'intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di "profilazione" della totalità dei propri clienti (c.d. "base clienti"), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster). Oltre agli obblighi di informativa e consenso, viene specificato l’onere di cd. Prior checking.
prior checking Se la profilazione ha ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento. Pertanto, nell'eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovrà essere presentata in base al disposto dell'art. 17 del D. lgs. 196/2003, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta: a)verifica la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento; b)prescrive le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice; c)valuta se autorizzare i fornitori ad effettuare l'attività di profilazione, in assenza del consenso degli interessati, ai sensi dell' art. 24, comma 1, lett. g), del Codice.
Sanzioni La mancata osservanza delle disposizioni richiamate nonchè le prescrizioni impartite comportano l'applicazione delle sanzioni ex artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del D. lgs. 196/2003. • art. 161 - mancata o inidonea informativa. La violazione delle disposizioni di cui all'art. 13, nel quale è indicato che le informazioni da rendere all'interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; • art. 163 - omessa o incompleta notificazione. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ex artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro; • L'art. 164 bis – banche dati. In caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata fino al quadruplo (commi 3 e 4 del medesimo articolo).

Recommended

Sindrom uremik
Sindrom uremikSindrom uremik
Sindrom uremikYabniel Lit Jingga
 
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...Sulake Italia Srl
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
 
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura Corallo
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura CoralloSULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura Corallo
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura CoralloSulake Italia Srl
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 

Recommended

Sindrom uremik
Sindrom uremikSindrom uremik
Sindrom uremikYabniel Lit Jingga
 
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...
SULAKE ITALIA - NCTM E-commerce: come sfruttare intelligentemente i Social Me...Sulake Italia Srl
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
 
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura Corallo
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura CoralloSULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura Corallo
SULAKE ITALIA - NCTM Online Advertising Case Studies Dott.ssa Laura CoralloSulake Italia Srl
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesProject for Public Spaces & National Center for Biking and Walking
 

More Related Content

Featured

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 

Featured (20)

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 

SULAKE ITALIA - NCTM La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 Avv. Paolo Gallarati (Partner NCTM)

  • 1.
  • 2. La profilazione del cliente: limiti e adempimenti ai sensi del d. lgs. 196/03 (Paolo Gallarati) INDICE -nozione di profilazione -obblighi di informativa, raccolta del consenso e notificazione al Garante -profilazione da parte di fornitori di servizi di comunicazione elettronica (provv. Garante 25.06.2009) -profilazione nei programmi di fidelizzazione della clientela (provv. Garante del 15.11.2007)
  • 3. NOZIONE DI PROFILAZIONE E’ comunemente definita come l’attività per mezzo della quale una serie complessa di dati relativi a clienti viene elaborata per generare la segmentazione di utenti in gruppi omogenei di comportamento. I dati più comuni oggetto di profilazione: -la serie delle scelte di navigazione effettuate su un sito internet da utenti identificati; -la dichiarazione esplicita di preferenze e interessi ottenuta tramite procedure di registrazione o sondaggi; -la risposta di utenti identificati a promozioni, concorsi od operazioni a premio; - La tenuta di condotte seriali di acquisto di prodotti o servizi tracciate con programmi di fidelizzazione. I sistemi di profilazione consentono di segmentare in gruppi l’utenza sia manualmente, sia automaticamente, in base in base ad un software.
  • 4. NOZIONE DI PROFILAZIONE (segue) Data mining È l’esame complessivo dei dati raccolti sull’attività di utenti, tendente a trovare nei loro comportamenti correlazioni significative da un punto di vista commerciale. Tra le correlazioni più utili, in relazione a siti internet, si annoverano le seguenti: Content affinities (affinità di contenuto) – gli insiemi di contenuti visti insieme dagli utenti del sito; Content effectiveness (efficacia dei contenuti) – l’elenco dei contenuti visti in sessioni- utente che si concludono con un acquisto; Product affinities (affinità di prodotto) – l’elenco dei prodotti acquistati insieme. Lo scopo dell’attività di data mining è la previsione della domanda di beni o servizi e quindi lo sviluppo di beni o servizi suscettibili di acquisto, attraverso le seguenti operazioni: associazioni – due eventi si verificano spesso insieme; sequenze – due eventi successivi legati da una relazione di causa-effettomo classificazioni – ordine in una serie di eventi; raggruppamenti – ricerca e presentazione di gruppi di fatti apparentemente slegati
  • 5. La definizione normativa di profilazione Il Garante definisce la profilazione come la “aggregazione di dati personali secondo parametri predefiniti” (provv. 25 giugno 2009). Tali dati possono comprendere informazioni personali di tipo variegato, quali: - dati di carattere contrattuale - dati relativi ai consumi effettuati Da questi dati è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (es. fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza). Particolare attenzione è inoltre rivolta alla “profilazione mediante trattamento di dati personali con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica” (art. 37.1, lett. d) Cod. Priv.).
  • 6. - Profilo demografico - (esempio) •Genere / sesso / razza •Età/stato matrimoniale •Grado d’istruzione •Occupazione •Prole e nucleo familiare
  • 7. -profilo commerciale – (esempio) •Totale di spesa in acquisti on line •Tempo passato a fare acquisti •Occupazione/reddito •Rateo di successo nelle operazioni di acquisto • tipo di beni o servizi acquistati e frequenza di acquisto •Tempo passato con call center e numeri verdi
  • 8. Dati personali oggetto di profilazione Il Cod. Priv. definisce quale dato personale “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. L’attività di profilazione può concernere: • dati personali “individuali”, così come definiti dall’art. 4 d.lgs.196/2003: […] “Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. • dati personali “aggregati”: derivano, da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico) contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (es. fatturazione, art. 123 del Codice, finalità di accertamento e repressione di reati, art. 132 del D. lgs. 196/2006 e d. lg. 109 del 2008).
  • 9. Rilievo giuridico della profilazione La possibilità di disporre e trattare, su base aggregata, di dati personali elaborati rispetto a quelli originari comporta la disponibilità di un patrimonio informativo maggiore delle informazioni relative all’interessato considerate singolarmente. Da ciò deriva il rischio che l’elaborazione di dati aggregati: - Determina la creazione di dati personali nuovi molto significativi, di cui l’interessato è inconsapevole; - Determina iniziative commerciali invasive della sfera privata, potenzialmente indesiderate all’interessato; - Comporta potenziali errori di definizione nel profilo, con ripercussioni seriali sull’interessato
  • 10. OBBLIGHI NORMATIVI IN CASO DI PROFILAZIONE L’obbligo di informativa E’ vietato il trattamento occulto di dati personali e, conseguentemente è vietata la profilazione occulta. Conseguentemente, i fornitori che intendano procedere ad un’attività di profilazione dei dati devono fornire agli interessati adeguata informativa ai sensi dell’art. 13 D.lgs. 196/2003. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
  • 11. Case study: Peppermint Jam Records e Techland: Diveto di profilazione occulta per far difendere un diritto (decisione del 28 febbraio 2008, n. 1495246) Il Garante si è espresso vietando alle società di svolgere attività di monitoraggio sistematico e alla profilazione finalizzate all’individuazione di utenti responsabili di scambio illecito di file su Internet. Nel caso in esame il Garante avvia un’istruttoria nei confronti di Peppermint Jam Records GmbH, casa discografica con sede in Germania e di Techland sp. z.o.o. con sede in Polonia. Le società svolgono attraverso la Logistep AG un monitoraggio delle reti peer to peer (P2P). Tramite l’utilizzo di un software le società individuano, all’insaputa degli interessati, indirizzi IP di utenti responsabili di scambio di file protetti dal diritto d’autore e risalgono ai nominativi degli utenti, anche italiani, al prevalente fine di poter ottenere un risarcimento del danno. Il Garante ritiene illecita l’attività svolta dalle società. Il trattamento è viziato sotto il profilo della trasparenza e della correttezza, posto che non è stata fornita alcuna informativa preliminare agli utenti, in quanto i file offerti in condivisione, la data e l’ora del download sono stati raccolti direttamente presso gli interessati.
  • 12. L’obbligo di acquisizione del consenso Dati personali individuali: L’attività di profilazione ad oggetto dati personali individuali è consentita solo se il titolare, ai sensi dell’art. 23 del D. lgs. 196/2003, sia in grado di documentare per iscritto un consenso al trattamento dei dati, informato, libero e specifico manifestato dall’interessato per tale finalità e relativo all’utilizzo dei dati. Dati personali aggregati: Il consenso deve essere obbligatoriamente prestato anche per il trattamento di dati personali aggregati. Infatti, pur in presenza di aggregazione, i dati non sono per ciò qualificabili come anonimi e rientrano nella nozione di dati personali secondo la definizione dell’art. 4, comma 1, lett. b) del D. lgs.196/2003
  • 13. Case study: E-dreams: divieto di consenso"omnibus" (Prescrizioni del Garante 8 aprile 2010, n. 1629107) Il Garante per la protezione dei dati personali si è espresso vietando i consensi omnibus, indifferenziati, che hanno ad oggetto finalità diverse. Nel caso di attività di marketing e profilazione, i consensi al trattamento dei dati deve essere tenuti e prestati distintamente. Nel caso di specie, un interessato lamenta di aver ricevuto - dopo la registrazione al sito di eDreams s.r.l. attiva nella promozione di servizi turistici - e-mail indesiderate, contenenti la promozione di offerte relative a voli aerei, anche dopo la reiterata opposizione del segnalante a tale trattamento di dati. Nel corso della conseguente indagine, il Garante ha rilevato che "nel form di registrazione al suo sito la società non richiede un espresso consenso - distinto rispetto a quello necessario per i trattamenti con finalità di marketing - all'impiego dei dati per la finalità di profilazione, posta in essere dalla medesima come emerge dall'informativa del detto sito ("I dati verranno trattati per finalità istituzionali, connesse o strumentali all'attività del nostro Gruppo, e quindi: "1. per dare esecuzione ad un Servizio o ad una o più operazioni contrattualmente convenute …; 4. raccogliere informazioni sui gusti e preferenze del cliente in tema di viaggi ed informazioni socio demografiche….”) ed ha prescritto l’obbligo di raccogliere il consenso alla profilazione in modo separato.
  • 14. Case study: Finelco (radio studio 105, RMC, Virgin radio): Vietata profilazione occulta tramite concorsi online e webradio (Prescrizioni del Garante 22 luglio 2010, n.1741988) Il Garante Privacy si è pronunciato in merito al trattamento dei dati effettuato da Gruppo Finelco S.p.a. e dalle proprie controllate Radio studio 105 s.r.l., United Music s.r.l., RMC Italia s.r.l., Virgin Radio Italy S.p.A. in relazione alla partecipazione a concorsi online ed all'attività di web radio. Nei form di registrazione alle community dei portali delle controllate, sia in quello di partecipazione al concorso “Summer Compilation” è richiesto agli interessati un unico consenso - il cui rilascio è obbligatorio- al trattamento dei propri dati per diverse finalità. Nel form si richiede all’utente un unico consenso al trattamento dei dati personali: 1) per finalità strettamente necessarie alla fornitura del servizio; 2) per il trasferimento dei dati alle società del Gruppo Finelco S.p.A.; 3) per l’invio di comunicazioni commerciali; 4) per operazioni di profilazione i cui risultati possono essere comunicati alle controllate o partners commerciali. Il Garante ha concluso che: "il titolare del trattamento deve anzitutto prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (consenso che è invece sollecitato nella modulistica presente on line), trattamenti per i quali il consenso non è richiesto (art. 24, comma 1, lett. b) del d.lgs.196/2003)”.
  • 15. Obbligo di notificazione Chi intende procedere per finalità di profilazione al trattamento dei dati personali (“individuali o aggregati”) è tenuto ai sensi dell’art. 37, co. 1 lett. d) del Codice, a notificare, in ogni caso, al Garante tale trattamento con le modalità indicate dall’art. 38 del Codice, purché per l’esecuzione di tale attività faccia uso di strumenti elettronici, come di seguito indicato: d) “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”
  • 16. Profilazione e fidelizzazione della clientela (provvedimento del 24 febbraio 2005) Il Garante con ha individuato prescrizioni ad oggetto i programmi di fidelizzazione della clientela (fidelity card) per la cd. grande distribuzione, volte a creare un rapporto duraturo con la clientela per acquisti e servizi e profilazione dei clienti. Il fenomeno ha assunto ampia portata interessando: 1- La commercializzazione di beni di consumo 2- La prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, e simili
  • 17. Il Garante stabilisce che i trattamenti connessi a programmi di fidelizzazione devono svolgersi rispettando I principi di: 1) necessità, 2) liceità, 3) correttezza, 4) qualità dei dati, 5) proporzionalità (artt. 3 e 11 del D. lgs. 196/2003). In particolare: • In applicazione del principio di necessità (art. 3 del D. lgs.), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi (codici numerici); •Nel rispetto del principio di proporzionalità (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite. Dati sensibili: l’utilizzazione di (ex art. 4, comma 1, lett. d)del D. lgs. 196/2003 non è di regola ammessa per finalità di profilazione. in particolare non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale. Resta salva l'ipotesi eccezionale nella quale il trattamento di dati sia: 1) realmente indispensabile in rapporto allo specifico bene o servizio Richiesto. 2) autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. (cfr. Autorizzazione Generale del Garante n. 5/2004).
  • 18. Case study: Supermercati Pim / Sir - Prescrizioni del 15 novembre 2007 - Per verificare la conformità alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, il Garante dopo aver svolto accertamenti presso alcuni operatori economici ha trattato in data 15 novembre 2007 cinque casi aventi ad oggetto il trattamento di dati personali nell'ambito di programmi di fidelizzazione della clientela. A riguardo sono state riscontrati profili di violazione nella disciplina del trattamento dei dati personali, circa l’eccedenza di dati (quali la professione, titolo di studio, componenti del nucleo familiare)
  • 19. case study: fornitori di servizi di comunicazione elettronica accessibili al pubblico (Prescrizioni 25 giugno 2009) Il Garante per la protezione dei dati personali, a seguito dii molteplici accertamenti ed ispezioni, ha realizzato un monitoraggio sull'attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori"), con l'intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di "profilazione" della totalità dei propri clienti (c.d. "base clienti"), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster). Oltre agli obblighi di informativa e consenso, viene specificato l’onere di cd. Prior checking.
  • 20. prior checking Se la profilazione ha ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento. Pertanto, nell'eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovrà essere presentata in base al disposto dell'art. 17 del D. lgs. 196/2003, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta: a)verifica la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento; b)prescrive le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice; c)valuta se autorizzare i fornitori ad effettuare l'attività di profilazione, in assenza del consenso degli interessati, ai sensi dell' art. 24, comma 1, lett. g), del Codice.
  • 21. Sanzioni La mancata osservanza delle disposizioni richiamate nonchè le prescrizioni impartite comportano l'applicazione delle sanzioni ex artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del D. lgs. 196/2003. • art. 161 - mancata o inidonea informativa. La violazione delle disposizioni di cui all'art. 13, nel quale è indicato che le informazioni da rendere all'interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; • art. 163 - omessa o incompleta notificazione. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ex artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro; • L'art. 164 bis – banche dati. In caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata fino al quadruplo (commi 3 e 4 del medesimo articolo).