, , ,

Profilare i clienti senza il loro consenso: le nuove opportunità introdotte dal GDPR

Si possono profilare i clienti senza il loro consenso?

Il nuovo Regolamento privacy europeo 2016/679, a differenza del Codice privacy, disciplina espressamente la profilazione  e prevede diversi scenari applicabili in base al contesto e alle finalità della profilazione. Tra le varie novità introdotte, grazie ad una nuova base legale è possibile profilare i clienti senza il loro consenso, ma a patto che siano rispettate certe condizioni…

La profilazione nel #GDPR

In base al Regolamento infatti l’attività di profilazione pura, che consiste nell’ individuazione delle caratteristiche, preferenze ed abitudini dei consumatori può essere posta alla base di processi decisionali parzialmente o del tutto automatizzati per fornire servizi e prodotti su misura ed in linea con le esigenze individuali dei soggetti. I requisiti e gli obblighi legali previsti dal Regolamento cambiano a seconda del livello di automazione delle decisioni che si basano sulla profilazione in quanto possono comportare ripercussioni negative nella sfera dei soggetti profilati con conseguenze che potrebbero sfociare nell’esclusione o nella discriminazione.

La profilazione ad esempio è alla base dei processi di analisi del merito creditizio e di identificazione e prevenzione delle frodi, che possono portare a concedere o meno l’accesso al credito, ma è anche alla base del processo di analisi e previsione dei flussi finanziari, che può portare a destinare le comunicazioni di marketing solo a determinati consumatori in base alla loro liquidità. In questi casi l’adozione di un processo decisionale basato unicamente sul trattamento automatizzato dei dati, in cui cioè l’intervento umano non è contemplato, è consentita dal Regolamento esclusivamente in base alle 3 eccezioni previste dall’Art. 22, cioè quando ciò sia necessario ai fini dell’esecuzione di un contratto, sia autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare, oppure si basi sul consenso esplicito dell’interessato.

L’interesse legittimo: quale sconosciuto

Tuttavia nel caso in cui si preveda la possibilità di una rivalutazione sostanziale da parte di un soggetto delle decisioni adottate in via automatica dai sistemi (ad esempio nel caso in cui il dipendente di una banca valuta in ultima analisi l’adeguatezza del prestito calcolato in modo automatico dal software in base alla situazione finanziaria del richiedente) permetterà al titolare del trattamento di basare l’attività di profilazione sulle 6 condizioni previste dall’Art. 6 comma 1, tra cui l’interesse legittimo del titolare del trattamento.

Questa nuova base legale introdotta dal Regolamento permette di effettuare la profilazione dei consumatori senza dipendere, come in precedenza, da un provvedimento del Garante, ma basandosi su una valutazione interna svolta dal titolare del trattamento.  Tale valutazione dovrà necessariamente comprendere l’esecuzione del cosiddetto balancing test, cioè un bilanciamento tra gli interessi del titolare del trattamento e quelli degli interessati i cui dati sono trattati quale conseguenza dell’esercizio dell’interesse legittimo, e in ogni caso l’attività di profilazione potrà svolgersi solo a determinate condizioni.

Le condizioni da rispettare

In particolare, bisognerà poter giustificare che il trattamento automatizzato dei dati persoanli non è invasivo e che risponde anche ad un interesse del cliente. Infatti, secondo la posizione dei Garanti europei, la profilazione è consentita se necessaria per il perseguimento del legittimo interesse del titolare del trattamento, tenendo conto di alcuni elementi di particolare rilievo, tra cui         il livello di dettaglio e la granularità dell’analisi,  gli impatti potenziali della profilazione, il numero di soggetti coinvolti e le misure volte ad assicurare un processo di profilazione equo, non discriminatorio ed accurato.

E quindi?

Per concludere giova precisare che sebbene il Regolamento riconosca espressamente che può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto, occorre tuttavia tenere presente che questa nuova base giuridica del trattamento non sostituisce il consenso ed è necessario effettuare una attenta valutazione caso per caso per verificare che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative che può nutrire in base alla sua relazione con il titolare del trattamento.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.