E’ proprio di questi giorni l’ultimo Provvedimento dell’Autorità Garante Privacy in materia di Profilazione On-Line: “Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015” (Pubblicato sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015).
A differenza del Provvedimento in materia di Cookie nel quale veniva stabilito un abbondante termine di adeguamento ormai prossimo a scadenza, quello in materia di Profilazione On-Line è immediatamente esecutivo (self-executing): di prassi sono comunque concessi solo 15 giorni circa affinché i soggetti destinatari possano venirne a conoscenza e intraprendere le relative azioni di adeguamento obbligatorie.
Prima di prendere in esamina tale recentissima novità, sarebbe opportuno ripercorrere questi ultimi mesi tornando a giugno dello scorso anno ed esattamente al 3 giugno 2014, giorno di pubblicazione in Gazzetta Ufficiale del Provvedimento dell’Autorità Garante Privacy in materia di Cookie: “no ai Cookie di profilazione senza consenso”. Con tale Provvedimento sono state introdotte nuove regole per un uso corretto dei Cookie, soprattutto per i c.d. di Profilazione, e relativo obbligo del consenso preventivo.
Di tali nuove regole se ne è già parlato nel nostro relativo articolo dello scorso anno “La Privacy per i Cookie: definite le nuove regole” e in una nostra intervista radiofonica “Le Nuove Regole sui Cookie”, ma è opportuno quanto meno ribadire un aspetto fondamentale di questo Provvedimento in merito alla tipologia dei Cookie e alla loro categoria di appartenenza poiché sulla base di questa gli obblighi da recepire sono maggiori e decisamente più restrittivi.
I Cookie sono di Sessione, Tecnici, Analitici, Comportamentali e di Profilazione (per maggiori informazioni: “La Privacy per il Web Marketing & Cookie: Consigli Pratici”). Il suddetto Provvedimento raccoglie le prime tre tipologie nella categoria Cookie Tecnici e le ultime due nella Categoria Cookie di Profilazione.
Tale classificazione ha un impatto rilevante soprattutto per i Cookie Comportamentali (monitoraggio delle preferenze di navigazione) poiché estende a tale tipologia gli stessi obblighi previsti e attesi per i veri e propri Cookie di Profilazione (ricostruzione profilo commerciale): banner informativo e notificazione all’Autorità Garante.
Il termine di 12 mesi previsto per tali adeguamenti scade il prossimo 2 giugno.
Nei mesi successivi sotto la lente del Garante diversi processi di digital marketing. Molteplici sono state le attività ispettive che hanno colpito diversi siti web con relative sanzioni, tra questi un caso che è stato direttamente seguito dalla nostra Organizzazione e che ci ha portato lunedì scorso proprio presso l’Autorità Garante per “discutere” dell’importanza della relativa sanzione amministrativa (per approfondimenti sul caso: “La Lead Generation sotto la lente del Garante Privacy”).
Del mese scorso è l’emanazione da parte dell’Autority del “Vademecum per il Marketing” quale breve guida che affronta alcune delle principali questioni riguardanti le offerte commerciali, la pubblicità e il monitoraggio del comportamento del consumatore, anche e soprattutto on line.
Di inizio settimana la presentazione di Antonello Soro, Garante Privacy nazionale, durante una conferenza stampa del “Kit Privacy Cookie” quale breve guida per le varie aziende al fine di meglio comprendere la normativa relativa ai cookie.
Dell’altro ieri l’ultimo Provvedimento in materia di Profilazione On-Line. Vediamo ora di cosa si tratta.
La privacy dovrà essere garantita sia per gli utenti autenticati, dotati di un account, e sia per i non autenticati, utenti che navigano semplicemente on-line.
In home page dovrà essere ben visibile, chiara, completa ed esaustiva l’Informativa sul trattamento dei dati personali e dovrà inoltre essere strutturata su più livelli, per facilitarne la lettura e la relativa comprensione: ad esempio nel primo livello l’indicazione dei trattamenti e dei dati oggetto di trattamento e un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.
La profilazione potrà essere effettuata solo ed esclusivamente con il consenso dell’utente. Tale consenso si rende necessario non solo per l’utilizzo di cookies comportamentali e di profilazione sul web, ma anche per tutti quei processi che gestiscono attività di profilazione per finalità commerciali quali ad esempio i dati relativi all’uso della posta elettronica, quelle basate sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.), quelle basate sull’impiego di strumenti di identificazione (ad esempio il fingerprinting), e così via. All’utente dovrà essere sempre garantito il diritto di revoca dei consensi in precedenza espressi.
I tempi di data retention (conservazione dei dati) dovranno essere sempre e chiaramente indicati in Informativa per ogni specifica finalità di trattamento. Tali tempi dovranno essere adeguatamente definiti in una sorta di Documentazione delle Scelte.
Il termine previsto per tali adeguamenti scade il prossimo 21 maggio.
Durante la presentazione del “Kit Privacy Cookie” il Presidente dell’Autorità Garante Privacy, Antonello Soro, dichiara: “La norma sui cookie è largamente disattesa perché poco applicabile, ma dopo l’entrata in vigore del provvedimento dell’Autorità per la privacy, attiveremo un sistema di controlli”.
Pochi i dubbi sul fatto che parte delle risorse dell’Autorità Garante Privacy saranno dedicate a breve ad attività di verifica e controllo proprio nell’ambito del Digital Marketing.
Entrambi i Provvedimenti definiscono e introducono nuovi obblighi non sempre di facile comprensione e soprattutto di difficile applicazione qualora le conoscenze delle norme nell’ambito de “La Privacy per il Digital Marketing” sono quelle che sono.
Coloro che sapranno fornire adeguate garanzie di riservatezza e tutela dei dati personali degli utenti saranno coloro che faranno la differenza anche e soprattutto nel web.
Ne sa qualcosa la Web Agency ispezionata e colpita da sanzione come sopra (per approfondimenti sul caso: “La Lead Generation sotto la lente del Garante Privacy”) che dal primo giorno di adozione sul proprio sito web di un Modello Organizzativo Privacy idoneo e autorizzato dalla Privacy Autority mantiene un livello di conversione per le finalità di marketing pari al 67%.
La Privacy da Costo a Valore: come dire il contrario?