Dati particolari inferiti e tutela dell’interessato
Uno dei rischi a cui la versione 1.0 delle linee guida n. 8/2020 (in consultazione) dell’EDPB, sul targeting degli utenti dei social media, è rappresentato dal non corretto utilizzo dei dati inferiti. Si premette come i dati inferiti siano il risultato della combinazione tra i dati forniti dall’utente del social media e i dati che quest’ultimo acquisisce da terze parti, sempre con riferimento al medesimo interessato.
Tale combinazione porta alla creazione di dati che l’interessato non aveva fornito, né al social network né alle terze parti. Questi nuovi dati, che risultano comunque riconducibili alla categoria dei dati personali, esulano quindi dalla volontà dell’interessato di fornirli, dato che sono creati dalla combinazione messa in atto dal social media stesso.
Non si esclude, dunque, che dai dati personali “comuni” si possa, tramite l’incrocio di tali dati e quelli forniti da terze parti, arrivare alla generazione e al trattamento dei dati c.d. particolari.
Ciò premesso ci si chiede dunque, se il social network possa utilizzare tali dati personali particolari inferiti per il targeting e farlo inoltre senza acquisire un nuovo consenso dell’interessato ovvero senza disporre una nuova informativa ad hoc?
(Nella foto: Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Tale quesito ha maggior rilievo se si considerano i principi di diritto d’accesso dell’interessato, ex articolo 15 GDPR, e del principio di trasparenza, come edotto dall’articolo 12 GDPR, e come enunciato all’articolo 5, paragrafo 1, lettera (a) GDPR, nonché l’articolo 9 GDPR.
Da una analisi delle linee guida dell’EDPB in questione la risposta dovrebbe essere negativa. Infatti, l’interessato, non avendo voluto rivelare tali dati personali particolari al social network, non può essere prevaricato nel suo diritto di scegliere quali dati personali rivelare o quali dati non rilevare. A maggior ragione se sono dati personali particolari.
Si auspica, dunque, un intervento di maggior dettaglio con l’emanazione, forse, di linee guida apposite volte a risolvere l’annosa questione dei dati personali inferiti, con la speranza di un intervento dirimente sia del Garante Italiano che di quello Europeo. L’incertezza normativa e di indirizzo sui dati inferiti impone, così come imporrà, una regolamentazione più specifica a salvaguardia dei diritti dell’interessato.