NEWS

L'attività di profilazione sussiste anche in mancanza di identificazione dell'interessato

Una recente decisione della Corte di Cassazione (Sez. VI - 2, ordinanza 8 novembre 2021, n. 32411) offre l'occasione per tracciare i confini del concetto normativo di profilazione, in cui va ricondotta la tecnica usata sempre più frequentemente tanto in settori pubblici che privati con l'obiettivo di studiare il comportamento delle persone.

Protezione dei dati personali: l'attività di profilazione sussiste anche in mancanza di identificazione dell'interessato

Le sempre più crescenti capacità in materia di analisi dei big data, di intelligenza artificiale e di apprendimento automatico, rendono più facile la creazione di profili e l'adozione di decisioni automatizzate su essi basate. Ma la larga diffusione e la facilità di utilizzo non deve far dimenticare le potenziali ripercussioni che ne possono derivare, posto che l'analisi e la previsione di aspetti della personalità, del comportamento, degli interessi di una persona possono avere ricadute significative sui suoi diritti e sulle sue libertà.

Per contenere tali rischi è necessario approntare una serie di strumenti e il legislatore è intervenuto nel tempo con differenti precauzioni. In particolare, l'ordinanza in commento riguarda la mancata notifica al Garante circa l'utilizzo della profilazione, dunque, è relativa ad una fattispecie rientrante nel campo di applicazione del Codice Privacy ante Regolamento GDPR.

Ciò nonostante, la questione affrontata conserva la sua attualità, posto che a prescindere dalla misura specifica prevista dalla normativa vigente, il presupposto logico-giuridico resta il medesimo e concerne l'esatta individuazione di un'attività di profilazione.

In dettaglio, la Suprema Corte è intervenuta confermando un'ordinanza ingiunzione del Garante per la protezione dei dati personali circa il pagamento di una sanzione amministrativa, per l'omessa notifica all'Autorità del trattamento dei dati derivanti dalla geolocalizzazione continua dei veicoli noleggiati e dalla profilazione del cliente (dlgs. n. 196 del 2003, ex art. 37, lett. a) e d)). La società, esercente il noleggio di una flotta di veicoli a trazione elettrica, aveva predisposto offerte personalizzate rispetto alla tariffa ordinaria sulla base di un algoritmo in modo da prevedere l'utilizzo che ciascun autista avrebbe fatto dei veicoli e ottenere la percentuale di sconto utilizzabile.

La disciplina ratione temporis applicabile è contenuta nell'art. 37, comma 1, lett. d), del Codice Privacy, il quale prevedeva la necessità della notifica al Garante nel caso in cui il trattamento riguardasse "dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".

Nel corso del giudizio la società opponente ha fatto leva sul concetto di profilazione inteso come attività caratterizzata dalla strumentalità verso la fornitura di pubblicità o la commercializzazione di tali profili. Sotto il profilo tecnico, a parere della società medesima, non sussisteva profilazione per tre ragioni:

a) il meccanismo dello sconto non memorizzava alcun dato, né i dati temporaneamente immessi nel sito venivano messi in collegamento con le anagrafiche degli utenti;

b) l'attività non era strumentale alla fornitura di pubblicità personalizzata né allo sfruttamento commerciale delle indicazioni fornite dai visitatori del web, né alla commercializzazione di tali informazioni;

c) lo sconto era determinato in modo automatico e non consentiva di risalire all'identificazione inequivoca dell'utente.

A sostegno della propria tesi il ricorrente richiamava la definizione di profilazione contenuta nelle linee guida del Garante (provv. n. 161 del 19 marzo 2015) in cui, effettivamente, la profilazione è concepita come categorizzazione degli utenti al fine di pervenire all'identificazione inequivoca del singolo utente.

Ciò nonostante, la Corte predilige una interpretazione più orientata al significato espresso dalla previsione legale che, in maniera vincolante e inequivoca, depone per la profilazione intesa come attività volta a definire il profilo o la personalità dell'interessato.

Ed è proprio in questo passaggio che risiede la forza cogente della decisione in commento: il trattamento con modalità automatizzata di dati personali con il fine di analizzare abitudini o scelte di consumo, sebbene non porti alla identificazione individuale e sebbene sia diretta ad offrire una migliore proposta economica all'utente integra di per sé un'attività di profilazione. Ciò che rileva, a tal fine, è qualsiasi screening dei dati personali al fine di analizzare o prevedere le specifiche esigenze dell'utente fruitore, anche se quest'ultimo dovesse riceverne un vantaggio economico (ad esempio, in termini di sconto).

In conclusione, non si può nascondere che la profilazione può rappresentare un vantaggio per la persona che ne è l'oggetto, ad esempio consentendo una migliore segmentazione del mercato e, quindi, adattando l'offerta alla domanda, così da consentire servizi di migliore qualità. Pure nell'ambito dei servizi pubblici la profilazione può garantire una maggior efficienza dell'agire amministrativo e, così, una migliore risposta alle esigenze della collettività. In tali termini, la profilazione può arrecare benefici agli utenti, all'economia ed alla società nel suo complesso. Tuttavia, al fine di poter implementare le precauzioni prescritte dalla normativa vigente è indispensabile comprenderne l'esatto ambito di applicazione, da identificarsi con qualsivoglia attività volta a studiare il comportamento delle persone a prescindere dalla effettiva identificazione.

di Gianluca Fasano  (Fonte: Il Sole 24 Ore dell'8 dicembre 2021)

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Rilevabilità del rischio nell'ambito della protezione dati
Next Se c'è captazione illecita di dati la frode informatica assorbe il reato di pericolo

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy