Iscriviti alla newsletter e ricevi la guida alla crezione della scheda di conformità industria 4.0.
Notizie

GDPR e l’informativa

Scritto da stefano

La gente sta diventando pazza per questa informativa richiesta dal GDPR che sembra impossibile da scrivere. Allora, senza pretese di completezza, proviamo innanzi tutto a vedere che cosa chiede il GDPR riguardo l’informativa. Questo metodo, seguire punto per punto le richieste di una norma, è il metodo migliore per capire se le stiamo realizzando e come. E’ un metodo che si usa molto nell’ambito delle perizie e aver chiari i tutti punti ci permette di verificare quello che ci viene fornito da un eventuale consulente.

Aggiungo ancora che fa bene all’azienda sapere cosa chiede il GDPR, perché si tratta della relazione che poi si va ad instaurare con l’utente o il cliente.

Una premessa ripresa anche da GDPR: stiamo parlando di informazioni. L’informativa è un modo di dare queste informazioni e deve informare, non deve confondere, offuscare, intimidire. L’informativa non è per voi o per lo studio legale, è per l’utente che deve capire che cosa sta succedendo, che cosa viene fatto e che cosa può fare lui. E l’utente non deve essere un legale.

Trasparenza e chiarezza

Il GDPR ha la Sezione 1 che si intitola “Trasparenza e modalità” (riguardo i diritti dell’interessato – il vostro utente). Il titolo mi pare molto chiaro, è una evidente premessa che invita ad essere comprensibili. Se non bastasse il titolo, troviamo poco dopo qualcosa di inequivocabile (Articolo 12):

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Non mi è chiaro se i legali che stanno producendo le informative aggiornate al GDPR abbiano letto o meno questa frase o se non siano in grado di capire che il loro linguaggio è incomprensibile ai più. Vi invito per questo, ogni volta che state per fornire i dati a qualcuno con una informativa non chiara, a tempestarlo di domande e chiedergli di semplificarla.

Inoltre il GDPR ci invita a dare delle informazioni riguardanti il trattamento dati (e dopo vediamo quali) non necessariamente una informativa composta da una singola pagina, da un singolo PDF, da un singolo lungo pezzo di testo dove i dati vengono forniti. Quello che importa è se stiamo dando le informazioni richieste ed il modo in cui le stiamo dando.

Nulla di male quindi se nel form di registrazione inserisco specifiche informazioni riguardanti quella raccolta dati e poi le altre le metto nell’informativa generale che copre i rimanenti punti. Pensiamo per una volta all’utente, rimettiamo al centro visto che è il centro del GDPR.

Sempre nell’Articolo 12 ci sono diverse altre indicazioni che vale la pena di leggere, è meno di una paginetta ed è discretamente comprensibile. Tra l’altro il nostro garante della privacy ha fatto un ottimo lavoro creando una versione del GDPR che ha nei vari articoli i riferimenti ai commenti che li approfondiscono.

Informazioni da fornire

Segue l’Articolo 13 che ha come titolo “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”. Quanto scritto dentro deve essere letto da tutti quelli che trattano dei dati personali. Si applica sicuramente nel caso di siti web dove ci sono form contatti, registrazioni, vendite, eccetera.

Esploriamo punto per punto cosa viene richiesto.

a) L’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante.

Il titolare del trattamento è l’azienda o la persona nel caso di ditta individuale o professionista che tratta i dati. In questo sito, se vi chiedo dei dati, io sono il titolare del trattamento dei dati forniti. Mi pare molto interessante aggiungere subito una nota con l’invito a contattarvi se c’è un qualsiasi dubbio, invece di chiudervi in una informativa illeggibile che vi faccia da scudo legale spaventando l’utente. La prima riga dell’informativa quindi conterrà il vostro nome e come contattarvi:

Azienza SRL – via M. Nebbia, 5 – 00100 Roma – info@aziendasrl.tld
Non esitare a contattarci per qualsiasi dubbio o informazione riguardo la riservatezza dei tuoi dati.

b) I dati di contatto del responsabile della protezione dei dati, ove applicabile.

Se avete un responsabile per la protezione dei dati (DPO) difficilmente state leggendo questa pagina, quindi saltiamo. Se avete un DPO e state comunque leggendo questa pagina… ahi!

c) Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento.

Quale è lo scopo per cui raccogliete il dato personale? E in base a che cosa siete autorizzati a farlo? Traduciamo: se ti offro la possibilità di registrarti al sito e ti chiedo nome ed email, la finalità è fornire l’accesso al sito ed ai relativi servizi. Ora, la finalità dovrebbe essere chiara proprio nella pagina dove uno si registra.

Nell’informativa potete riprenderla o fare riferimento proprio al fatto che la finalità è descritta nel modulo di raccolta dati, portando magari degli esempi. Specie se nel sito avete la registrazione, l’iscrizione alla newsletter, il form contatti, eccetera.

Proprio per restare nell’ambito della chiarezza, il posto migliore dove spiegare a cosa servono i dati raccolti è dove li raccogliete.

La base giuridica del trattamento è in che modo l’utente (o le regole disponibili) vi autorizzano a trattare il dato. Ad esempio in un modulo di contatto quale sarà la base giuridica per ricevere e trattare i dati? Potrebbe essere il consenso che l’utente esprime in modo libero compilando i campi del form e premendo il bottone “invia”. Chiaro che lo scopo di quel form deve essere chiaro nelle sue finalità e i dati ricevuti trattati conseguentemente.

C’è chi, e a me non piace proprio, mette l’intera informativa nel modulo stesso, come se così fosse facilmente usufruibile. Trovo più sensato e chiaro mettere un link all’informativa generale che riporta anche tutti i punti che vedremo dopo (e che si applicano a qualsiasi dato raccolto) e limitare nel modulo di raccolta solo le cose specifiche di quel modulo, in particolare la spiegazione sull’uso dei dati opzionali.

Il Commento 60 ci dice che dovremmo indicare cosa succede se una persona si rifiuta di fornire i dati personali. Così i legali aggiungono frasi di rito (parac..o) dove dicono all’utente che se non ci dà l’email non possiamo mandargli la risposta… Chiaramente l’indicazione nel commento è facile capire che sia destinata ad altri ambiti. Ad esempio, se non mi dici nome e cognome ed indirizzo non posso farti accedere a certi servizi sanitari. Se non dichiari in quali paesi hai viaggiato (e quindi potresti incubare certe malattie) non posso farti accedere a certe zone di uno stabile.

Sono quelle condizioni per le quali non è ovvio il nesso tra il dato personale e il motivo per cui, non dandolo, viene negato un qualcosa. I legali ovviamente non saranno d’accordo, ma scrivere che se non mi dai l’indirizzo di casa non posso spedirti il prodotto che hai acquistato, è un’offesa all’intelligenza del cliente. C’è un punto specifico più avanti dove è indicata la necessità di dare questa informazione anche se personalmente la metterei in questo punto dell’informativa.

I dati personali che ti chiediamo come necessari sono utilizzati per attivare il servizio al quale vuoi accedere (accesso al sito, richiesta informazioni, ricevere le nostre comunicazioni, …) ed inviandoli ci dai il consenso a trattarli per quella finalità. Possono esserci dati personali opzionali che, se forniti, permettono di rendere il servizio richiesto più completo. Ad esempio, se ci fornisci il numero di telefono in una richiesta di assistenza potremmo utilizzarlo per cercare di risolvere il tuo problema più velocemente.

Potresti fornire il consenso ad altri utilizzi dei dati che stai inviando per attivare uno specifico servizio, come quello di ricevere nostre comunicazioni anche commerciali, di permetterci di cedere i dati a terze parti o di eseguire operazioni di profilazione. Questo consenso sarà sempre opzionale e puoi sospenderlo in qualsiasi momento.

d) Qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi.

Il legittimo interesse è una possibilità importantissima di trattamento dei dati. Il suo significato è questo: non devo chiedere all’utente di autorizzarmi a fare certe operazioni con i suoi dati se sono di mio legittimo interesse ammesso che non ledano i suoi diritti. Capite subito che la cosa è assolutamente delicata perché sta a voi decidere quando il legittimo interesse sia applicabile e quando no.

Nei commenti al GDPR ci sono indicazioni di come il legittimo interesse sia applicabile anche per marketing diretto, ma tutti vi diranno che questa possibilità va sempre attivata solo con esplicito consenso dell’utente. E allora? Allora bisogna iniziare a sfruttare le possibilità che le norme ci danno e affidarsi a consulenti che siano in grado di aiutarvi ad usarle per lo sviluppo del business e non per sopprimerlo (spesso i consulenti si occupano di pararsi le proprie chiappe, più che di essere motivati a sviluppare i vostri affari).

Esempio: un cliente compra da voi un prodotto. Si instaura un chiaro rapporto con lui. Quello che vorrete fare sarà in seguito mandare lui comunicazioni su altri prodotti che possono essere di suo interesse. E’ un vostro legittimo interesse. Va in conflitto con i diritti del vostro cliente? Potete mettere in pratica questo interesse?

Dal commento 47:

I legittimi interessi di un titolare del trattamento […] possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento.

E’ pensabile che il tuo cliente si possa attendere che tu gli mandi comunicazioni commerciali dei tuoi prodotti? Sostenibile. E’ pensabile che il tuo cliente si aspetti di ricevere comunicazioni commerciali di partner o prodotti che non hanno a che fare con te? Insostenibile.

Un esempio più tecnico: voi memorizzate alcuni dati, come l’indirizzo IP, che abbiamo visto essere considerato un dato personale. Il legittimo interesse qui è la necessità che avete di applicare tecniche di controllo sul traffico del sito per evitare attacchi o di tenere traccia di attività che possano essere illecite e quindi di poterle documentare in caso di richiesta dell’autorità giudiziaria (vedi il caso stalker).

Un altro esempio facile da comprendere: il controllo antispam dei commenti, che potreste affidare ad un servizio esterno, è un trattamento sostenibile con il legittimo interesse di mantenere alta la qualità del sito, di non correre il rischio di esporre contenuti anche pericolosi per gli utenti provenienti dagli spammer. Chiedere il consenso di fare questo trattamento è la cosa più idiota che uno possa mettere in pratica, non vi pare? E’ come chiedere ad un ladro il consenso di chiudere a chiave la porta di casa.

Quando si decide di utilizzare il legittimo interesse vale assolutamente la pena scrivere e tenere da parte una serie di ragionamenti che hanno portato al suo utilizzo, magari convalidati anche da un legale (di quelli che ci capiscono di GDPR, marketing, web, trattamento dati, eccetera), per poter esporre la propria posizione in caso di necessità.

Sorge ovviamente un problema: cosa scriviamo? Tutti hanno paura a scrivere che nel legittimo interesse “possiamo mandare comunicazioni commerciali ai nostri clienti per proporre nuovi servizi ed espandere l’attività dell’azienda”, come se non fosse questo il motivo per cui vendiamo online o come se non fosse questo il naturale, lecito e auspicabile obiettivo di una attività imprenditoriale. E’ forse un po’ di ipocrisia?

Nel legittimo interesse di proteggere il sito da attacchi e azioni di spam, possiamo trattare i dati personali (compresi quelli tecnici come i cookie e l’indirizzo IP) per identificare e bloccare azioni illecite. Questo trattamento può coinvolgere servizi esterni specializzati anche non stabiliti nell’UE.

Nel legittimo interesse ai espandere la nostra attività, proporre nuovi prodotti, aumentare il numero dei clienti, possiamo mandare comunicazioni commerciali quando sia ragionevolmente atteso dai nostri utenti che siano possibili queste comunicazioni. E’ in ogni caso sempre possibile per l’utente sospenderle definitivamente o temporaneamente.

Nel GDPR c’è il Commento 70 che va sempre tenuto in considerazione:

Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, sia con riguardo a quello iniziale o ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Tale diritto dovrebbe essere esplicitamente portato all’attenzione dell’interessato e presentato chiaramente e separatamente da qualsiasi altra informazione.

Vi sta in genere dicendo che certi tipi di trattamento devono poter essere sospesi in qualsiasi momento su richiesta dell’utente. Questo è naturale anche nei termini in cui non sono di solito trattamenti necessari per la fornitura di servizi. Ecco perché dove indicate che sono possibili questi trattamenti sia con consenso sia con legittimo interesse, vale la pena spiegare all’utente che li può sospendere in qualsiasi momento.

e) Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali

I dati vengono comunicati a qualcuno? La definizione di destinatario è:

«destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

E’ improbabile non comunicare i dati a qualcuno, visto che in una attività online i dati stanno su un server che appartiene ad un’altra azienda o si trova negli spazi di un’altra azienda. Ancora, un consulente che fa attività di sviluppo nel sito, può accedere ai dati per motivi tecnici. Se utilizzo un sistema per i pagamenti online, questo riceve i dati del nostro cliente. Se utilizzo un sistema per spedire email (tipicamente piattaforma di mail marketing), comunico i dati dei miei utenti.

La comunicazione dei dati potrebbe anche riguardare la cessione del dato ad un terzo che ne diventa titolare e lo utilizza per le proprie finalità, operazione per la quale dovete chiedere il consenso, ma questa è una materia che mi sfugge.

Chi riceve i dati e li processa sotto nostra indicazione è chiamato responsabile del trattamento. Il sistema di mail marketing che ospita i dati dei nostri contatti e li processa per nostro conto è un responsabile del trattamento. Essendo lecito pensare che i fornitori di cui mi avvalgo siano affari miei (ovviamente se li ho scelti conformemente alle norme) io non debba elencarli con precisione (devo dire che uso Mailchimp o Mailup? E’ rilevante per l’utente?) ma lo farò per categorie.

I tuoi dati o parte di essi, possono essere comunicati a servizi esterni di cui ci avvaliamo: servizi per analisi statistiche, servizi per la conduzione delle nostre campagne di comunicazione, servizi per protezione del sito e controllo antispam, datacenter per l’hosting, servizi di consulenza per lo sviluppo software.

f) Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo…

Il paese terzo è un paese fuori dall’UE che potrebbe avere regole per il trattamento dati non compatibili con quelle dell’UE. Il cittadino UE, quindi, fornendo i dati ad una azienda UE che poi li passa ad una extra-UE potrebbe vedersi i dati trattati in modo non atteso.

Ora nel mondo online la maggior parte dei servizi che si utilizzano sono extra-UE, in particolare sono USA. Google Analytics è l’esempio più classico in assoluto, ma anche sistemi di spedizione di posta o ancora lo stesso provider che ci ospita il sito.

Dobbiamo dare quindi informazione su questa condizione. E’ però tutto fattibile se scegliamo dei servizi non UE che che seguono determinate regole e che, pur non essendo GDPR, siano considerate adeguate dalla commissione europea. Ad esempio, tra Europa ed USA c’è il framework Privacy Shield: se il fornitore USA è allineato a questo, la commissione lo contempla tra le garanzie sufficienti.

Tenere presente che tutti i fornitori di servizi USA si sono mossi per allinearsi al GDPR, quindi basta che chiediate loro i dettagli e li teniate come riferimento. Per chiarezza, nell’informativa, si può anche indicare quali servizi si utilizza, o darne degli esempi. Si può anche dare indicazioni delle tipologie di dati che si trasferiscono.

I tuoi dati possono essere trasferiti in paesi extra-UE presso responsabili del trattamento stabiliti in quei paesi, ma solamente se esistono garanzie di riservatezza adeguate come indicate e di volta in volta aggiornate dalla commissione europea.

Ad esempio il tuo indirizzo IP può essere acquisiti da Google Analytics, mentre il tuo indirizzo email essere memorizzato nel database a noi riservato presso Mailchimp.

Informazioni aggiuntive

Ci sono poi una serie di informazioni aggiuntive che si devono fornire nell’informativa del GDPR. Vediamole.

a) Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo

Se raccolgo un dato non devono tenerlo indefinitamente, perché tendenzialmente non ha senso. Il GDPR mi chiede: decidi per quanto tempo lo tieni e/o con quali regole decidi quando è il momento di buttarlo.

Su questo punto ho sentito tante di quelle idiozie che metà bastano. La più assurda è questa: se un utente si iscrive alla mia newsletter, dopo due anni lo disabilito e gli mando una mail chiedendogli se vuole continuare a ricevere i messaggi. Ora spiegami che razza di azienda sei se ad un certo punto non comunichi più con il tuo cliente senza una reale motivazione. Sei una azienda che dovrebbe fallire.

Ancora ci sono quelli che propongono di distruggere le fatture perché contenenti i dati dei clienti come se non ci fossero obblighi di legge che hanno priorità sul GDPR e che impongono dei periodi minimi di conservazione.

La norma ti chiede di indicare un periodo di conservazione o i criteri per determinarli. Non ti chiede di mettere una data di scadenza assoluta su un dato. Una data di scadenza assoluta potrebbe essere un modulo di iscrizione ad un evento, fine a se stesso, che dopo un lecito periodo dall’evento non serve più. Il GDPR ti dice di non lasciare in giro quelle informazioni che non servono e di distruggerle.

Ma se hai una relazione con un cliente che legge le tue newsletter o che continua a comprare i tuoi prodotti o che continua ad accedere al tuo sito, il criterio per determinare il massimo periodo di conservazione sarà basato proprio su queste attività che fa. Allora dirai: non conserverò il contatto oltre due anni dopo l’ultima volta che l’utente ha dimostrato interesse per le mie comunicazioni (leggendole) o dopo 5 anni dall’ultimo accesso al mio forum. Il tempo è relativo ed è stabilito da voi in funzione del servizio.

Vi faccio un esempio: sei un gommista e hai i contatti che ii hanno autorizzato a mandare loro comunicazioni. Se mediamente le gomme vengono cambiate dopo 3 anni e tu decidi di cancellare i contatti dopo 2 anni, non farai mai nessuna comunicazione. Ci sono altri lavori tra cui ti conviene scegliere.

I tuoi dati saranno conservati per X anni dall’ultima volta che hai utilizzato i nostri servizi, leggendo una mail, accedendo al sito, modificando il tuo profilo, lasciando un commenti, scrivendo nel forum, acquistando un prodotto.

b) L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati

L’unico fastidio di questo punto è la portabilità del dato, ovvero la possibilità per l’utente di chiedervi di ottenere copia di tutti i suoi dati. Con suoi dati, si intendono anche quelli raccolti attraverso le sue attività, ad esempio le statistiche di lettura delle email (ovviamente se disponibili – molti sistemi li hanno solo in forma aggregata e non associata all’utente).

La portabilità deve essere supportata da strumenti tecnici, non ci sono alternative, e deve essere prevista anche dai responsabili del trattamento che state utilizzando. Non è un problema banale, ma tutti i software si stanno adeguando. Al limite andate voi a colpi di copia ed incolla a creare un documento se qualche utente vi dovesse chiedere i dati.

Puoi accedere ai tuoi dati, modificarli, cancellarli o cambiare le modalità di trattamento direttamente dal tuo pannello utente o facendone richiesta al titolare.

c) Qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca

Se vi è stato dato il consenso esplicito per un certo trattamento, l’utente ha il diritto di ritirarlo. Il ritiro del consenso può implicare la vostra impossibilità di continuare ad offrire un certo servizio, ovviamente. Ma, come scritto, il trattamento dei dati secondo il consenso che avete fatto prima del suo ritiro rimane lecito.

Questo va in abbinamento con il caso precedente specie se avete un pannello utente dove si modificano i dati e dove si possono cambiare le opzioni di trattamento. E’ consigliabile avere un log dell’attivazione e disattivazione di certi consensi per dimostrare che i trattamenti sono stati da voi fatti nel momento in cui un consenso era attivo.

Puoi ritirare i consensi ai trattamenti dati che ci hai fornito in qualsiasi momento dal pannello utente o scrivendo al titolare.

d) Il diritto di proporre reclamo a un’autorità di controllo

Visto che fate le cose per bene non c’è motivo di dare indicazioni all’utente su come si inoltra un reclamo al garante. Non mancate però di offrire altre vie.

Se ritieni che i tuoi dati non siano stati trattati correttamente scrivici in modo da poter risolvere velocemente il problema. Puoi in ogni caso inoltrare un reclamo rivolgendoti a Garante per la Privacy (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524)

e) Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati

Questo è il punto di cui parlavamo prima, ovvero di avvisare un utente di cosa avviene se si rifiuta di comunicare i dati. Ancora una volta, qui le frasi di forma si sprecano: “se non fornisci i dati non sarà possibile erogare i servizi proposti”. La cosa è talmente ovvia quando si pone l’utente davanti ad un modulo iscrizione o contatto che non avrebbe neanche senso esporla o comunque esporla in un paragrafo apposito.

Diverso è quando si chiedono altri tipi di informazioni, come stato di salute, che sono obbligatorie (ad esempio per legge) ma che sono domande non ben viste da chi se le vede porre. In quel caso la persona potrebbe sentirsi lecitamente autorizzata a non fornirle e deve essere avvisata di quali sono le conseguenze. Molto difficile che capiti sul web in situazioni normali come una registrazione al sito, un modulo contatti, una registrazione ad una newsletter. Ma purtroppo pur di non tralasciare nulla viene scritto anche l’ovvio nell’informativa, spesso con un linguaggio che ovvio non è, rendendola illeggibile.

Da utente preferirei che questo punto fosse soddisfatto nella prima parte al punto c) dove si spiegano le finalità della raccolta dati (parte che può essere suddivisa tra informativa e per le specificità nella pagina dove si raccoglie il contatto).

f) L’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato

Questo punto confonde. Qui si parla di processi che portano a costruire un insieme di conoscenze sulla persona che vanno oltre ai dati personali forniti direttamente. Ad esempio, se io sono un importante portale che fornisce notizie di vario genere, analizzando cosa va a leggere il mio utente posso farmi una idea chiara di che cosa gli interessa. Questa informazione può essere usata in molti modi: fornire pubblicità mirata, riorganizzare il sito mettendo in evidenza gli argomenti preferiti, eccetera.

Potenzialmente non c’è nulla di male, ma ci sono delle conclusioni che si possono trarre da queste informazioni che possono entrare in aspetti intimi della persona e che la persona setssa non si aspetta vengano esplorati. Ecco che la profilazione deve essere consentita esplicitamente (non ne abbiamo parlato in questo articolo).

Con questa profilazione potrei attivare dei processi automatici che vanno oltre la pubblicità mirata, tipica del web. Potrei, fuori dal web, negare l’accesso al credito (ad esempio al mutuo) secondo degli algoritmi che stabiliscono in base a dati raccolti, che sono a rischio. Lo fanno, è ovvio.

Il GDPR va oltre alla necessità di comunicare queste pratiche, permette all’interessato di chiedere che la valutazione non sia automatizzata ma fatta a mano da un essere umano (ritenendo ad esempio che sia ingiusta). Oggettivamente gli algoritmi applicano metodi statistici di varia complessità e in casi specifici possono trarre conclusioni errate. Anche gli esseri umani a dire il vero, ma tant’è.

Ci sarebbe da aprire un dibattito e non ho informazioni sicure in merito. Se ad esempio mando diverse newsletter e vedo che l’utente è interessato ad uno specifico argomento perché ne legge solo alcune, memorizzando questa informazione faccio profilazione? E serve l’autorizzazione per una cosa di questo tipo?

I dati raccolti da questo sito sia forniti volontariamente che derivati dal suo utilizzo, non sono  utilizzati al fine di profilare l’utente o di applicare processi decisionali automatici.


Resta aggiornato, iscriviti alla newsletter

About the author

stefano