L'Utente Internet tra Privacy e Profilazione

by Avv. Nicola Ferrante
Visite: 2444

La tematica della profilazione degli utenti, ovvero, la ricostruzione della sua personalità, delle sue abitudini e dei suoi gusti attraverso l'analisi dei dati raccolti, è molto delicata e coinvolge aspetti principalmente legati alla privacy e alla protezione dei dati personali. E' su Internet che si verifica una capillare azione di profilazione dell'utenza web. Tutte le applicazioni ICT sono piattaforme in cui ha luogo un continuo scambio di dati e le informazioni ricavate sono memorizzate e trattate tra loro per comporre un'immagine virtuale dell'utente, il suo profilo elettronico, sempre più simile e collegato alla sua vera personalità.

La profilazione, intesa come definizione dei gusti e delle propensioni all'acquisto di un consumatore, attuata mediante il monitoraggio della sua navigazione internet, rappresenta il più importante strumento di direct marketing che si caratterizza proprio per questa attività di raccolta e utilizzo di dati, con l'obiettivo di offrire alle imprese informazioni, sempre più aggiornate e complete, afferenti a soggetti ritenuti compatibili con i beni o i servizi proposti. L'utilizzazione dell'utente a fini informativi, di marketing e di induzione al consumo inizia, con o senza la sua consapevolezza e indipendentemente dal suo consenso, nel momento stesso in cui egli accede alla Rete.

Le tecniche utilizzate per raccogliere informazioni e costruire con queste un profilo dell'utente vanno dal tracciamento della navigazione Internet all'utilizzo dei cookies: basta accedere alla Rete, utilizzare un servizio specifico attraverso le proprie credenziali identificative, utilizzare un motore di ricerca, partecipare ad un social network e vengono raccolti moltissimi dati relativi all'utente, spesso senza che questo se ne renda conto. E' possibile andare ancora più in profondità analizzando i percorsi di navigazione dell'utente o le sue "query" di ricerca: cosa viene scritto, come, quando e quale risultato viene visualizzato in seguito al risultato della ricerca sono altri importanti elementi di profilazione. Questa operazione può essere resa ancora più semplice dalla proposta di installazione di specifici software, mascherati da "toolbar" da installare nel proprio browser internet, che si occupano di costruire lo storico delle ricerche effettuate dall'utente e delle sue attività sul web nonché di inviare questi dati a terzi. Infine l'utilizzo dei social network, dei forum o altro simile, rende ancora più agevole la collezione di dati che vengono ricavati direttamente da ciò che l'utente scrive o condivide, unitamente ad altre informazioni che si possono ricavare dalla sua rete sociale (contatti, amici, gruppi, ecc) e dalle sue modalità di interazione con le stesse, sia sotto il profilo soggettivo che spaziale e temporale (da dove, quando?).

Dato il rischio dell'appiattimento e dello svuotamento dei diritti della persona nella società dell'informazione, le istituzioni nazionali ed europee si stanno muovendo per solidificare sempre più il diritto dei cittadini alla protezione dei propri dati personali, sotto questi nuovi profili. La direttiva europea in materia di dati personali risale a un periodo in cui il fenomeno dell'accesso a internet e la condivisione dei dati personali online non aveva il significato di adesso. Per questa ragione la Commissione Europea ha proposto, nel gennaio 2012, una riforma generale in materia che coinvolgerà anche i social network, introducendo due importanti principi, quello della "privacy by default", la tutela della privacy delle informazioni caricate su un social network sarà impostata di default al massimo livello, e il "right to be forgotten", ovvero il diritto all'oblio, ad essere dimenticati dalla rete e alla cancellazione dei propri dati personali precedentemente immessi (dato che attualmente su alcuni social network è possibile solo la disattivazione dell'account ma non l'eliminazione del profilo e delle informazioni a esso collegate).

Sul lato italiano sono molto recenti due pronunce del Garante per la protezione dei dati personali che è intervenuto per dettare alcune regole chiare sull'utilizzo dei cookies e sulla profilazione effettuata dal motore di ricerca. Con un provvedimento generale, adottato al termine di una consultazione pubblica, il 4 giugno 2014, il Garante ha individuato modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell'utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti (senza l'uso dei cookie "tecnici" alcune operazioni risulterebbero molto complesse o impossibili da eseguire). Ma attraverso i cookie si può anche monitorare la navigazione e raccogliere i dati necessari a creare dettagliati profili dei consumatori.

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  • che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  • che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  • un link a un'informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";
  • l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.

Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente. L'utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l'informativa estesa, che deve essere linkabile da ogni pagina del sito.

In un'altra recente pronuncia (del 21 luglio 2014) Il Garante ha inoltre provveduto a dettare alcune regole chiare rivolte a Google. Il Garante ha rilevato che restano in piedi diversi profili critici in termini di inadeguata informativa agli utenti, di mancata richiesta di consenso per finalità di profilazione, di tempi incerti di conservazione dei dati e ha dettato una serie di regole, che si applicano all'insieme dei servizi offerti (Gmail, GooglePlus, Google Wallet, YouTube, Street View, Google Analytics). Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante che intanto monitorerà l'implementazione delle misure. La società dovrà, infatti, sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l'attività di controllo che l'Autorità svolgerà nei confronti di Google.

Il Garante ha prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l'utenza (l'indicazione dei trattamenti e dei dati oggetto di trattamento, la localizzazione dei terminali e degli indirizzi IP, l'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc); in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.

Ma soprattutto Google dovrà spiegare chiaramente, nell'informativa generale, che i dati personali degli utenti sono monitorati e utilizzati, tra l'altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest'ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell'utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società.

Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati, sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie, Google dovrà acquisire inoltre il previo consenso degli utenti magari con una modalità che, senza gravare eccessivamente sulla navigazione dell'utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi "attivi", sia successivamente archiviati su sistemi di "back up". Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi "attivi" ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell'Unione europea sul diritto all'oblio.

Per avere informazioni sulla nostra consulenza legale per la redazione di contratti del web e dell'informatica visita questa pagina o contatta lo studio alla mail  Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ,al numero 328-9687469 o tramite il modulo di contatto sottostante.

Contatta l'esperto