Copertura giuridica, consenso e procedure automatizzate alla luce del GDPR

Profilazione social e privacy: le linee guida del EDPB

Il complesso dei rischi per la libertà personale e per la privacy cui siamo tutti sottoposti in funzione delle varie operazioni di profilazione poste in essere dai/sui social media ha indotto l’EDPB a pubblicare le linee guida a tale riguardo alla luce del GDPR.

I soggetti coinvolti da questo fenomeno sono:

  • gli utenti che si registrano sui social media aprendo un loro account, ma anche coloro che li utilizzano senza registrarsi (ciò poiché tecnicamente la profilazione è possibile anche con riferimento a questi ultimi);
  • i social media providers, che forniscono on line servizi in grado di consentire la costruzione di networks e/o comunità di utenti;
  • i profilatori (targeters), vale a dire, coloro che usano i social media per indirizzare a specifiche categorie di utenti messaggi basati su criteri e parametri altrettanto specifici.

È altresì importante tenere presente che la profilazione può avvenire sulla base dei dati:

  • direttamente forniti dall’utente;
  • osservati dalla piattaforma sulla base della navigazione dell’utente;
  • generati dalla elaborazione di una delle 2 predette categorie di dati o di entrambe.

La profilazione sulla base dei dati forniti dagli utenti

Il primo tema da affrontare quando si riflette su questo tipo di profilazione, è la copertura giuridica che essa deve avere per essere lecita. Da questo punto di vista, le coperture giuridiche che vengono più in considerazione sono il consenso dell’utente, ed il legittimo interesse.

Quanto al legittimo interesse, esso deve essere effettivo e reale, comportare la necessarietà (intesa come infungibilità rispetto ai fini perseguiti) del trattamento e non compromettere dritti e libertà dell’utente, che alla luce del GDPR sono sovraordinati al medesimo legittimo interesse.

È importante sottolineare che questa particolare copertura giuridica si può considerare sussistente solo a fronte della compresenza di tutte le 3 condizioni specificate.

Quanto al consenso, è necessario osservare che esso, è pressoché l’unica base giuridica immaginabile per trattamenti come la profilazione ed il tracciamento per scopi commerciali/di marcketing.

Va da sé che il consenso non è legittimamente ottenuto ogniqualvolta esso sia collegato a condizioni contrattuali non negoziabili (e dunque non sia stato dato liberamente).

La profilazione tramite i dati osservati dalla piattaforma sulla base della navigazione dell’utente

I mezzi più impiegati per questo tipo di profilazione sono i cookies; ne discende che la copertura giuridica di tali trattamenti è quasi sempre da identificare nel consenso degli utenti: con la precisazione che esso dovrà altresì essere coerente con quanto disposto dalla direttiva ePrivacy (art. 5.3.), la quale pone un chiaro accento sulla esplicita indicazione dello scopo del trattamento. Va da sé, che un valido consenso non sussiste laddove i boxes che corrispondono al consenso all’utilizzo dei cookies siano precompilati con i relativi flags.

La profilazione tramite i dati generati mediante elaborazione dei dati acquisiti con uno o con entrambi le modalità sopra esaminate (inferred data).

Si tratta della generazione di dati tramite algoritmi che “frullano” altri dati, essenzialmente acquisiti con le modalità sopra descritte. È, in altre parole, la vera e propria attività di profilazione.

La base giuridica che rende lecita tale attività è di certo il consenso degli utenti, per lo meno ogniqualvolta essi compiono una operazione di lettura o scrittura corrispondente ad una sorta di like a sua volta incrociabile con i dati già in possesso del social media provider/targeter.

Qualora questo tipo di profilazione avvenga attraverso procedura automatizzate suscettibili di generare effetti legali sulle persone (come per esempio la concessione od il diniego di un finanziamento), essa, ai sensi dell’art. 22 del GDPR è illecita, a meno che sia giuridicamente coperta:

  • dal consenso espresso dell’utente (tra l’altro richiesto anche ai sensi dell’art. 5.3. della Direttiva e Privacy);
  • dalla sua essenzialità al fine di accedere ad un contratto o di garantirne la funzionalità;
  • dalla autorizzazione concessa da un ordinamento giuridico nazionale o dell’Unione Europea.

A cura di Giovanni Ricci, Avvocato