menu start: Sun Jun 09 20:12:06 CEST 2024
menu end: Sun Jun 09 20:12:06 CEST 2024
Il 6 maggio scorso, il Garante privacy ha pubblicato il provvedimento n. 161/2015, contenete le“Linee Guida in materia di trattamento di dati personali per profilazione on line” (di seguito: “provvedimento” o “Linee Guida”). Le Linee Guida forniscono alcune indicazioni per semplificare e uniformare gli adempimenti in tema di informativa e consenso connessi allo svolgimento delle attività di profilazione.
Il provvedimento è rivolto ai soggetti che offrono servizi on line e utilizzano le informazioni dei propri utenti per finalità di profilazione.
Con riferimento all’informativa (art. 13 del Codice privacy), il Garante privacy ha ribadito che essa:
Con riferimento al consenso (artt. 23 e 122 del Codice privacy), il provvedimento conferma che l’utilizzo dei dati personali dell'utente per finalità di profilazione può essere effettuato previa autorizzazione da parte dello stesso. Sul punto, le Linee Guida distinguono:
In merito alle modalità di acquisizione del consenso, il Garante privacy consente di procedere direttamente on line (a meno che il consenso non risulti acquisito con altre modalità), purché l’utente sia messo nella condizione di esprimere la propria volontà preliminarmente alla fruizione del servizio. A tal fine, è necessario creare una discontinuità nella navigazione, che consenta all’utente di conoscere le attività di profilazione realizzate tramite il sito e di scegliere consapevolmente di sottoporvi o meno.
Sul punto, il provvedimento distingue le ipotesi di utenti non autenticati da quelle di utenti autenticati.
Con riferimento agli utenti non autenticati (che accedono ai servizi senza un account), le Linee Guida prevedono la predisposizione, all’interno del sito sul quale si offre il servizio, di un meccanismo che consenta all’utente di esprimere in maniera attiva il proprio consenso e al titolare di tenere traccia delle scelte manifestate.
In particolare, il meccanismo deve garantire all’utente che accede al sito (dall’home page o da altra pagina) di visualizzare in primo piano un’area (cd. di discontinuità), contenente le seguenti informazioni: i) le attività di profilazione realizzate e le relative modalità; ii) il link all’informativa; iii) il link a un’ulteriore area per l’esercizio dei diritti e per selezionare le singole funzionalità per le quali l’utente acconsente alla profilazione; iv) l’avviso che la prosecuzione della navigazione in una sezione esterna all’area di discontinuità comporta la prestazione del consenso alla profilazione.
Al riguardo, il provvedimento specifica che il meccanismo di discontinuità deve consentire un’azione positiva nella quale si sostanzi il consenso dell’utente, pertanto, il superamento dell’area di discontinuità deve essere possibile solo attraverso un intervento attivo dell’utente. Sul punto, le Linee Guida chiariscono che l’accesso all’area contenete l’informativa ovvero a quella per modulare le scelte non equivale a manifestazione del consenso.
Le azioni e le scelte dell’utente generano un evento informatico, che il titolare può tracciare attraverso l’utilizzo di cookie tecnici o di altri identificatori. Al riguardo, il provvedimento chiarisce che tale tracciamento è idoneo ai fini della documentazione del consenso, pertanto, verificata la volontà dell’utente di essere sottoposto a profilazione, il titolare può non ripetere la procedura di discontinuità in caso di accessi al sito effettuati dal medesimo terminale. In ogni caso, il titolare deve garantire all’utente la possibilità di revocare il consenso o modificare le opzioni prescelte. A tal fine, le Linee Guida prevedono che tutte le pagine del sito presentino il collegamento all’apposita area e che il titolare aggiorni le indicazioni fornite.
Con riferimento agli utenti autenticati (che accedono ai servizi tramite un account), il provvedimento prevede per l’acquisizione del consenso l’attivazione della procedura di discontinuità indicata per gli utenti non autenticati, precisando che essa deve essere proposta prima della creazione dell’account, vale a dire quando l’utente non sia ancora riconoscibile dal sistema.
Le scelte manifestate in tale fase possono poi essere estese a quelle successive all’autenticazione, purché l’utente sia informato di tale estensione. Infine, è necessario garantire all’utente la possibilità di revocare il consenso e di integrare le proprie scelte in merito alle ulteriori funzionalità del servizio. A tal fine, occorre predisporre un’area del sito per l’esercizio dei diritti e per le ulteriori scelte, rendendo ben visibile sul sito il relativo link.