Il periodo di conservazione dei dati di profilazione: una prospettiva giuridica

INDICE

Nell’era digitale in cui viviamo, la raccolta e l’elaborazione dei dati personali rivestono un’importanza ormai fondamentale per aziende e organizzazioni. In particolare, la profilazione dei dati solleva importanti questioni attinenti a privacy e protezione dei dati personali.

Questo articolo intende fornire una prospettiva giuridica alla questione relativa al periodo di conservazione dei dati di profilazione, analizzando le principali normative e i principi applicabili nonché le considerazioni pratiche che i titolari del trattamento devono affrontare per garantire il rispetto della normativa in materia di privacy.

Cos’è la profilazione dei dati personali

Con profilazione dei dati personali si intende il processo di raccolta, analisi e utilizzo dei dati del soggetto interessato al fine di creare un profilo dettagliato e caratteristico di quella persona.

Le informazioni assunte nella creazione di questo “profilo” sono molteplici e coinvolgono una gran quantità di dati personali. Solo per citarne alcuni, dati anagrafici e di contatto, dati economici, dati di localizzazione, finanche dati comportamentali, ossia connessi alle abitudini di vita del singolo.

La profilazione è utilizzata per diversi scopi, ma l’ambito nel quale viene più ampiamente impiegata è senza dubbio quello pubblicitario. In questo contesto, la profilazione si manifesta attraverso varie modalità, tra cui la personalizzazione degli annunci pubblicitari in base alle preferenze e alle ricerche dell’utente, la creazione di servizi su misura e l’ottimizzazione delle strategie di marketing.

Per fornire un esempio concreto, l’utilizzo della profilazione risulta evidente anche all’utenza quando, durante la navigazione online e soprattutto nei social network, vengono mostrate pubblicità di prodotti o servizi in precedenza ricercati online dallo stesso utente.

I vantaggi della profilazione

L’attività di profilazione, se gestita in modo adeguato e nel rispetto delle normative privacy, offre in realtà numerosi vantaggi. Di seguito i principali benefici dei trattamenti automatizzati:

Personalizzazione e miglioramento dei servizi: la profilazione permette alle organizzazioni di comprendere al meglio le preferenze, i comportamenti e gli interessi degli utenti al fine di personalizzare i servizi e le offerte a loro destinati. Questo può migliorare notevolmente l’esperienza dell’utente e aumentare il livello di soddisfazione.
Marketing mirato: La profilazione permette alle aziende di raggiungere più efficacemente il proprio pubblico di riferimento attraverso la creazione di campagne di marketing mirate, adatte alle esigenze e alle preferenze specifiche degli utenti.
Rilevamento delle frodi e della sicurezza: la profilazione può essere utilizzata per intercettare modelli o comportamenti anomali utili a suggerire frodi o minacce per la sicurezza. Ad esempio, può aiutare a identificare attività sospette nelle transazioni finanziarie o nell’utilizzo dei servizi online, consentendo alle organizzazioni di intervenire prontamente e mitigare i rischi.

Il periodo di conservazione dei dati di profilazione da un punto di vista giuridico

Il periodo di conservazione dei dati personali (o data retention) è il periodo durante il quale il dato è conservato dal Titolare per perseguire le finalità che si è prefissato. Fatte salve alcune specifiche previsioni di legge (come ad esempio documenti contenenti dati fiscali o contabili, per i quali la legge stabilisce la conservazione per cinque/dieci anni), tale periodo non incontra limiti definiti. Al contrario, è il titolare stesso, in ossequio al principio di accountability, a stabilire per quanto tempo conservare i dati personali dell’interessato a seconda delle esigenze specifiche del trattamento.

Sulla base di tale principio, infatti, il titolare è tenuto a dimostrare di aver effettuato una valutazione accurata del periodo di conservazione appropriato per i dati personali che tratta e deve dimostrare di aver stabilito delle politiche e delle procedure interne idonee al rispetto dei termini di conservazione stabiliti. Questa responsabilità implica un impegno attivo nel garantire che i dati personali siano eliminati o resi anonimi una volta venuta meno la necessità del trattamento.

Appare a tal proposito evidente il richiamo all’art. 5 lett. e) del GDPR, che stabilisce il principio della limitazione della conservazione dei dati, secondo il quale tutti i tipi di dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Ciò significa che, una volta che il dato personale non serve più o il trattamento non è più necessario per le finalità perseguite dal Titolare, esso va eliminato da tutti i sistemi dell’organizzazione, informatici e non. La norma stabilisce poi che i dati possono essere conservati anche per periodi più lunghi, a condizione però che siano trattati per sole finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ancora per fini statistici.

Marketing, profilazione e conservazione dei dati personali

Il GDPR in linea teorica prevederebbe un generale divieto di conservazione dei dati coinvolti nell’attività di profilazione, stante il diritto del soggetto interessato a non essere sottoposto a profilazione e, più in generale, a processi decisionali automatizzati (art. 22 GDPR). La norma prevede tuttavia delle eccezioni, delineate al par. 2, che contemplano la profilazione nei casi in cui essa:

“sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento”;
“sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento”;
“si basi sul consenso esplicito dell’interessato”.

Fino all’entrata in vigore del GDPR le indicazioni dell’Autorità Garante sul periodo di conservazione in materia di marketing e profilazione dei dati erano molto chiare (provvedimento 24 febbraio 2005). Il Titolare del trattamento poteva conservare il dato per un periodo massimo di 24 mesi per le finalità di marketing e di 12 mesi per le finalità di profilazione, con possibilità di proroga previa valutazione delle motivazioni addotte dal Titolare.

Con l’entrata in vigore del GDPR, tuttavia, questo assetto è cambiato. Come detto poco sopra, il principio di accountability impone che sia responsabilità del Titolare determinare le modalità, le finalità e altresì i tempi del trattamento. Il Garante Privacy ha poi voluto fornire alcuni chiarimenti riguardo alla possibilità per le imprese di determinare la durata della conservazione dei dati personali raccolti per scopi di marketing e profilazione, sempre nel rispetto del consenso ottenuto dall’interessato (provvedimento 181/2020). Oggi, pertanto, è l’impresa a dover definire la durata del periodo di conservazione, in un’ottica di autoregolamentazione e considerando altresì i diritti degli interessati del trattamento.

Profilazione dei dati particolari

Anche il paragrafo 4 del citato art. 22 del GDPR sancisce chiaramente il divieto di qualsiasi trattamento automatizzato, profilazione inclusa. In tal caso però il riferimento è ai dati particolari, ossia quei dati attinenti a specifici attributi di un soggetto, ritenuti più delicati di altri e pertanto meritevoli di maggiore protezione. Ad esempio, dati particolari sono i dati sanitari, quelli relativi all’origine razziale, i dati biometrici e genetici, o ancora i dati relativi all’orientamento religioso, politico e sessuale.

Per queste categorie di dati, le ipotesi in cui l’attività di profilazione è concessa sono tre:

l’interessato ha manifestato il suo chiaro ed esplicito consenso alla profilazione;
il trattamento è necessario per perseguire finalità di interesse pubblico;
l’organizzazione si è dotata di misure adeguate alla tutela dei diritti, delle libertà e degli interessi legittimi del soggetto interessato.

Il legittimo interesse

Le Linee Guida in materia di processi automatizzati e profilazione del 2018 forniscono poi ulteriori indicazioni sulle basi giuridiche coinvolte nei processi automatizzati, prevedendo in particolare la base giuridica del legittimo interesse, previa effettuazione del relativo bilancio al fine di valutare la prevalenza degli interessi del Titolare.

Gli elementi da valutare nella redazione del bilanciamento di interessi sono:

il livello di dettaglio del profilo: è necessario considerare se il profilo creato contiene informazioni dettagliate e specifiche sulla persona interessata o se fornisce solo una visione complessiva dell’utente;
l’impatto della profilazione: la valutazione degli effetti che la profilazione può avere sull’individuo interessato;
le misure di sicurezza: l’adozione cioè di misure adeguate a garantire l’equità, la non discriminazione e l’accuratezza nel processo di profilazione. Ciò include l’utilizzo di algoritmi validati, l’adozione di procedure di verifica dei dati e l’implementazione di meccanismi di controllo. Le organizzazioni che effettuano profilazione devono stabilire altresì politiche e procedure interne che garantiscano una corretta gestione dei dati ed effettuare una valutazione periodica dei profili che conservano, al fine di determinare se è ancora giustificato conservarli per gli scopi originari o se è necessario eliminare o anonimizzare tali dati.

Tali elementi evidenziano l’importanza di una valutazione approfondita e accurata degli interessi in gioco, al fine di garantire un trattamento automatizzato legittimo e rispettoso dei diritti degli interessati.

Profilazione e cookie

Infine, un breve cenno sulla correlazione tra attività di profilazione e l’utilizzo dei cookie.

I cookie, piccoli file di testo memorizzati sul dispositivo dell’utente quando visita un sito web specifico, sono strettamente legati al contesto della privacy e alla protezione dei dati online. Essi possono infatti essere utilizzati per raccogliere informazioni sulle attività che l’utenza svolge online. Sono in particolare i cookie analitici e di profilazione ad essere impiegati per raccogliere ed elaborare informazioni sulle abitudini, i gusti e i comportamenti degli utenti.

Al fine di limitare il più possibile l’acquisizione dei dati personali, dal giugno 2021 il Garante della Protezione dei dati personali ha imposto ai titolari del trattamento di implementare i siti web in modo da permettere all’utente di scegliere, tra l’altro, se accettare i cookie, bloccarli o gestirli attraverso le impostazioni di privacy (vedi la guida completa di SmartIUS su come adeguare il proprio sito web alle linee guida sui cookie).

Il periodo di conservazione dei dati di profilazione: una prospettiva giuridica

Cos’è la profilazione dei dati personali

I vantaggi della profilazione

Il periodo di conservazione dei dati di profilazione da un punto di vista giuridico

Marketing, profilazione e conservazione dei dati personali

Profilazione dei dati particolari

Il legittimo interesse

Profilazione e cookie

Circa l'autore

Laura Sartarelli

ULTIMI ARTICOLI

CERCA NEL SITO

Archivio per mese

SEGUICI SUI SOCIAL

ISCRIVITI ALLA NEWSLETTER

Links

Timeline

Sitemap - mappa del sito

Privacy e Cookie policy

Note legali

Redazione virtuale

Il periodo di conservazione dei dati di profilazione: una prospettiva giuridica

Cos’è la profilazione dei dati personali

I vantaggi della profilazione

Il periodo di conservazione dei dati di profilazione da un punto di vista giuridico

Marketing, profilazione e conservazione dei dati personali

Profilazione dei dati particolari

Il legittimo interesse

Profilazione e cookie

Circa l'autore

Laura Sartarelli

Post correlati

La tutela penale nel caso di truffa e frode informatica

Foto di minori sui social network: chi può esprimere il consenso alla pubblicazione

Anonimizzazione e pseudonimizzazione: basta usare le iniziali per proteggere i dati personali?

Usare un password manager è conforme al GDPR?

ULTIMI ARTICOLI

CERCA NEL SITO

TRENDING TOPICS

Archivio per mese

SEGUICI SUI SOCIAL

ISCRIVITI ALLA NEWSLETTER

NON PERDERTI LE ULTIME NOVITÀ SUL MONDO DELLA NEW ECONOMY E DELL’INDUSTRIA 4.0

Grazie!