Il 6 maggio scorso, il Garante privacy ha pubblicato il provvedimento n. 161/2015, contenete le“Linee Guida in materia di trattamento di dati personali per profilazione on line” (allegato ) - di seguito: “provvedimento” o “Linee Guida”. Le Linee Guida forniscono alcune indicazioni per semplificare e uniformare gli adempimenti in tema di informativa e consenso connessi allo svolgimento delle attività di profilazione.

Il provvedimento è rivolto ai soggetti che offrono servizi on line e utilizzano le informazioni dei propri utenti per finalità di profilazione.

Con riferimento all’informativa (art. 13 del Codice privacy), il Garante privacy ha ribadito che essa:

·                 deve essere chiara, completa, esaustiva e facilmente accessibile (es. con un solo click dalla pagina cui accede l’utente);

·                 può essere strutturata su più livelli, per facilitarne la lettura: i) un primo livello immediatamente accessibile (un solo click dalla pagina visitata), con tutte le informazioni di maggiore importanza (es. trattamenti effettuati, dati oggetto di trattamento, titolare e riferimenti per l’esercizio dei diritti ex art. 7 del Codice privacy) e l’indicazione delle finalità di profilazione perseguite, nonché delle modalità utilizzate; ii) un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.

Con riferimento al consenso (artt. 23 e 122 del Codice privacy), il provvedimento conferma che l’utilizzo dei dati personali dell'utente per finalità di profilazione può essere effettuato previa autorizzazione da parte dello stesso. Sul punto, le Linee Guida distinguono:

·               il profiling effettuato nell’ambito di un servizio di posta elettronica. Al riguardo, il provvedimento precisa che non è necessario acquisire il consenso per lo svolgimento di attività di profiling strettamente funzionali alla fornitura del servizio (es. filtri antispam o antivirus, strumenti per le ricerche testuali, il controllo ortografico o la creazione delle cartelle), poiché attinenti all’esecuzione di obblighi derivanti dal contratto di servizio di posta elettronica e, quindi, esonerate ai sensi dell’art. 24 del Codice privacy;

·               il profiling derivante dall’incrocio dei dati relativi all’utilizzo di più funzionalità messe a disposizione, rispetto al quale non sono configurabili ipotesi di esonero;

·               il profiling derivante dall'impiego di strumenti di identificazione diversi dai cookie (es. fingerprinting, che consente di creare profili sulla base di parametri di impostazione del terminale o sulle modalità del suo utilizzo), rispetto al quale il provvedimento sottolinea l’esigenza di un’equivoca manifestazione di volontà da parte dell’utente. Sul punto, il Garante privacy ha indicato la differenza tra cookie (il cui utilizzo è soggetto al rispetto del provvedimento n. 229/2014) e fingerprinting, sottolineando che mentre i primi vengono archiviati nel terminale dell’utente, il secondo risiede nel sistema del provider. Pertanto, sul piano delle tutele, l’utente: i) rispetto ai cookie, oltre a quelle di carattere giuridico connesse al diritto di opposizione, ha anche la possibilità materiale di rimuoverli dal proprio terminale; ii) rispetto al fingerprinting, ha solo la possibilità di opporsi al trattamento.

In merito alle modalità di acquisizione del consenso, il Garante privacy consente di procedere direttamente  on line (a meno che il consenso non risulti acquisito con altre modalità), purché l’utente sia messo nella condizione di esprimere la propria volontà preliminarmente alla fruizione del servizio. A tal fine, è necessario creare una discontinuità nella navigazione, che consenta all’utente di conoscere le attività di profilazione realizzate tramite il sito e di scegliere consapevolmente di sottoporvi o meno.

Sul punto, il provvedimento distingue le ipotesi di utenti non autenticati da quelle di utenti autenticati.

Con riferimento agli utenti non autenticati (che accedono ai servizi senza un account), le Linee Guida prevedono la predisposizione, all’interno del sito sul quale si offre il servizio, di un meccanismo che consenta all’utente di esprimere in maniera attiva il proprio consenso e al titolare di tenere traccia delle scelte manifestate.

In particolare, il meccanismo deve garantire all’utente che accede al sito (dall’home page o da altra pagina) di visualizzare in primo piano un’area (cd. di discontinuità), contenente le seguenti informazioni: i) le attività di profilazione realizzate e le relative modalità; ii) il link all’informativa; iii) il link a un’ulteriore area per l’esercizio dei diritti e per selezionare le singole funzionalità per le quali l’utente acconsente alla profilazione; iv) l’avviso che la prosecuzione della navigazione in una sezione esterna all’area di discontinuità comporta la prestazione del consenso alla profilazione.

Al riguardo, il provvedimento specifica che il meccanismo di discontinuità deve consentire un’azione positiva nella quale si sostanzi il consenso dell’utente, pertanto, il superamento dell’area di discontinuità deve essere possibile solo attraverso un intervento attivo dell’utente. Sul punto, le Linee Guida chiariscono che l’accesso all’area contenete l’informativa ovvero a quella per modulare le scelte non equivale a manifestazione del consenso.

Le azioni e le scelte dell’utente generano un evento informatico, che il titolare può tracciare attraverso l’utilizzo di cookie tecnici o di altri identificatori. Al riguardo, il provvedimento chiarisce che tale tracciamento è idoneo ai fini della documentazione del consenso, pertanto, verificata la volontà dell’utente di essere sottoposto a profilazione, il titolare può non ripetere la procedura di discontinuità in caso di accessi al sito effettuati dal medesimo terminale. In ogni caso, il titolare deve garantire all’utente la possibilità di revocare il consenso o modificare le opzioni prescelte. A tal fine, le Linee Guida prevedono che tutte le pagine del sito presentino il collegamento all’apposita area e che il titolare aggiorni le indicazioni fornite.

Con riferimento agli utenti autenticati (che accedono ai servizi tramite un account), il provvedimento prevede per l’acquisizione del consenso l’attivazione della procedura di discontinuità indicata per gli utenti non autenticati, precisando che essa deve essere proposta prima della creazione dell’account, vale a dire quando l’utente non sia ancora riconoscibile dal sistema.

Le scelte manifestate  in tale fase possono poi essere estese a quelle successive all’autenticazione, purché l’utente sia informato di tale estensione. Infine, è necessario garantire all’utente la possibilità di revocare il consenso e di integrare le proprie scelte in merito alle ulteriori funzionalità del servizio. A tal fine, occorre predisporre un’area del sito per l’esercizio dei diritti e per le ulteriori scelte, rendendo ben visibile sul sito il relativo link.