Il 19 marzo 2015 il Garante Privacy ha emanato delle “Linee guida in materia di trattamento di dati personali per profilazione on line”, pubblicate in Gazzetta Ufficiale il 6 maggio 2015 (“Linee Guida”). L’obiettivo delle Linee Guida è quello di armonizzare, in un’ottica di semplificazione, le modalità attraverso le quali garantire il rispetto degli obblighi di cui al Codice Privacy (D. Lgs. 196/2003) (in particolare, in relazione all’informativa agli interessati e all’acquisizione del consenso al trattamento dei dati) nella fornitura di servizi online (come motori di ricerca e servizi di posta elettronica, social networks, servizi cloud, servizi di pagamento online, strumenti di analisi statistica e di monitoraggio dei visitatori di siti web, ecc.).

1. PROFILAZIONE ONLINE: LE LINEE GUIDA DEL GARANTE PRIVACY
Federica De Santis, Laura Liguori
Il 19 marzo 2015 il Garante Privacy ha emanato delle “Linee guida in materia di trattamento di dati personali per
profilazione on line”, pubblicate in Gazzetta Ufficiale il 6 maggio 2015 (“Linee Guida”).
L’obiettivo delle Linee Guida è quello di armonizzare, in un’ottica di semplificazione, le modalità attraverso le quali
garantire il rispetto degli obblighi di cui al Codice Privacy (D. Lgs. 196/2003) (in particolare, in relazione all’informativa agli
interessati e all’acquisizione del consenso al trattamento dei dati) nella fornitura di servizi online (come motori di ricerca e
servizi di posta elettronica, social networks, servizi cloud, servizi di pagamento online, strumenti di analisi statistica e di
monitoraggio dei visitatori di siti web, ecc.).
Le Linee Guida appaiono interessanti in quanto rappresentano il primo intervento di carattere generale del Garante
Privacy in tema di profilazione (il tema è stato infatti finora affrontato dal Garante intervenendo su temi specifici, ad
esempio in relazione alla profilazione della clientela da parte degli alberghi, alla fornitura di servizi di comunicazione
elettronica o all’arricchimento di database clienti, o, da ultimo, alla profilazione online nell’ambito del servizio Google).
Si fornisce di seguito una sintesi dei punti più interessanti delle Linee Guida.
1. Definizione di profilazione
Il Codice Privacy contiene alcune previsioni in relazione ai trattamenti di dati personali per finalità di profilazione (ad
esempio, prevede l’obbligo del titolare del trattamento di notificare i trattamenti di dati con strumenti elettronici “volti a
definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo”), ma non fornisce una
definizione di ‘profilazione’.
Dalle Linee Guida è possibile ricavare una nozione di profilazione intesa come “analisi ed elaborazione di informazioni
relative ad utenti o clienti, al fine di suddividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o
caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazione inequivoca del singolo utente (cd. single
out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo”. In
sintesi, costituisce profilazione la categorizzazione di utenti o clienti, la creazione di cluster omogenei di utenza o
clientela, che consentano di identificare in modo inequivocabile una persona.
Come evidenziato nelle Linee Guida, la menzionata categorizzazione o ‘clusterizzazione’ può essere effettuata per gli scopi
più disparati, come ad esempio:
 la messa a disposizione di servizi mirati e conformati sulle specifiche esigenze dell’utente;
 la fornitura di pubblicità personalizzata;
 l’analisi e il monitoraggio dei comportamenti online degli utenti;
 lo sfruttamento commerciale dei profili ottenuti, che possono avere un significativo valore di mercato in ragione
della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi;
 ecc.
Inoltre, la profilazione può essere effettuata secondo le seguenti modalità:

2. 2
 trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del
servizio per l’invio e la ricezione di messaggi di posta elettronica;
 incrocio dei dati personali raccolti in relazione alla fornitura e al relativo utilizzo di più funzionalità diverse tra
quelle messe a disposizione dell’utente (ad esempio, posta elettronica e navigazione sul web; partecipazione a
social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi);
 cookies e utilizzo di altri identificatori (credenziali di autenticazione o cd. fingerprinting) necessari per ricondurre a
soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso
delle funzionalità offerte (cd. pattern).
2. Informativa privacy
Le Linee Guida ribadiscono la necessità di fornire agli utenti di servizi online un’informativa privacy completa, chiara,
aggiornata e facilmente accessibile, ad esempio con un solo click dalla pagina del dominio cui l’utente accede,
indipendentemente dal terminale utilizzato dall’utente (ad esempio, smartphone, tablet, desktop computer).
Sul punto, in conformità alle raccomandazioni espresse dal Gruppo di Lavoro europeo Articolo 29 per la protezione dei dati
personali, richiamate nelle Linee Guida, costituisce una best practice strutturare l’informativa privacy su più livelli o strati
(cd. layered notice), ciascuno dei quali fornisca le informazioni fondamentali sul trattamento dei dati, in particolare sulla
finalità e sulle modalità della profilazione effettuata dal titolare del trattamento. Sul punto, il Garante ritiene opportuno
che le informazioni siano distribuite in tal modo:
(i) un primo livello immediatamente accessibile (con un solo click dalla pagina visitata) all’interno del quale inserire le
informazioni di carattere generale di maggiore importanza per gli utenti, come la tipologia di dati personali oggetto
di trattamento, la finalità di profilazione perseguita e le relative modalità, l’identità del titolare del trattamento e
dei responsabili (se nominati), informazioni sui diritti degli utenti, le modalità di acquisizione del consenso al
trattamento, ove necessario;
(ii) un secondo livello, accessibile dal primo, contenente l’informativa relativa alle specifiche funzionalità, esempi per
chiarire le modalità del trattamento dei dati, eventuali precedenti versioni dell'informativa, l’indicazione dei rischi
specifici che possono derivare dall’utilizzo dei servizi (ad esempio, in caso di scelta di password non
sufficientemente sicure poiché di agevole identificazione) e ogni informazione idonea a consentire il più efficace
esercizio dei diritti degli interessati.
In ogni caso, occorre evitare un’eccessiva frammentazione in un numero troppo elevato di livelli, che potrebbe causare la
dispersione delle informazioni e comprometterne la fruibilità.
3. Consenso al trattamento
Con riferimento al consenso al trattamento dei dati, nell’ambito della fornitura di servizi online possono identificarsi
alcune attività di trattamento che non necessitano del consenso degli utenti, in quanto svolte al fine specifico di eseguire
contratti conclusi tra il fornitore del servizio e gli utenti (e, dunque, ricadenti nell’esenzione dall’obbligo del consenso di cui
all’articolo 24, comma 1, lettera b), del Codice Privacy). È il caso del trattamento di dati svolto in forma automatizzata dai
fornitori di servizi di posta elettronica per eseguire attività di carattere tecnico (ad esempio, l’impiego di filtri antispam, la
rilevazione di virus, la possibilità per l’utente di effettuare ricerche testuali, utilizzare il controllo ortografico, inviare
risposte automatiche in caso di assenza, etc.).
È invece necessario acquisire il preventivo, informato, libero ed espresso consenso degli utenti (sia autenticati che non
autenticati, come nel caso della semplice navigazione online) per i seguenti trattamenti di dati:
(i) trattamento svolto per finalità ulteriori rispetto alla fornitura del servizio di posta elettronica, in particolare al fine
di mostrare agli utenti autenticati messaggi di testo volti alla fornitura di pubblicità comportamentale
personalizzata;

3. 3
(ii) operazioni di trattamento volte alla profilazione dell’utente realizzate anche attraverso l’incrocio di dati raccolti in
relazione a funzionalità diverse.
L’uso di cookies per finalità di profilazione è invece soggetto alle previsioni contenute nel provvedimento del Garante
Privacy dell’8 maggio 2014 (entrato in vigore il 3 giugno scorso), su cui si veda la nostra newsletter del mese di giugno 2014
disponibile al link.
Un caso peculiare è quello della tecnica di cd. fingerprinting, ossia una tecnica di identificazione che si basa sul trattamento
di informazioni o parti di informazioni che, poste in associazione tra loro o con altre informazioni, possono costituire dati
personali, con l’obiettivo di pervenire all’identificazione inequivoca del terminale (cd. single out) e, per il suo tramite,
anche del profilo di uno o più utilizzatori di quel dispositivo. Le Linee Guida chiariscono che l’uso di fingerprinting per il
conseguimento di finalità di profilazione richiede il consenso dell’interessato, al pari dell’uso di cookies, tranne i casi di
esenzione previsti dall’articolo 122 del Codice Privacy (nella specie, trasmissione di una comunicazione su una rete di
comunicazione elettronica o erogazione del servizio su richiesta dell’utente). Sul tema, è di recente intervenuto anche il
Gruppo di Lavoro europeo Articolo 29 per la protezione dei dati personali con parere n. 9/2014, del 25 novembre 2014,
sull’applicazione della Direttiva 2002/58/EC al device fingerptinting.
Per quanto concerne la modalità di acquisizione del consenso online per la profilazione, si suggerisce di far comparire, al
momento dell’accesso da parte dell’utente alla homepage o ad altra pagina del sito web, un’area in primo piano di idonee
dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che l’utente sta
visitando, contenente almeno le seguenti indicazioni:
 che il sito effettua attività di trattamento dei dati per finalità di profilazione, indicando le modalità con cui
quest’ultima è svolta;
 il link all'informativa privacy;
 il link ad una ulteriore area dedicata nella quale sia possibile negare il consenso alla profilazione ovvero, se del
caso, selezionare, in modo analitico, soltanto le funzionalità e le modalità del trattamento che l’utente intende
autorizzare;
 l’indicazione che la prosecuzione della navigazione mediante accesso o selezione di un elemento sottostante o
comunque esterno all’area in primo piano (ad esempio, un’immagine o un link) comporta la prestazione del
consenso alla profilazione.
Al fine di tenere traccia delle scelte dell’utente in merito al trattamento dei dati, il fornitore del servizio potrà usare
appositi cookies tecnici o altri identificatori.
Infine, tutte le pagine web riconducibili al titolare del trattamento dovrebbero recare un link all’area dedicata all’interno
della quale l’utente potrà esercitare i propri diritti rispetto ai dati (ad esempio, revocare il consenso prestato).
Si ricorda che il trattamento dei dati per finalità di profilazione deve essere notificato al Garante Privacy, ai sensi
dell’articolo 37, comma 1, lettera d), del Codice Privacy.
Le Linee Guida del Garante Privacy sono disponibili al link.