Da alcune ore sono state pubblicate online sul sito del Garante della Privacy le “Linee guida … per profilazione on line”, datate 19 marzo 2015, che secondo fonti giornalistiche saranno pubblicate stamane. Già la data di rilascio e il fatto che siano state rese note improvvisamente ma a distanza di tempo, lascia comprendere che qualcosa non sia andato per il verso giusto.
Saltiamo eventuali ipotesi inutili, per accennare ai passaggi più importanti, con l’avviso che l’esame completo richiederebbe molto di più di queste poche righe.

Queste Linee guida sono il compendio del Provvedimento generale sui cookies (qui una pagina esplicativa), emesso ancora a luglio 2014 e la cui definitiva applicazione decorrerà dal 3 giugno prossimo. A differenza di quel documento, però, le Linee guida non si riferiscono solo ai siti web, ma a qualsiasi genere di provider, compresa la gestione della posta elettronica e simili. L’ambito di applicazione, quindi, è immenso, oltre che essere diverso.

Come dicevamo, la logica è simile a quella utilizzata per i cookies, per i quali l’Autorità ha ricordato che la profilazione dei clienti sul web è soggetta a informativa e consenso. Anche in questo caso è previsto un banner che però obbligherà tutti gli utenti ad accettare, o meno, i meccanismi di profilazione imposti dal provider o dal sito web. Particolari regole sono previste per gli utenti “liberi” e quelli autenticati.

Sottolineiamo che sembrano particolarmente rilevanti i meccanismi previsti per la gestione del consenso e il conseguente obbligo di documentazione per iscritto di quanto previsto,che ci sembrano particolarmente complessi e pervasivi.

Purtroppo non è l’unico caso dove manca chiarezza. Ad esempio, nel Provvedimento sui cookie, dove pure l’Autorità ha diffuso delle faq, le risposte non sono riuscite a dirimere grandi difficoltà interpretative.

Uno dei problemi che accomuna i due provvedimenti, infatti, è quello di non chiarire adeguatamente se la profilazione riguarda esclusivamente le finalità “di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” (incluse nel diritto di opposizione previsto dall’art. 7 del Codice della Privacy) o altri aspetti. Eppure l’argomento è dirimente.

Ovvamente ci sarebbe molto da dire e illustrare. Però è bene segnalare ai lettori la circostanza che il concetto di Linee guida è completamente diverso da quello di Provvedimento generale.

Infatti, con quest’ultimo il Garante detta delle regole, valevoli “erga omnes”, mentre con il primo l’Autorità produce esclusivamente una “interpretazione autentica” della normativa, come tale opponibile in ogni sede.

Nel 2008 AIPROS (Associazione Italiana Professionisti Sicurezza), della quale Adeia Consulting è socio collettivo, patrocinò un ricorso avverso le Linee guida … da parte dei consulenti tecnici e dei periti ausiliari” giudiari, che portò a due differenti sentenze della Magistratura nella quale i giudici riconobbero che queste ultime non hanno alcun valore cogente, seppure di assoluto rilievo come indirizzo non obbligatorio per tutti.

Infine, una ultima notazione: non si capisce perchè, in un caso del genere, il Garante non abbia richiamato l’obbligo di notificazione previsto dall’art. 37, lettera “d”, del Codice della Privacy (“dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica…”). Non vorremmo che la mancata (di solito abituale) menzione di quest’obbligo non facesse sorgere, nel mercato, false convinzioni.

I consulenti e gli specialisti di Adeia Consulting sono a disposizione dei clienti per ogni chiarimento