Tempo di lettura stimato: 7'
Torno sul discorso GDPR, marketing e profilazione, perché ho notato che c’è molta confusione su cosa effettivamente possiamo considerare come profilazione. La questione è tecnicamente complicata e le norme stesse aumentano la complessità.
L’argomento, in parte, l’ho già trattato parlando del ruolo del DPO rispetto a chi fa marketing.
Stavolta, entriamo nel merito. L’articolo che segue è tratto dalla mia intervista live all’Avvocato Anna Cataleta.
Qui trovi l’estratto, l’intervista completa è sulla Raise!
Quando c’è profilazione e quando invece è solo una categorizzazione o una segmentazione?
Andrea Chiozzi: Dai parliamo della profilazione, come finalità e non come modo. Perché la profilazione è un fine che io ho. Tu hai un metodo per capire quando, di fatto, l'azienda sta facendo profilazione e quando non la sta facendo?
Avvocato Cataleta: Sì, ma prima dobbiamo partire da una premessa. Sulla profilazione ha tanta confusione anche il legislatore. Il Regolamento parla di trattamento di profilazione all'articolo 4, dopodiché abbiamo i trattamenti automatizzati, poi il provvedimento dell’autorità italiana che parla di finalità, le sanzioni dettate dal mancato consenso alla profilazione come finalità. Se mi devo legare al dettato del GDPR, è un trattamento finalizzato a più scopi. Perché posso fare business intelligence, profilazione marketing e così via. Ma se mi devo rapportare a quello che è il concetto di finalità oggi predominante nella lettura regolamentare italiana, chiedo un consenso alla profilazione.
Quando si tratta di profilazione? E quando invece non facciamo profilazione, ma abbiamo una categorizzazione o segmentazione, che non è assolutamente paragonabile?
La profilazione parte dal presupposto che ci sia un processo automatizzato. Ma la confusione nasce con i processi automatizzati ex articolo 22, che sono invece totalmente automatizzati, ivi compresa la profilazione:
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Allora il tema vero è: quando io profilo, ma in maniera non automatizzata. Cioè quando è automatizzato ma non è profilazione. E questo è un tema che va visto caso per caso.
Automatizzazione senza profilazione: una valutazione caso per caso
Avvocato Cataleta: Se leggiamo i provvedimenti dell'autorità del 2009 - perché dobbiamo sempre entrare in una logica del regolatore, su come ragiona rispetto a questi passaggi -, il fatto che io abbia un database e che faccia delle query, e che lo faccia sulla base di parametri, perché devo categorizzare dei clienti rispetto ad altri per dar loro, per esempio, la scadenza del piano tariffario, non c'entra niente con la profilazione.
Perché ovviamente non implica un'analisi comportamentale, di attitudine, predittiva.
Cioè non ho l'estrazione di un cluster, ma solo una targhettizzazione. In questo caso, mi troverò di fronte a un'attività di segmentazione tout court, che non c'entra niente con la profilazione.
Andrea Chiozzi: Sono d’accordo. Innanzitutto, questi sono temi che, dal punto di vista tecnologico, sono complicati. Mettere la livella e dire "Questa è segmentazione fino a qua. Da qua in poi diventa profilazione…" Io trovo assolutamente complicato. Ma ci sono delle situazioni che sono molto chiare.
Nel momento in cui c'è l'intervento di un cristiano, di un operatore umano, che lancia le query sul database, determina una segmentazione, dalla segmentazione una lista di utenti, da lì prende e manda delle newsletter, anche automatiche, da un certo punto di vista, c'è sempre un intervento umano che blocca quella che è la catena automatica.
A quel punto lì, nella mia testa, io sono sicuro che quella non è profilazione. Sto usando dei parametri di segmentazione per determinare dei cluster, per determinare dei comportamenti, ma non ho nessuna profilazione.
Il ruolo degli strumenti tecnologici nella profilazione
Andrea Chiozzi: Vero è che oggi ci sono strumenti tecnologici alla portata di chiunque - un nome su tutti, Prestashop, per fare un esempio di un portale di e-commerce - che ti danno a disposizione degli strumenti di profilazione degli utenti che navigano sul sito, per proporre quel prodotto piuttosto che un altro, a fronte delle caratteristiche che recuperano dalla tua navigazione, dagli Analytics di Google, dal tuo comportamento su Facebook...
Ecco che, a questo punto, usando le banche dati e usando il tuo comportamento, in automatico, senza l'intervento di nessuno, propongo a te e solo a te certe cose, e non a un altro. In quel caso lì, secondo me, è più facile indicare che quella è una profilazione.
Avvocato Cataleta: Certo, sono tutti strumenti di marketing automation che hanno alla base degli algoritmi di intelligenza artificiale, predittivi, che possono trarre enrichment anche rispetto ad altre informazioni. Perché noi parliamo sempre di marketing e di profilazione, ma non parliamo mai di data enrichment. Noi dovremmo raccogliere pure un consenso per l'enrichment. Come ha sempre detto l'autorità…
Andrea Chiozzi: A livello teorico, assolutamente sì.
Avvocato Cataleta: È inopinabile questo aspetto. Perché noi abbiamo acquisito un dato che arricchiamo con informazioni esterne, creando un altro profilo. Un profilo che ha un impatto sociale, che ha un impatto predittivo. Mettendogli addirittura un tag. Quindi il tema della profilazione è così ampio, rispetto alle peculiarità che offre anche l'online, che oggi rappresenta, soprattutto per le aziende che fanno e-commerce, uno degli aspetti più delicati e che bisogna conoscere molto bene.
Andrea Chiozzi: Bisogna conoscerli ma, soprattutto, il nostro compito è riuscire a dare il giusto peso allo strumento. È per questo motivo che ai DPO e ai Consulenti viene chiesto spesso di essere dei tecnocrati abbastanza evoluti, non solo dei giuristi che conoscono la legge. Va bene, sai la legge sai il GDPR... però non basta, bisogna parlare la lingua del marketing e la lingua dei tecnici. Ne ho parlato anche in un articolo a proposito di cookie e privacy.
C’è differenza tra profilazione online e cookies. E i consensi? Quanti ne servono, quali chiedere?
Avvocato Cataleta: Si nasce smanettoni. Su questa cosa del marketing e della profilazione, è stata molto divertente una riunione che ho tenuto di recente con una grossa società che fa system integrator e una grandissima società internazionale, che doveva fare una piattaforma per raccogliere i consensi per il marketing e la profilazione.
Durante tutta la presentazione - e stiamo parlando di e-commerce - è sempre emerso il marketing con L'MMS e con L'SMS. E io ho detto "Ma l'MMS, non lo guarda più nessuno. In Cina, manco l'SMS, manco WhatsApp si può usare... Ma se io compro un vestito online, voi mi mandate l'MMS?"
A volte, il contesto è importante. La profilazione online, che non è quella dei cookies, è un'altra cosa. Voglio dirlo una volta per tutte: se sono un utente (un indirizzo IP) e navigo su un sito, mi beccherò la cookie policy. E tutti i ragionamenti sugli Analytics, tutti i ragionamenti sui tecnici, quelli che vuoi.
Ma se io sono un cliente riconosciuto, autenticato. Entro, mi loggo e faccio delle cose che riguardano il mio contratto con il provider, è evidente che se poi devo tornare e mi sparano il pricing diminuito di una gonna, mi profilano. E magari usano un cookie di profilazione con un consenso alla profilazione online che è univoco rispetto alle altre modalità. Ma sempre un consenso è. A questo ci tengo perché si fa grande confusione. Non sono passaggi facili.
Andrea Chiozzi: Diciamo che è una materia che si presta anche alla grande confusione. Non sono passaggi facili anche perché, ad esempio, c'è la lotta di solito con i Direttori Marketing, sul numero di consensi che sono da richiedere, a prescindere dai cookie, oltre ai cookie, ma anche per l'ingresso al sito, per le aree registrate... Sembra quasi che il dover mettere 5 consensi invece che 1 faccia perdere del business…
Il consenso è sempre legato alla finalità. Spesso però nel marketing non è chiaro. Ti porto un esempio.
Arriva una visita ispettiva del Garante in un'azienda. L’autorità verifica la gestione dei consensi: funziona bene col CRM, è tutto a posto. Però i consensi sono un pochettino crasati, cioè un consenso o due, quando sarebbe stato più opportuno averne di più.
In quel caso, la Guardia di Finanza c'è andata giù pesante col titolare, dicendo "Per adesso va bene, però sia più ligio." L'hanno spaventato. Il Direttore Marketing era terrorizzato "Perderemo un fracco di clienti..."
Cos’è successo poi. Hanno messo addirittura 6 consensi. Son passati da 1 a 200 mila. Hanno esagerato coi consensi, ma non hanno perso un cliente. Zero!
Se una persona è interessata, è interessata. E soprattutto i consensi che hanno recuperato erano qualificati: chi lasciava il suo consenso era veramente interessato a essere ricontattato.
Poi sulla questione di un unico consenso per gestire più finalità, per la mia esperienza, cominciano a esserci troppe crasi: cioè un unico consenso, anche quando ho consenso per finalità e consenso per il trasferimento al di fuori dell'UE (che per me non possono essere crasati insieme in un unico consenso).
Io dico sempre: “State attenti, se trasferite dei dati fuori dall'UE - ed è chiaro dove li trasferite: Google, Typeform etc. - bisogna che lo dichiariate, e se non esistono delle SSC particolari (Standard Security Claues), dovete chiedere il consenso.”
Poi adesso che il Garante italiano si è pronunciato anche su Analytics, la cosa è diventata stringente…
Questo era solo un assaggio!
Nel live con Anna Cataleta abbiamo parlato anche di newsletter, tempi di conservazione, gestione dei consensi, advertising… Per vederlo tutto, registrati su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
