Autore: Daniele Luchi

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del GDPR; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però, di un concetto riferito esclusivamente all’ambiente online.

Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati:

• curare il funzionamento di una rete di telecomunicazioni
• la prestazione di servizi di telecomunicazioni
• il reindirizzamento di messaggi di posta elettronica
• attività di marketing basate sull’analisi dei dati raccolti
• profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di  riciclaggio)
• tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili
• programmi di fidelizzazione
• pubblicità comportamentale
• monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili
• utilizzo di telecamere a circuito chiuso
• dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:
– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo
definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Gruppo di
lavoro:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
– svolto nell’ambito di una strategia.

Fonte: articolo 37, paragrafo 1, lettera b), GDPR.

Il regolamento non definisce cosa rappresenti un trattamento “su larga scala”.

Il Gruppo di lavoro europeo raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
– trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
– trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
– trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
– trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
– trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alcuni esempi di trattamento non su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
– trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Fonte: articolo 37, paragrafo 1, lettere b) e c), GDPR.

Oggi, con il Comunicato Stampa qui riportato, il Consiglio dei Ministri ha abrogato, a partire dal 25 Maggio 2018, l’attuale “Codice della Privacy” D. Lgs 196/2003.

“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare)

Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.”

E’ uscita la versione aggiornata della guida all’applicazione del GDPR, che potete scaricare qui.

 

Individual Decision Macking and Profiling (in inglese)

Questo documento contiene chiarimenti relativi alla gestione della profilazione degli utenti, all’utilizzo di questionari per la raccolta dati, geolocalizzazione e simili…