Sempre più aziende ed enti, anche non profit o pubblici, utilizzano i social network come piattaforme per promuoversi e interagire con i propri utenti-consumatori-donatori-cittadini. La dinamica relazionale 2.0 favorisce la viralizzazione, consente un dialogo più proficuo e fa sentire partecipi tutti i soggetti coinvolti. Le tecnologie “connect” permettono di registrare gli utenti con estrema rapidità e facilità, catturandone i dati con pochi impercettibili click. Il trattamento di Big Data fornisce risultati di profilazione prima impossibili da ottenere e genera informazioni nuove, cioè dati sconosciuti perfino agli interessati cui si riferiscono: è il sorprendente “subconscio digitale” che va formandosi ogni giorno di più. Tuttavia, questi strumenti 2.0 nascondono insidie legali non banali. Il mancato rispetto dei princìpi di minimizzazione, proporzionalità, finalità, non eccedenza, correttezza e altri ancora può travolgere la legittimità di un’operazione in apparenza vincente, portando all’inutilizzabilità di quegli asset preziosi che sono ormai le basi di dati. L’uso esclusivo delle autenticazioni social può collidere con normative specifiche a tutela dei dati (ad esempio nelle manifestazioni a premio). Il trattamento di dati sensibili per fini di marketing può condurre a sanzioni penali e amministrative. La viralizzazione può considerarsi, in alcuni casi, un vero e proprio spam. La mancanza di misure di sicurezza nelle app sociali può favorire gravi violazioni di dati personali, con ricadute pesantissime sulla reputazione delle aziende e degli enti. Queste ed altre questioni dovrebbero entrare “by design” nella vita digitale e nel marketing delle aziende: l’avvocato esperto di ICT e privacy aiuta le imprese ad orientarsi e tutelarsi, con efficienza e senza bloccare inutilmente i processi, per non scivolare dalla spensieratezza dell’on line 2.0 alla durezza delle conseguenze legali off line.
Once you go cloud you never go down - by Enter - festival ICT 2015
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
1. Business app,
social 2.0 e privacy
Avv. Luca Bolognini
Founding Partner ICT Legal Consulting
Balboni Bolognini & Partners
Presidente Istituto Italiano per la privacy
1
2. Quali normative si APPlicano se
parliamo di social biz e privacy?
Direttiva 95/46/CE
Direttiva 2002/58/CE come modificata dalla
Direttiva 2009/136/CE
Legge nazionale dello stabilimento europeo
del Titolare del trattamento o, se extra-UE,
tutte le leggi nazionali di ciascuno Stato UE in
cui si installano strumenti (=cookie, apps)
3. Quali norme del Codice privacy
italiano (D.Lgs. 196/2003)?
Tra gli altri, gli articoli 7 (diritto d'accesso), 3 e
11 (principi fondamentali), 13 (informativa), 14
(profilazione), 23 (consenso), 26 (consenso e
autorizzazione per dati sensibili), 37
(notificazione), 122 (cookie e sistemi
analoghi), 126 (geolocalizzazione), 130
(marketing diretto), 162 e seguenti (sanzioni
amministrative e penali) del D.lgs. 196/2003
4. La cookie law in Italia
Recepita con un anno di ritardo nel maggio
2012 (D.Lgs. 69/2012) la Direttiva
2009/136/CE, oggi l'articolo 122 impone il
consenso specifico, informato, libero
dell'utente/contraente per l'archiviazione di
informazioni (cookie, apps) e/o la lettura di
informazioni (es. fingerprinting) sul terminale
degli utenti o dei contraenti.
Provvedimento 8 maggio 2014 del Garante
5. Il Parere n. 2/2013 sulle app del
Gruppo dei Garanti UE art. 29
Principi di finalità e minimizzazione dei dati
Informativa sintetica (no link) subito, con layer, e poi link a
privacy policy estese
Consensi diversi tra cookie (derivante dalla Dir.
2002/58/CE) e profilazione di dati personali (derivante
dalla Dir. 95/46/CE) ma possibile fonderli in uno
Consensi granulari per ogni tipo di dati che la app vuole
trattare (rilevante anche per APIs/OS)
Consenso separato per geolocalizzazione
6. Il Parere n. 2/2013 sulle app del
Gruppo dei Garanti UE art. 29
Diritto dell'utente di interrompere l'installazione
No behavioural advertising (pubblicità comportamentale) e
profilazione su dati di minori
Conservazione dei dati limitata alla necessità
Misure di sicurezza idonee
Diritto dell'utente di disinstallare la app
Messa a disposizione di un punto di contatto a cui l'utente
possa rivolgersi per esercitare i diritti
No distribuzione in app store (anche piattaforme di
condivisione sociale) di app senza privacy policy
7. Notificazione al Garante
Obbligatoria la Notificazione al Garante
Privacy ex art. 37 D.Lgs. 196/2003
per app o social che facciano
Riconoscimento facciale
Geolocalizzazione di persone o oggetti
Profilazione
Trasferimento all'estero dei dati
ma anche altri casi (es. app di telemedicina)
8. App cloud-based (SaaS, PaaS,
IaaS)
Attenzione alla circolazione di dati personali
extra-UE
Inquadrare bene i rapporti contrattuali con i
fornitori cloud
Verificare quali trattamenti di dati svolga il
fornitore cloud, come terza parte, e a quali
subfornitori della filiera passi i dati
9. Le Linee guida sul marketing
del Garante privacy del 4/7/13
II c.d. "social spam" consiste in un insieme di attività mediante le
quali lo spammer veicola messaggi e link attraverso le reti sociali
online. Ciò si inquadra nel problema dell'indiscriminato e spesso
inconsapevole impiego dei propri dati personali da parte degli
utenti nell'ambito dei social network, tanto più rispetto a profili di
tipo "aperto". Questo impiego si presta alla commercializzazione o
ad altri trattamenti dei dati personali a fini di profilazione e
marketing da parte di società terze che siano partner commerciali
delle società che gestiscono tali siti oppure che approfittino della
disponibilità di fatto di tali dati in Internet. Inoltre, essendo i social
network reti sociali tra persone reali, lo spam in questo caso può
mirare a catturare l'elenco dei contatti dell'utente mirato per
aumentare la portata virale del messaggio.
10. Le Linee guida sul marketing
del Garante privacy del 4/7/13
Una prima ipotesi è quella in cui l'utente riceva, in privato, in bacheca o
nel suo indirizzo di posta e-mail collegato al suo profilo social, un
determinato messaggio promozionale relativo a uno specifico prodotto o
servizio da un'impresa che abbia tratto i dati personali del destinatario dal
profilo del social network al quale egli è iscritto.
In tal caso, il trattamento sarà da considerarsi illecito, a meno che il
mittente non dimostri di aver acquisito dall'interessato un consenso
preventivo, specifico, libero e documentato ai sensi dell'art. 130, commi 1 e 2,
del Codice.
Nell'ipotesi dei "contatti" (i c.d. "amici") dell'utente, dei quali spesso nei social
network o nelle comunità degli iscritti ai servizi di cui sopra, sono visualizzabili
numeri di telefono o indirizzi di posta elettronica, l'impresa o società che
intenda inviare legittimamente messaggi promozionali dovrà aver
previamente acquisito, per ciascun "contatto" o "amico", un consenso
specifico per l'attività promozionale.
11. Le Linee guida sul marketing
del Garante privacy del 4/7/13
Una seconda ipotesi è quella in cui l'utente sia diventato "fan" della pagina di
una determinata impresa o società oppure si sia iscritto a un "gruppo" di
follower di un determinato marchio, personaggio, prodotto o servizio
(decidendo così di "seguirne" le relative vicende, novità o commenti) e
successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.
In tale caso, l'invio di comunicazione promozionale riguardante un
determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa
riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle
modalità di funzionamento del social network, anche sulla base delle
informazioni fornite, può evincersi in modo inequivocabile che
l'interessato abbia in tal modo voluto manifestare anche la volontà di
fornire il proprio consenso alla ricezione di messaggi promozionali da
parte di quella determinata impresa.
12. Le Linee guida sul marketing
del Garante privacy del 4/7/13
Il marketing "virale”
Per agevolare la diffusione del messaggio, il soggetto promotore offre un
incentivo o un bonus o altro bene economico ai destinatari delle
comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque
far conoscere a terzi la comunicazione promozionale ricevuta. Tale attività,
quando viene svolta con modalità automatizzate e per finalità di marketing,
può rientrare nello spam se non rispetta principi e norme attualmente in
vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice.
Non è soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo
una proposta promozionale, la inoltri a sua volta a titolo personale,
consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti
automatizzati. Il Codice si applica invece al trattamento effettuato da chi
inoltri, o comunque comunichi, il messaggio promozionale ricevuto a una
molteplicità di destinatari i cui dati personali (numeri di telefono o indirizzi e-mail)
siano stati reperiti su elenchi pubblici o sul web.
13. Tecnologie di registrazione
“connect”: conformi?
Principi di proporzionalità, non eccedenza,
necessità e minimizzazione
Consenso a cosa?
Raccolta di dati presso terzi o presso
l'interessato?
14. Big Data, tutti ne parlano ma...
la normativa privacy europea?
Principi di finalità e proporzionalità
appaiono antitetici al concetto stesso
di Big Data
Pseudonimizzazione soluzione?
15. La custom audience su FB e
altri social network
DB hashati... quindi no problem?
Attenzione: si può verificare
comunque la comunicazione illecita di
almeno un'informazione al social
network, che saprà che Tizio è anche
nostro utente o cliente
16. Profilazioni di dati sensibili
attraverso le app
Vietate le profilazioni ed elaborazioni per
finalità di marketing di dati sensibili (i dati
personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita
sessuale) perché manca l'Autorizzazione
17. Con il Regolamento UE, quali
novità per la privacy nei social?
2002/58/CE + 2009/136/CE (cookie law)
restano in piedi
Consenso per profilazione e analisi dei
comportamenti on line, sempre
Applicazione della normativa UE a tutti i
soggetti che analizzano i comportamenti di
utenti residenti in UE, a prescindere dall'uso di
strumenti collocati sul territorio europeo
18. Grazie dell'attenzione
Domande?
Via email luca.bolognini@ictlegalconsulting.com
ma anche via social
facebook.com/luca.bolognini
twitter.com/lucabolognini
http://it.linkedin.com/in/lucabolognini/