Più tutele per i clienti delle compagnie telefoniche profilati a
fini di marketing. Con sette provvedimenti rivolti ad altrettanti
gestori telefonici Il Garante Privacy ha definito criteri e
garanzie per poter utilizzare dati “aggregati”. L’analisi dei
gusti e dei comportamenti della clientela, una delle principali
attività utilizzata per definire decisioni e strategie aziendali,
può essere infatti realizzata sia con dati personali, per i quali
risulti il consenso del cliente, sia con informazioni
“aggregate”, raggruppate cioè per categorie omogenee a seconda
dei livelli di spesa, di traffico, età, professione, fasce orarie
utilizzate, telefonate nazionali o internazionali.
In questo caso però – ricorda l'Autorità – è necessario,
prima di poter trattare i dati, richiedere una verifica preliminare
da parte del Garante: un esame necessario questo, previsto dal
provvedimento generale sulla profilazione del 2009, in ragione del
fatto che i dati “aggregati” – per quanto non consentano di
risalire immediatamente a persone identificabili – non si possono
definire, di per sé, dati anonimi. "Essi derivano infatti da
informazioni individuali presenti in forma completa e dettagliata
nei vari sistemi operativi aziendali e il loro uso può presentare
rischi per la privacy", precisa il Garante.
I gestori telefonici dovranno attenersi alle prescrizioni dettate
loro singolarmente dal Garante. In linea generale, dovranno
utilizzare dati “aggregati” dai quali non sia possibile
risalire direttamente all’identità dell’utente. I sistemi
informatici dedicati alla profilazione, poi, dovranno essere del
tutto separati da quelli utilizzati per altre finalità (come
fatturazione o marketing) e rigorose misure di sicurezza dovranno
essere adottate nella trasmissione delle liste di utenti agli
addetti alle campagne di commercializzazione e di marketing.
Ad alcune società, inoltre, il Garante ha chiesto di rafforzare i
livelli di protezione per l’accesso ai dati, introducendo
procedure di autenticazione individuali e profili differenziati
rispetto a quelli richiesti per l’accesso agli altri sistemi
aziendali. I dati usati per la profilazione non potranno essere
conservati oltre il periodo stabilito dal Garante, in genere 12
mesi o per un periodo più lungo in ragione di documentate esigenze
tecnico-gestionali. Trascorso tale termine i dati dovranno essere
cancellati o trasformati, in modo irreversibile, in forma
anonima.
Da rivedere, infine, l’informativa resa alla clientela che dovrà
contenere un esplicito richiamo all’attività di profilazione e
alla avvenuta verifica preliminare da parte del Garante.
