Una compagnia telefonica potrà avviare una innovativa forma di profilazione della propria clientela, senza dover prima acquisirne il consenso. L’attività dovrà però essere sottoposta a precise regole e controlli a tutela dei dati personali degli interessati. Questa la decisione del Garante per la Privacy, che ha accolto un’istanza di verifica preliminare in cui la società chiedeva di poter realizzare un “arricchimento” del proprio database, integrando informazioni sui clienti e sulle rispettive abitudini di consumo con statistiche di tipo socio-demografico sull’area di residenza e lavoro.
Nella richiesta – spiega la Newsletter del Garante – la compagnia sottolineava che tale arricchimento dei dati era particolarmente importante sia per definire nuove offerte commerciali, sia per la progettazione e lo sviluppo della propria rete. Chiedeva quindi, in base al principio di bilanciamento degli interessi, e garantendo l’adozione di adeguate cautele, di poter essere esonerata dall’obbligo di acquisire il consenso delle persone interessate. L’Autorità, nell’accogliere l’istanza, ha tuttavia rilevato che la nuova attività di profilazione, anche se effettuata sulla base di dati aggregati, senza puntuali indicazioni anagrafiche, grazie all’incrocio di informazioni personali e statistiche (riferite anche a microzone di circa 50 famiglie), potrebbe in teoria consentire di risalire all’identità dell’utente. Ha quindi prescritto alla società di adottare precise misure di sicurezza e ogni accorgimento affinché l’anonimato del cliente venga comunque rigorosamente tutelato.
La società dovrà, in particolare, fare in modo che i codici utente utilizzati per l’attività di profilazione siano diversi da quelli già adottati per la gestione del servizio telefonico. I dati clienti utilizzati per la profilazione potranno essere impiegati esclusivamente per la definizione delle nuove offerte commerciali e dovranno essere cancellati o resi definitivamente anonimi appena elaborate le nuove promozioni. Anche i cosiddetti “dati arricchiti” dovranno essere cancellati o resi anonimi in maniera irreversibile entro 12 mesi dalla loro creazione. La società dovrà poi aggiornare l’informativa fornita agli utenti integrandola con precise indicazioni sul nuovo tipo di trattamento realizzato con i loro dati.
Il Garante ha infine prescritto alla società di telecomunicazioni di far pervenire, prima di avviare l’attività di arricchimento del database clienti, la documentazione tecnica e legale che dimostri l’adozione delle misure indicate. Trascorso un anno dall’inizio delle operazioni, la compagnia telefonica dovrà produrre anche un dossier relativo a tutte le campagne marketing effettuate con il nuovo sistema in tale arco temporale, al fine di verificare che non siano stati posti in essere trattamenti non autorizzati o comunque illeciti.