Cybersecurity & Privacy

Profilazione utente nelle attività di marketing per e-commerce

Scritto da Paolo Monini | Mar 3, 2021 11:00:00 PM

Il marketing, nell’e-commerce, è il piano di azione che l’imprenditore digitale realizza attraverso un complesso di strumenti, tra i quali riveste un ruolo fondamentale la profilazione utente. Quest’ultima rappresenta la cartina geografica, con cui indirizzare le decisioni dell’azienda (che vende attraverso un negozio online), ma anche la cartina di tornasole, che può dare conferma della bontà della strada intrapresa.

La profilazione, a sua volta, è strettamente connessa alla tutela della privacy, così come inquadrata nel regolamento di cui al Gdpr: l’identificazione (intesa anche come “categorizzazione” o “classificazione”) degli utenti o dei possibili clienti, avviene raccogliendo informazioni che appartengono alla sfera personale di coloro che si lasciano profilare. Ma non è un mero tracciamento online, dato che l’azienda deve fare un passo in più: si mira a circoscrivere, individuare o prevedere le preferenze, i gusti e le abitudini di una persona o di una categoria di persone.

In tal senso l’e-commerce marketing, come processo di sensibilizzazione che punta a far crescere il “traffico” degli utenti, per vendere online e fidelizzare la clientela, si deve avvalere della profilazione, decisiva per la vendita di un prodotto e lo sviluppo del business di qualunque organizzazione.

 

La definizione di profilazione utente e le regole del gioco

Per capire quanto importante sia la profilazione, basti pensare che il Gdpr gli dedica una definizione nell’articolo 4, al punto 4, secondo cui è “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

Rientra pienamente nel marketing dato che preferenze, interessi e comportamento sono gli aspetti principali su cui la strategia di azione (e “conquista” di un cliente) si muove.

Il concetto di profilazione è presente anche nelle “Linee guida in materia di trattamento dei dati per la profilazione online” del 19 marzo 2015, stilate dal Garante. Sono tre le tipologie di profilazione considerate:

  • la profilazione generale, così come inquadrata dall’articolo 4, numero 4, del Gdpr, di cui abbiamo poco sopra parlato;
  • la profilazione come base di un processo aziendale automatizzato, ma non solamente automatizzato, dato che c’è sempre una persona che analizza e valuta i risultati del procedimento elettronico;
  • la profilazione in cui le scelte sono prese esclusivamente sulla base di un trattamento automatizzato: è l’algoritmo che decide.

Queste classificazioni ci consentono di spiegare ciò che rientra nei limiti normativi e quello che ne esce, ovvero quello che si può e quello che non si può fare. L’ultimo tipo di profilazione, per esempio, in cui non esiste un intervento umano, è vietato: l’articolo 22 del Gdpr, infatti, spiega che l’interessato “ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Si tratta di un principio etico fondamentale, che impedisce la “sopraffazione” della macchina sull’uomo e dà alla persona il potere decisionale finale in tema di trattamento dei dati.

Sempre per ragioni di carattere etico, anche se non c’è uno specifico divieto, si consiglia di evitare la profilazione di minori per le attività di marketing. Il divieto, peraltro, può desumersi dalla ratio della normativa generale in tema di minori, nonché da principi contenuti in documenti che sono entrati nel nostro ordinamento, come la Carta di Treviso del 1990 (pur se in ambito giornalistico).

 

Informativa, consenso e diritti degli utenti

Se un’azienda decide di fare profilazione per le sue attività di marketing, deve anzitutto dichiararlo nell’informativa sul trattamento dei dati personali (privacy policy), che deve essere rilasciata prima di raccogliere quelle informazioni, spiegandone logica, finalità e conseguenze. L’informativa è obbligatoria e la sua assenza o scarsa trasparenza può determinare sanzioni anche rilevanti.

Il consenso è il presupposto per la raccolta delle informazioni. Non è sufficiente il consenso per il marketing, serve anche quello per poter fare profilazione. Lo stesso Garante ha sottolineato come, “affinché i trattamenti di dati effettuati per finalità di profilazione (…) soddisfino i requisiti di legge, sia necessario il consenso dell’interessato e tale consenso deve essere (…) libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile (…) a finalità esplicite e determinate, informato e documentato per iscritto”.

L’informativa deve essere resa anche con riguardo ai cookies, con la previsione ulteriore di un banner che permetta, a chi è appena approdato sul sito, di comprendere immediatamente quali cookies siano utilizzati e con quale scopo. In questo modo l’interessato sarà in grado di prestare il proprio consenso in modo tutelato.

E tra i diversi tipi di cookies, nell’e-commerce hanno particolare rilievo, appunto, quelli di profilazione: questi ultimi sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi con fini pubblicitari e commerciali in linea con le preferenze manifestate dallo stesso utente, nell’ambito della navigazione in rete.

Inoltre, anche l’aspetto della conservazione è importante: in base alla norma, i dati profilati non possono essere conservati per un periodo che sia superiore allo scopo per cui sono stati raccolti, dopo il quale vanno cancellati.

Da questo ragionamento, conseguono i diritti per gli utenti, che possono così riassumersi:

  • diritto di opposizione, quando non si vuole che i dati vengano utilizzati per finalità di marketing o profilazione;
  • diritto ad avere un’informativa sul fatto che si fa profilazione e che ci sono processi decisionali automatizzati;
  • diritto di accesso, ovvero l’utente può chiedere di vedere il profilo creato su di lui;
  • diritto alla rettifica o alla cancellazione, ovvero l’utente può chiedere che tutto il suo profilo sia cancellato o che i dati siano corretti, oppure che la profilazione sia limitata.

 

In ogni caso, anche sulle modalità di raccolta dei dati, il Gdpr è attento a tutelare gli utenti. Infatti, l’articolo 5 rafforza le garanzie in quanto sancisce che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”.

Inoltre, i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”: si tratta della cosiddetta “minimizzazione dei dati”. Infatti, l’imprenditore digitale, quando fa marketing, ha necessità di raccogliere più dati possibili, ma nella profilazione il trattamento deve essere minimizzato, anche usando dati aggregati.

Il complesso delle regole e dei limiti di cui si è parlato qui rende chiaro come profilare sia determinante, anzi indispensabile, ma la legge pone regole di bilanciamento a tutela delle persone e dei loro dati. Se sei un imprenditore digitale accorto, devi prepararti all’applicazione di queste norme, per una compliance al Gdpr che eviti le gravi sanzioni previste. Senza dubbio, la formazione è la base ineludibile di questo agire.

 

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

Inizia con il piede giusto e scopri le best practice per la privacy e  la sicurezza delle informazioni da adottare nelle tue strategie di marketing e e-commerce.

 

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.