Altolà alla profilazione basata sul legittimo interesse. Il Garante per la protezione dei dati personali ha fatto sapere, in un comunicato stampa, di aver adottato un provvedimento urgente per impedire a Tik Tok la profilazione degli utenti. Per capire di cosa stiamo parlando, è bene fare qualche passo indietro. Per la precisione, alle scorse settimane, quando il popolare social network ha diffuso una comunicazione a coloro che, tra i propri iscritti hanno compiuto 18 anni. Tik Tok li ha avvertiti che, prossimamente, avrebbero cominciato a ricevere dei messaggi pubblicitari personalizzati.

La pubblicità mirata

Cosa significa? In concreto, si tratta di inviare pubblicità mirata, tarata cioè sui gusti e sulle preferenze del destinatario. Alla base di questa “magia” c’è la profilazione. Profilare significa, molto banalmente, raccogliere una serie di informazioni su una persona, fino a costruirne una specie di “scheda” comportamentale. Una specie di dossier relativo a quello che ci piace. Per arrivare a costruire questo dossier, è necessario raccogliere informazioni che, poiché sono riferibili ad una persona specifica, costituiscono dati personali. Più dati (più informazioni) si raccolgono, più si completa il dossier e più penetrante diventa la profilazione.

Per compiere quest’attività, si ricorre a meccanismi automatizzati. Le basi per la profilazione, in altre parole, si gettano attraverso l’attività online: il sito che visitiamo, il tempo che ci passiamo, gli articoli che leggiamo, i like che lasciamo, eccetera. Questa enorme massa di informazioni viene raccolta e processata dalle macchine, che vanno così a restituire un ritratto, in alcuni casi molto attendibile, del singolo utente. A cui, ed è questo il punto di partenza, viene mandato un messaggio pubblicitario estremamente mirato.

Profilazione e trattamento dati personali

Il fatto che questa attività implichi raccolta e gestione di dati personali, ovviamente, chiama in causa la normativa dettata a protezione di quest’ultimi. La circostanza che il tutto si realizzi attraverso un sistema automatizzato, poi, fa scattare un campanello d’allarme. A suonarlo è l’art. 22 del GDPR, norma che vieta la profilazione effettuata sulla base di un trattamento interamente automatizzato. Questo divieto viene meno se la profilazione è funzionale a concludere un contratto, se è autorizzata da una norma di legge o se vi sia il consenso del diretto interessato. Anche l’art. 122 del Codice Privacy specifica che il trattamento automatizzato richiede il consenso dell’interessato.

E qua torniamo a Tik Tok, perché, stando alla comunicazione inviata agli utenti, non veniva richiesto il loro consenso rispetto alla profilazione. La base giuridica indicata dal social, infatti, era quella del “legittimo interesse”. Con “legittimo interesse” si intende una finalità perseguita dal Titolare del trattamento, che intende soddisfare una sua esigenza. Può rappresentare una valida base giuridica per il trattamento dei dati personali, nella misura in cui l’interessato non possa opporre altre ragioni di segno opposto, che superino le esigenze del titolare. Semplificando: il legittimo interesse consente di compiere un trattamento di dati, a patto che il diretto interessato non subisca un pregiudizio dal quell’attività. Per poter trattare dati sulla base di un legittimo interesse, il titolare deve quindi operare un bilanciamento degli interessi, dandone conto (accountability).

Il legittimo interesse non basta

Di certo, dice il Garante, non è possibile invocare il legittimo interesse per giustificare la profilazione affidata ad un sistema automatizzato. Non lo si può fare, semplicemente, perché le norme viste sopra richiedono che l’interessato esprima un consenso rispetto a quella profilazione. Esprimere un consenso significa essere informati circa il trattamento e, consapevolmente ed esplicitamente, accettarlo. Serve che l’interessato manifesti la sua intenzione in merito, non basta, quindi, invocare un’altra base giuridica. Tik Tok, quindi, è stato avvisato: il legittimo interesse non è sufficiente. A questo punto, si tratta di vedere se questa decisione sarà presa in considerazione anche da tutti quei siti (e su Internet sono parecchi) che continuano a profilare gli utenti richiamano la base del “legittimo interesse”.