DELIBERA 19 marzo 2015 - Linee guida in materia di trattamento di dati personali per profilazione on line. (Delibera n. 161). (15A03333)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);

Visto il decreto legislativo 9 aprile 2003, n. 70, di "attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della societa' dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico";

Visto il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori";

Vista la pronuncia della Corte di Giustizia dell'Unione europea, del 13 maggio 2014, nella causa C-131/12;

Visto il provvedimento del Garante n. 229, dell'8 maggio 2014, relativo alla "Individuazione delle modalita' semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", pubblicato nella Gazzetta Ufficiale n. 126 del 3 giugno 2014 (in www.garanteprivacy.it;

doc. web n. 3118884);

Visto il provvedimento del Garante n. 353, del 10 luglio 2014, nei confronti di Google Inc. sulla "conformita' al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy" (doc. web n. 3283078);

Visti l'Opinion del WP 29 n. 04/2012 in materia di Cookie Consent Exemption, adottata il 7 giugno 2012, ed il Working Document del medesimo WP 29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article29/documentation/o pinionrecommendation/files/2013/wp208_en.pdf);

Vista l'Opinion del WP 29 n. 2/2006 sugli aspetti di tutela della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica adottata il 21 febbraio 2006 e disponibile al link http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp118_i t.pdf;

Vista l'Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni adottata il 25 novembre 2004 e disponibile al link http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_i t.pdf#h2-11;

Vista l'Opinion del WP 29 n. 9/2014 sull'applicazione della direttiva 2002/58/EC al device fingerptinting adottata il 25 novembre 2014 e disponibile al link http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2014/wp224_en.pdf;

Vista la comunicazione del WP 29 del 23 settembre 2014 indirizzata a Google Inc. contenente l'indicazione delle possibili misure da implementare per rendere i trattamenti di dati effettuati dalla societa' conformi al quadro normativo europeo in materia di protezione dei dati personali, disponibile al link http://ec.europa.eu/justice/data-protection/article-29/documentation/ other-document/files/2014/20140923_letter_on_google_privacy_policy_ap pendix.pdf;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Antonello Soro;

Premesso: 1. All'interno dell'attuale societa' dell'informazione operano diversi fornitori di servizi identificabili ai sensi dell'art. 2, d.lgs. 9 aprile 2003, n. 70, o altrimenti definibili come quei soggetti che comunque offrono servizi on line accessibili al pubblico attraverso reti di comunicazione elettronica. Occorre innanzitutto considerare che, a differenza di quanto accade per quelli non stabiliti su territorio nazionale, con riguardo ai quali soltanto le piu' recenti tendenze interpretative espresse dalla Corte di Giustizia dell'Unione europea hanno statuito, al ricorrere di determinate condizioni, la piena applicabilita' del quadro normativo in materia di protezione dei dati personali sia europeo sia nazionale, i fornitori dei servizi della societa' dell'informazione, stabiliti su territorio nazionale, gia' risultano tenuti, proprio in virtu' della diretta applicabilita' del principio di stabilimento di cui agli artt. 4 della direttiva 95/46/CE, nonche' 5, comma 1, del Codice, al pieno rispetto delle prescrizioni e degli obblighi derivanti dalla menzionata disciplina. Per questa ragione, considerate anche le esigenze di tutela della competitivita' all'interno del mercato di riferimento, di uniformita' di trattamento tra tutti i soggetti tenuti agli adempimenti di specie, nonche' la loro complessita', soprattutto in un settore, quale quello in questione, nel quale le soluzioni adottabili sono funzione anche dei rapidissimi sviluppi delle diverse tecnologie applicabili, l'Autorita' si e' determinata all'adozione delle presenti "Linee guida in materia di trattamento dati personali per profilazione on line" (di seguito Linee guida) con l'intento di armonizzare, semplificandole, le diverse modalita' attraverso le quali e' possibile garantire il rispetto dei principi applicabili in materia di protezione dei dati personali nell'espletamento delle attivita' che caratterizzano la fornitura di servizi on line. L'Autorita' intende cioe' fornire, con le presenti Linee guida, regole di condotta uniformi che attuino quei canoni e quei principi di semplificazione i quali costituiscono uno degli obiettivi dell'azione istituzionale del Garante. 2. La gamma dei servizi offerti, sul mercato ed in base alla tecnologia attuale, e' certamente ampia. Le diverse funzionalita' cui si fa riferimento possono infatti variare dal motore di ricerca sul web alla posta elettronica, dalle mappe on line alla commercializzazione di spazi pubblicitari, dai social network alla gestione di pagamenti on line, dai negozi virtuali per l'acquisto di applicazioni, musica, film, libri e riviste, alla ricerca, visualizzazione e diffusione di filmati, da servizi di immagazzinamento, condivisione e revisione di testi, a software per la visualizzazione di immagini o per la gestione di agende e calendari, da funzionalita' per il controllo e la gestione dei profili dell'utente, all'immagazzinamento (servizi cloud/storage), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web e cosi' via. Si tratta, per lo piu', di funzionalita' offerte a titolo gratuito agli utenti finali, dal momento che il modello imprenditoriale delle societa' coinvolte nella prestazione di tali servizi si fonda spesso su modelli di business che valorizzano gli introiti ad esse derivanti dalla pubblicita'. In un numero considerevole di casi, i dati raccolti vengono utilizzati per finalita' di profilazione, cioe' per l'analisi e l'elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in "profili", ovvero in gruppi omogenei per comportamenti o caratteristiche sempre piu' specifici, con l'obiettivo di pervenire all'identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o piu' utilizzatori di quel dispositivo. La menzionata categorizzazione e' generalmente strumentale sia alla messa a disposizione di servizi sempre piu' mirati e conformati sulle specifiche esigenze dell'utente, sia alla fornitura di pubblicita' personalizzata, che pertanto abbia un grado di probabilita' di successo (ma, al tempo stesso, anche un livello di pervasivita') molto piu' elevati rispetto a messaggi promozionali generici...

Per continuare a leggere

RICHIEDI UNA PROVA

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT