È stato detto a più riprese, ma ricordarlo è indispensabile, che l’oro e il petrolio dell’era digitale, sono i dati dei naviganti della rete. Non solo i dati personali, quelli identificativi, il codice fiscale o il conto corrente bancario, ma anche, se non principalmente, i dati di navigazione, gli accessi ai siti, le parole che vengono digitate più spesso su un computer o uno smartphone. Si tratta di dati indispensabili per le attività di profilazione e indicizzazione, necessari per identificare i profili dell’utenza e poter indirizzare pubblicità e offerte ben mirate. Si comprende anche quanti possano essere pertanto gli investimenti sulla raccolta dati.
 
Non solo, quindi, analisi di mercato generiche, ma vere e proprie operazioni di gestione personalizzate per ogni singolo utente. Come farlo cercando di evitare il più possibile le strette norme del GDPR?

Le APP sono in tal senso gli strumenti perfetti, mediante le quali ottenere la maggiore quantità possibile di dati e informazioni per migliorare la qualità dei propri servizi e mirare le offerte sui singoli destinatari. Ciò vale per ogni tipologia di prodotto e servizio ma, ovviamente, per alcune categorie l’esigenza di disporre dei dati del consumatore è maggiore, in quanto lo specifico mercato può mettere a disposizione offerte differenziate e modellate ancor più su misura. L’esempio più evidente è quello dell’industria alimentare: è sufficiente pensare a tutte le possibili diete o anche mode del momento. Ma la obiettiva considerazione che l’industria alimentare è quella che, più di ogni altra, ha un rapido consumo del prodotto fresco, rende intuitivo come una conoscenza del cliente sia indispensabile. Conoscere quindi non solo le preferenze del cliente, ma anche le reazioni e le possibili percezioni su un’offerta diventa oggi strategico non solo per il marketing di un’azienda, ma anche per ogni livello di management. Non è quindi più sufficiente il ricorso a società specializzate nella raccolta e elaborazione dati, ma diviene anche utile prendere in considerazione l’ipotesi di predisporre strumenti ad uso interno per poter raccogliere direttamente alcuni dati, se non tutti, di maggiore interesse.

Evidente il vantaggio che una App, magari direttamente controllata, permetta l’immediata disponibilità dei dati. Ipotizziamo un’azienda nel settore alimentare che metta a disposizione dell’utenza, una lista della spesa o un diario alimentare a cui collegare offerte in tempo reale per i prodotti più consumati o acquistati in epoca più remota. Chi utilizza questi dati, mediante algoritmi, è in grado di conoscere il comportamento della propria utenza e, sperabilmente, prevederlo. Si tratta dell’attività espressamente prevista come “profilazione” ai sensi dell’art. 4 comma 4 del GDPR; attività che in base alle considerazioni del WP29 si divide nelle tre fasi della raccolta, analisi e applicazione che devono avere necessariamente carattere di costanza nel tempo.

Si tratta di attività che richiedono una stretta applicazione dei principi del GDPR, ad iniziare dalla prestazione di un consenso informato che abbia alla sua base un’informativa chiara ed esaustive sul punto, stante la delicatezza dei dati e delle possibilità di trattamento anche indiretto. Sempre nel caso delle abitudini alimentari, dall’acquisto di alcuni prodotti si possono dedurre allergie o intolleranze.

Peraltro è di solare evidenza come, specialmente scaricandole su uno smartphone, le App non permettano spesso di accedere preventivamente a moduli per la prestazione del consenso e neppure alle informative: un semplice click o touch sono richiesti per poter accedere e, magari scaricare quella che l’utente considera solo una possibile lista della spesa e, invece, con lo stesso gesto viene prestato il consenso a invio di mail, profilazioni e, magari, cessione di dati ad aziende satellite o collegate.

Consigliare una maggiore attenzione può essere considerato il più inutile dei consigli, tenuto conto di come operano molte app, magari gestite da società con sede in offshore. Ma il dato più allarmante è che solo su pochissime App sono previste restrizioni per l’accesso ai minori, considerato che basta una apparente autocertificazione dell’età e, non dimentichiamolo, le attività di profilazione sono disciplinate all’art. 35 del GDPR che impone la DPA (valutazione di impatto) che dovrebbe essere preventiva e presentata all’utente.

Considerazioni di cui dovranno tenere conto le aziende che vorranno adeguarsi puntualmente al GDPR. Il rischio è per quelle che non vorranno farlo e procederanno, magari vendendo i risultati, ad una profilazione non tutelata dal GDPR e senza garanzia alcuna per i Titolari.