Privacy, sanzionata la società di noleggio auto che crea il profilo del cliente

Una maxi sanzione di 40 mila euro per la società di autonoleggio che traccia il profilo del cliente, grazie alle informazioni aggiuntive e dettagliate sulle sue abitudini ottenute come condizione per accedere a sconti personalizzati, senza darne comunicazione al Garante. La Corte di cassazione (sentenza 32411) avalla la decisione del Garante del trattamento dei dati personali, che aveva contestato alla società la profilazione degli automobilisti, oltre all’assunza di una comunicazione all’Authority anche in relazione alla continua geolocalizzazione: mancanza quest’ultima punita con un’ulteriore sanzione di 20 mila euro, per un totale di 60 mila.

La raccolta dei dati

A finire nel mirino del Garante era stata una società che noleggiava veicoli elettrici e che aveva predisposto, sul sito aziendale, un servizio dal nome allettante: «Più ne hai bisogno e meno costa». Per ottenere un taglio rispetto alla tariffa ordinaria, era però necessario compilare una scheda con maggiori e specifiche informazioni. La percentuale di sconto veniva poi calcolata attraverso un algoritmo matematico. Una procedura automatizzata grazie alla quale i dati venivano incrociati e analizzati in modo da prevedere l’utilizzo che ciascuno avrebbe fatto dei veicoli e su quello tarare lo sconto.

L’identikit del cliente

Per i giudici di merito, come per la Suprema corte, la condotta rientrava nel raggio d’azione della norma sul trattamento dei dati personali. I requisiti c’erano tutti. Il trattamento era automatizzato e fatto con l’obiettivo «di definire il profilo o la personalità dell’interessato o analizzare abitudini o scelte di consumo». Ad avviso della Cassazione la personalizzazione dell’offerta di sconto altro non poteva essere che una manifestazione della profilazione del cliente – anche se non identificato individualmente – attraverso un’analisi delle abitudini per arrivare ad «un’offerta commerciale il più possibile ritagliata sulle concrete caratteristiche dell’interessato». In questo quadro è ininfluente la prova che i dati venissero conservati: circostanza negata dalla ricorrente. I giudici ricordano, infatti, che «ai fini dell’integrazione della profilazione, non occorre la memorizzazione sine die del dato, nè la sua associazione duratura al singolo cliente, in quanto l’attività di elaborazione attraverso algoritmo di dati personali sostanzia di per sè un’attività di screening dei dati forniti».

La geolocalizzazione

Escluso anche un taglio della sanzione, perché la raccolta e l’elaborazione dei dati «costituiva attività centrale della società, anche considerato il valore della produzione registrato nell’anno di riferimento». Era corretta, infine, la diversificazione delle sanzioni, in seguito all’attività di verifica la società aveva provveduto a notificare al Garante il trattamento dei dati relativi alla geolocalizzazione, ma non quello relativo alla profilazione.