Visto che in questi giorni e' tornato in auge il discorso sulla privacy degli utenti, ritengo sia interessante discutere sull'ennesimo provvedimento del Garante, http://www.garanteprivacy.it/garante/doc.jsp?ID=1629107, Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione. Il dato aggregato e' fondamentale per la BI, sulla quale si basano tutte le campagne di marketing delle aziende nei settori merceologici piu' disparati : eppure il Garante si preoccupa solo dei fornitori di servizi di comunicazione elettronica. I supermercati, che con le schede fedelta' fanno profilazioni altrettanto invasive e trattano dati personali (tant'e' che viene richiesto al cliente di firmare la liberatoria in tal senso) non devono rispondere allo stesso provvedimento (come sempre due pesi e due misure).
I parametri di valutazione del Garante. 1. i dati personali oggetto dell'attività di profilazione siano esclusivamente dati personali aggregati, dai quali, nell'ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati; 2. i dati personali aggregati oggetto di profilazione siano contenuti in uno o più sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalità (ad esempio marketing); (NdRR) I datastage utilizzati per il reporting e/o motori per il data mining di fatto sono quasi sempre inseriti all'interno delle singole piattaforme. Avere mega sistemi separati per la profilazione secondo porta il rischio opposto di avere troppe informazioni concentrate e troppi flussi in input/output da controllare. 3. i dati personali aggregati oggetto dell'attività di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralità di interessati, siano sottoposti ad un processo in grado di impedire l'immediata identificabilità dei singoli interessati; (NdRR) e' la definizione stessa di dato aggregato. Mi sembra pero' una ripetizione del punto 1. 4. gli incaricati che svolgono l'attività di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive alla profilazione; (NdRR) Un altro incaricato da gestire con la SoD. Di fatto chi ha in carico la gestione del DB di una piattaforma di esercizio , credo riesca a realizzare tutte le query ad hoc del caso senza aver accesso al sistema di profilazione. Si crea in casa un data-mining (sempre se non impatta troppo sulle performance del sistema)e ti saluto profilazione controllata. 5. i dati personali oggetto dell'attività di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati. (NdRR) Ovviamente, essendo dati personali avranno lo stesso tempo di retention. Se non erro la scadenza per rispondere al Garante era il 30 settembre, sarei curioso di vedere quanti operatori (grandi e piccoli) hanno preso le dovute precauzioni, che di fatto al momento si limitano solo alla verifica di una richiesta preliminare ma che di fatto, richiedono anche una attenta analisi della situazione in essere. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
