,

Data Onboarding e protezione dei dati personali

Data Onboarding e protezione dei dati personali
10

L’Onboarding dei dati

Nella nostra epoca i dati personali costituiscono un valore di non poco conto per le aziende, le quali oggi, al fine di monetizzarli, possono contare sul processo di data onboarding.

Questo consiste nel trasferire i dati dal piano fisico a quello digitale, ovvero da offline a online. Tale processo viene attuato prevalentemente per motivi di marketing.
Infatti, l’onboarding dei dati viene utilizzato soprattutto per collegare i dati dei clienti offline con quelli degli utenti online, utilizzando le informazioni di identificazione dei clienti raccolte offline per recuperare gli stessi clienti nel pubblico online.

Per facilitare la comprensione di questo processo possiamo fare un esempio: quando avviene un acquisto di beni in un negozio reale vengono raccolti dei dati offline (ad. es. nome, cognome e numero della carta di credito), questi dati vengono riuniti ai dati raccolti on line delle stesse persone, in modo da inviargli digitalmente degli annunci pubblicitari “mirati” relativi a preferenze, abitudini e consumi che egli ha espresso nel mondo fisico. 

Le quattro fasi del processo

Il processo di data onboarding prevede varie fasi: l’anonimizzazione, l’inserimento, l’abbinamento e l’attivazione dei dati.

  • L’anonimizzazione è parte fondamentale del processo di data onboarding, soprattutto ai fini della tutela della privacy, e consiste nel rendere appunto anonimi i dati raccolti. In sostanza, l’attività di anonimizzazione rende i dati del tutto non riconducibili all’identità della persona fisica.
  • L’inserimento o caricamento dei dati, consiste letteralmente nell’inserire i dati raccolti offline anonimizzati, quali ad esempio i nomi dei clienti, i loro indirizzi e-mail e/o di residenza, i numeri di telefono, oppure i dati sulle transazioni eseguite, su una piattaforma onboarder.
  • L’attività di abbinamento o accoppiamento dei dati si realizza riunendo i dati raccolti offline, anonimizzati e digitalizzati del singolo cliente con i dati già online dello stesso cliente. Pensiamo, ad esempio, al nostro indirizzo e-mail o di residenza, da noi inseriti su un modulo che abbiamo compilato in occasione di un acquisto effettuato presso un negozio fisico, che poi vengono utilizzati come nostri identificativi per abbinarli ad ID digitali, come il nostro account Facebook o Twitter.
  • L’attivazione dei dati, infine, comporta che l’azienda, attraverso l’utilizzo di appositi strumenti tecnologici (piattaforme onboarding), possa utilizzare i dati così digitalizzati per intraprendere campagne pubblicitarie più efficaci, in quanto tarate sugli effettivi interessi del soggetto destinatario del messaggio promozionale (in proposito, rimando al mio articolo sulla pubblicità comportamentale).

L’anonimizzazione dei dati

Al fine di rispettare le norme in tema di trattamento dei dati personali dettate dal Regolamento UE 2016/679 (o GDPR) in tema di data onboarding, risulta di fondamentale importanza, come sopra accennato, che sia adottata la procedura di anonimizzazione dei dati.
Anonimizzare significa, come detto, rendere i dati personali non più riferibili alle persone fisiche interessate, attraverso una procedura che non consente in alcun modo di essere invertita. In sostanza, ciò significa eliminare la correlazione tra i dati personali e la persona fisica cui i dati si riferiscono. Una volta cancellata la parte dei dati che determina questa correlazione e quindi resi appunto anonimi i dati, risulta oggettivamente impossibile invertire il processo.

Ciò che caratterizza maggiormente l’anonimizzazione rispetto ad altri sistemi, quali la pseudonimizzazione o la cifratura dei dati, è quindi la sua irreversibilità. Una volta che i dati sono stati resi anonimi non è possibile (o non dovrebbe essere possibile) risalire all’identità dei soggetti cui si riferiscono i dati originari. Se il procedimento di anonimizzazione è effettuato correttamente, ai dati anonimizzati non è più applicabile il GDPR, in quanto questi ultimi non si possono più considerare dati personali

Data onboarding e compliance GDPR

In tal senso, il Considerando 26 del GDPR, afferma che “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”. Inoltre, il Considerando 9 del Regolamento UE 2018/1807, relativo alla libera circolazione dei dati non personali nell’Unione Europea, afferma esplicitamente che i dati anonimizzati sono da considerarsi appunto dati non personali. Difatti nel predetto considerando si legge: “Fra gli esempi specifici di dati non personali figurano gli insiemi di dati aggregati e anonimizzati usati per l’analisi dei megadati.

In sintesi solo se il procedimento di data onboarding adotta una procedura di anonimizzazione corretta e, quindi, che garantisca effettivamente l’impossibilità di risalire all’identità della persona fisica, può definirsi compliance alla normativa europea.

Avv. William Dispoto

Potrebbero interessarti
Privacy smart workingLa privacy nello smart working
Consenso al trattamento dei datiIl consenso al trattamento dei dati personali
GDPR Cosa devono fare le aziende per adeguarsiGDPR – Cosa devono fare le aziende per adeguarsi?
Chi è il DPOChi è il DPO? Requisiti, compiti e quando nominarlo
Portabilita datiPortabilità dei dati: soluzioni pratiche per il corretto esercizio
Rimozione e deindicizzazione datiRimozione e deindicizzazione dei contenuti online