Profilazione: le nuove regole del GDPR

La definizione anticipata nel sottotitolo è data dal Gruppo di lavoro ex Articolo 29 (in sigla WP29) – organismo consultivo e indipendente composto da un rappresentante delle autorità di protezione dei dati personali europee, che opera sul piano della data protection e in tematiche privacy.

Il 3 ottobre del 2017 ha pubblicato un documento inerente le Linee Guida in tema di processo decisionale automatizzato e profilazione rispetto alle regole enunciate dal Regolamento europeo 2016/679.

 USA LEGALDESK, IL GESTIONALE FUNZIONALE PER IL TUO STUDIO LEGALE

Profilazione e GDPR

Le Linee Guida rilasciate dal WP29, hanno lo scopo di chiarire meglio le disposizioni del GDPR su specifici argomenti, riportando anche esempi e casi pratici offerti dall’esperienza acquisita negli Stati membri.

In questo documento, viene individuata la definizione di profilazione, intesa come “la raccolta di informazioni su un individuo, o un gruppo di individui, per analizzare le caratteristiche al fine di inserirli in categorie, gruppi o poterne fare delle valutazioni o delle previsioni”.

Secondo quanto si legge nel Gdpr, la profilazione si compone di tre elementi principale:

  • un trattamento automatizzato.
  • eseguito su dati personali.
  • con lo scopo di valutare aspetti personali di una persona fisica.

L’art. 4 del nuovo Regolamento UE, il GDPR, infatti, definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Quindi, per stabilire se si è in presenza di profilazione “è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali” (considerando 24 del GDPR).

L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, in quanto costituirà il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all’uso dei propri dati per fini di profilazione.

Per questo, il titolare del trattamento, deve informare gli interessati dell’esistenza di una decisione basata sul trattamento di dati automatizzato comprendente profilazione.

Nell’informativa devono, quindi, essere esplicitate le modalità e le finalità della profilazione. Inoltre, la profilazione deve essere svolta utilizzando i soli dati strettamente necessari per la finalità indicata, in ossequio al principio di pertinenza e di proporzionalità.

Il legislatore europeo, difatti, specifica al considerando 71 che “al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori”.

L’articolo 22 del GDPR, paragrafo 1, individua l’ambito di applicazione delle norme in materia di profilazione, che riguarda le ipotesi in cui l’attività di profilazione produce effetti giuridici o incide in modo significativo sulla persona dell’utente, e la decisione è basata interamente sul trattamento automatizzato dei dati (ovviamente, in questi casi, l’interessato può opporsi a tale elaborazione).

La profilazione è ammessa quando:

1) il trattamento è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare;

2) il trattamento è autorizzato da una legge o regolamento, che prevede altresì misure idonee a tutelare i diritti dei soggetti interessati;

3) vi è esplicito consenso al trattamento (ricordiamo che il consenso alla profilazione deve essere distinto rispetto al consenso relativo ad altri trattamenti).

Come regola generale, il GDPR vieta l’utilizzo di dati personali sensibili per scopi decisionali automatizzati, a meno che:

  • l’interessato non abbia espresso il suo consenso esplicito.
  • la decisione automatizzata è necessaria per motivi di interesse pubblico.

Da non dimenticare che anche il considerando 72 chiarisce che “la profilazione è soggetta alle norme del presente regolamento che disciplinano il trattamento dei dati personali, quali le basi giuridiche del trattamento o i principi di protezione dei dati.

Il comitato europeo per la protezione dei dati istituito dal presente regolamento («comitato») dovrebbe poter emanare orientamenti in tale contesto”.

LEGGI ANCHE: Privacy e consenso dei dati personali via email ed sms

Profilazione, i rischi

L’utilizzo di processi decisionali automatizzati, tra cui rientra la profilazione automatizzata, si sta ormai diffondendo in diversi settori, sia privati che pubblici, in quanto tali trattamenti risultano essere maggiormente efficienti ed economici.

Tuttavia, il ricorso illimitato a questi trattamenti automatizzati potrebbe comportare rischi significativi, che il GDPR ha preso in considerazione, per i diritti e le libertà degli individui connessi a:

  • la tendenziale opacità dei processi e meccanismi automatizzati che porta spesso l’individuo, oggetto di profilazione, a non esserne a conoscenza.
  • la creazione , da parte del titolare, di dati nuovi, aggiuntivi rispetto agli originali che potrebbero “inscatolare” l’interessato in una categoria a cui non si riconosce condizionando così le sue scelte e, in alcuni casi, portando anche a forme di discriminazione.

Così, il GDPR, per eliminare il dislivello informativo che potrebbe esistere tra titolare e interessato ed evitare pregiudizi alla sfera giuridica di quest’ultimo, individua una serie di requisiti che questi trattamenti automatizzati devono possedere per essere conformi alla normativa:

  • specifiche prescrizioni in tema di trasparenza e correttezza.
  • maggiori obblighi di accountability.
  • basi giuridiche specifiche per la legittimazione del trattamento.
  • garanzie per gli individui in tema di diritto di opposizione alla profilazione e, in particolare, alla profilazione per finalità di marketing.
  • esecuzione di una valutazione d’impatto sulla protezione dei dati laddove non siano soddisfatte certe condizioni.

 USA ORA LEGALDESK, IL GESTIONALE CHE PROTEGGE I TUOI DATI

Profilazione: caratteristiche

Abbiamo detto che, affinché si possa parlare di profilazione, l’attività deve possedere le seguenti tre caratteristiche:

  1. il trattamento sia svolto in forma automatizzata.
  2. abbia ad oggetto dati personali.
  3. il suo obiettivo sia quello di valutare aspetti personali di una persona fisica.

Infatti, obiettivo della profilazione è quello di:

  • raccogliere informazioni su un individuo o su di un gruppo di individui.
  • analizzare le sue caratteristiche o modelli di comportamento.
  • inserire il profilo individuale in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un’attività, i suoi interessi o comportamento probabile.

Esistono diversi modi per utilizzare le tecniche di profilazione:

  • una, generica, che prevede la raccolta dei dati attraverso modalità non necessariamente automatizzate.
  • la seconda, che comporta che le decisioni siano basate sulla profilazione.
  • ed, infine, quella in cui le decisioni totalmente automatizzate.

Le ultime due sono quelle che comportano più problemi e nelle Linee Guida vengono spiegate attraverso due esempi. Una decisione basata sulla profilazione si ha quando un utente decide se richiedere un prestito basandosi su un risultato automatizzato; si tratta invece di decisioni totalmente automatizzate quando un algoritmo decide quali utenti possono essere destinatari di un prestito, senza l’interazione umana.

Quindi, un processo decisionale automatizzato comporta che le decisioni vengano prese solo attraverso mezzi tecnologici (quindi senza il coinvolgimento umano), o può basarsi su dati forniti direttamente dall’interessato (tramite un questionario), o ancora su dati ricavati da programmi traccianti oppure dati derivanti da profili precedentemente creati.

È bene, quindi, porre l’attenzione sul concetto di “decisione automatizzata”, con cui si intende “la capacità di prendere decisioni tramite l’utilizzo di strumenti tecnologici, senza l’intervento umano”.

Tuttavia, la profilazione non è condizione necessaria per l’assunzione di decisioni automatizzate: la decisione automatizzata e la profilazione a volte sono separate, altre volte no.

Potrebbe accadere che una decisione automatizzata venga presa senza aver creato un profilo dell’individuo o, viceversa, che una decisione automatizzata si tramuti in profilazione in virtù dei dati che vengono utilizzati.

Un esempio (che si ritrova sempre nel documento) chiarisce le idee: una multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere è una decisione automatizzata che non coinvolge profili.

Si tratta, invece, di profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori quali le abitudini di guida, altre violazioni al codice della strada, ecc.

Le norme del GDPR sul processo decisionale automatizzato

L’art. 22, paragrafo 1 prevede che: “l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Si è voluto evitare che un processo decisionale individuale completamente automatizzato, compresa la profilazione, possa produrre un effetto legale o analogo sull’interessato.

Nel concetto di “decisione basata unicamente sul trattamento automatizzato” si devono far rientrare quelle decisioni prese senza il coinvolgimento di un essere umano e che possano influenzare ed eventualmente cambiare il risultato attraverso la sua autorità o competenza.

Il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, è riconosciuto solo quando tale decisione “produca effetti giuridici o incida in modo analogo significativamente sulla sua persona”.

La norma parla sia propriamente di “effetti giuridici”, che riguarda l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo (ad es. penalizzando il diritto di associazione, di voto, di libertà negoziale, di libera circolazione eccetera), sia di circostanze che “in modo analogo” possono potenzialmente e significativamente influenzare i comportamenti e le scelte degli individui interessati.

Al considerando 71 del GDPR, come esempi di decisioni automatizzate che possono incidere sui diritti e le libertà degli individui in maniera rilevante, viene indicato il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.

Ma anche la pubblicità online, che di norma non ha un effetto significativo sugli individui, potrebbe, in base al caso concreto, creare un impatto negativo su alcuni gruppi sociali o persone vulnerabili: ad esempio, nel caso del soggetto con difficoltà economiche che riceve regolarmente pubblicità per il gioco d’azzardo online e può essere così invogliato ad iscriversi per giocare, peggiorando ulteriormente la sua situazione patrimoniale.

Al paragrafo 2 dell’art.22, si individuano tre eccezioni al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo:

  • quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  • quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • quando la decisione si basa sul consenso esplicito dell’interessato.

Per quanto riguarda la prima eccezione, viene chiarito che la necessità di utilizzare decisioni automatizzate per l’esecuzione o conclusione di un contratto deve essere interpretata in modo restrittivo e quindi il titolare deve dimostrare che la profilazione è indispensabile e non sono disponibili mezzi alternativi meno invasivi.

Con riferimento alla seconda eccezione, la legislazione degli Stati membri può, in alcuni casi, permettere l’utilizzo di un processo di decisione automatizzata per il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale o per garantire la sicurezza e l’affidabilità di un servizio fornito dal titolare.

Infine, per quanto riguarda la terza eccezione, si richiede una decisione cosciente e volontaria dell’interessato, che venga fatta con una dichiarazione espressa e non desumendola solo da comportamento concludente.

LEGGI ANCHE: Come si garantisce la privacy sul web?

L’informativa chiara ed esaustiva

Come detto in precedenza, nel caso di decisioni basate unicamente su un trattamento automatizzato, è necessario che l’informativa sia quanto più chiara ed esaustiva possibile, in modo da fornire all’interessato maggiori informazioni sulle modalità di creazione ed utilizzo di questi processi.

L’art. 13, par. 2, lett. f) e l’art. 15, par. 1, lett. h) stabiliscono il diritto dell’interessato di conoscere l’esistenza del processo decisionale automatizzato e, in particolare, di ottenere informazioni significative sulla logica utilizzata (i criteri assunti per raggiungere la decisione, senza che con ciò si debba necessariamente fornire una spiegazione complessa degli algoritmi utilizzati) e sulle conseguenze previste di tale trattamento (attraverso esempi bisognerà fornire informazioni su come il processo automatizzato potrebbe influenzare in futuro la persona interessata).

Considerando i rischi che tali tipologie di trattamento possono avere, la normativa europea da un lato obbliga il titolare ad attuare misure appropriate e “rafforzate” di tutela, dall’altro lato, riconosce il potere all’interessato di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione, nei casi in cui tale decisione sia prevista per contratto o consentita dall’interessato (art. 22, par. 3).

Un processo decisionale automatizzato che riguarda categorie particolari da dati, cd. dati sensibili (art. 9, par. 1 GDPR), è consentito solo in presenza del consenso esplicito dell’interessato o per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri.

Bambini e profilazione

Un problema interpretativo si pone perché, mentre il considerando 71 prevede che decisioni automatizzate, compresa la profilazione, non debbano applicarsi ai bambini, l’art. 22 non fa distinzione a seconda che il trattamento riguardi adulti o bambini.

Secondo ilWP29, il divieto imposto dal considerando 71 non deve rappresentare un divieto assoluto, anche perché ci potrebbero essere alcune circostanze in cui è necessario per i titolari effettuare trattamenti automatizzati con effetti giuridici nei confronti di bambini: ad esempio, per proteggere il loro benessere. In tali casi il trattamento potrà essere effettuato nel rispetto dell’art. 22 e adottando adeguate garanzie per proteggere i diritti e le libertà dei bambini.