dott.ssa Silvia Borghi – Consulente Privacy.it

Pubblicato in data 02-11-2017

Il Gruppo di Lavoro articolo 29 dei Garanti Privacy europei ha pubblicato il 3 ottobre 2017 le Linee Guida in tema di processo decisionale automatizzato e profilazione rispetto alle regole enunciate dal Regolamento europeo 2016/679 – GDPR.

Queste Linee Guida, così come altre recentemente adottate (in tema di responsabili della protezione dei dati, portabilità dei dati e valutazione d’impatto sulla protezione dei dati), hanno lo scopo di chiarire meglio le disposizioni del GDPR su specifici argomenti, riportando anche esempi e casi pratici offerti dall’esperienza acquisita negli Stati membri.

Il ricorso a processi decisionali automatizzati, compresa la profilazione automatizzata, si sta vieppiù diffondendo in diversi settori, sia privati che pubblici, perché il progresso tecnologico ha reso questi trattamenti maggiormente efficienti ed economici.

A riguardo, tuttavia, il GDPR ravvisa possibili rischi significativi per i diritti e le libertà degli individui riconnessi a:

  • la tendenziale opacità dei processi e meccanismi automatizzati che porta spesso l’individuo, oggetto di profilazione, a non esserne a conoscenza;
  • la creazione , da parte del titolare, di dati nuovi, aggiuntivi rispetto agli originali che potrebbero “inscatolare” l’interessato in una categoria a cui non si riconosce condizionando così le sue scelte e, in alcuni casi, portando anche a forme di discriminazione.

Pertanto, il GDPR, per correggere questo dislivello informativo tra titolare e interessato ed evitare pregiudizi alla sfera giuridica di quest’ultimo, individua una serie di requisiti su cui concentrarsi per rendere questi trattamenti automatizzati conformi alla normativa:

  • specifiche prescrizioni in tema di trasparenza e correttezza;
  • maggiori obblighi di accountability;
  • basi giuridiche specifiche per la legittimazione del trattamento;
  • garanzie per gli individui in tema di diritto di opposizione alla profilazione e, in particolare, alla profilazione per finalità di marketing;
  • esecuzione di una valutazione d’impatto sulla protezione dei dati laddove non siano soddisfatte certe condizioni.

Definizione di profilazione e processo decisionale automatizzato

Il Regolamento europeo definisce la profilazione all’art. 4, paragrafo 4 come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

I Garanti europei specificano che la fattispecie della profilazione è integrata allorquando concorrano le seguenti tre caratteristiche:

  • il trattamento sia svolto in forma automatizzata ,
  • esso abbia ad oggetto dati personali,
  • il suo obiettivo sia quello di valutare aspetti personali di una persona fisica.

Mediante la profilazione, infatti, si raccolgono informazioni su un individuo (o gruppo di individui), si analizzano le sue caratteristiche o modelli di comportamento e si inserisce il profilo individuale in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un’attività, i suoi interessi o comportamento probabile.

Il processo decisionale automatizzato induce a prendere decisioni solo attraverso mezzi tecnologici, (ossia senza il coinvolgimento umano) e può basarsi su dati forniti direttamente dall’interessato (ad es. tramite form o un questionario), oppure su dati ricavati da programmi traccianti (ad es. la geolocalizzazione individuale fornita da un app) o dati derivanti da profili precedentemente creati (ad es. l’affidabilità finanziaria in ambito creditizio).

La decisione automatizzata e la profilazione a volte sono separate, altre volte no: infatti può succedere che una decisione automatizzata venga presa senza aver creato un profilo dell’individuo e, al contrario, una decisione automatizzata possa trasformarsi in profilazione a seconda del modo in cui i dati vengono utilizzati.

Le linee guida, a questo proposito, riportano un esempio per chiarire i due concetti: una multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere è una decisione automatizzata che non coinvolge profili. Si tratterebbe invece di profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori quali le abitudini di guida, altre violazioni al codice della strada, ecc.

Disposizioni specifiche sul processo decisionale automatizzato come definito dall’art. 22

L’art. 22, par. 1 stabilisce che:” l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Per il Gruppo dei Garanti, pertanto, l’art. 22, par. 1 istituisce un divieto per quel processo decisionale individuale completamente automatizzato, compresa la profilazione, che abbia un effetto legale o analogo sull’interessato.

Per “decisione basata unicamente sul trattamento automatizzato” si deve intendere una decisione presa senza il coinvolgimento di un essere umano che possa influenzare ed eventualmente cambiare il risultato attraverso la sua autorità o competenza.

Perché sia riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato è necessario che tale decisione “produca effetti giuridici o incida in modo analogo significativamente sulla sua persona”.

Il riferimento agli “effetti giuridici” concerne, ovviamente, l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo (ad es. penalizzando il diritto di associazione, di voto, di libertà negoziale, di libera circolazione eccetera). Oltre a questo la norma apre anche alle circostanze che “in modo analogo” possono potenzialmente e significativamente influenzare i comportamenti e le scelte degli individui interessati. Il Considerando 71 del GDPR cita, come esempi di decisioni automatizzate che possono incidere sui diritti e le libertà degli individui in maniera rilevante, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.

Anche la pubblicità online che, solitamente non ha un effetto significativo sugli individui, può a secondo delle particolarità dei casi ( cioè in base  all’intrusione del processo di profilazione, alle aspettative degli interessati, al modo in cui viene pubblicato l’annuncio,ad aspetti emotivi e psicologici dell’interessato) creare un impatto negativo su alcuni gruppi sociali come gruppi di minoranza o adulti vulnerabili (si porta l’esempio del soggetto con difficoltà economiche che riceve regolarmente pubblicità per il gioco d’azzardo online e può essere così invogliato ad iscriversi per giocare, peggiorando ulteriormente la sua situazione patrimoniale).

L’art. 22 al par. 2 prevede tre eccezioni al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo:

  • quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  • quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • quando la decisione si basa sul consenso esplicito dell’interessato.

In riferimento al primo punto, i Garanti europei chiariscono che la necessità di utilizzare decisioni automatizzate per l’esecuzione o conclusione di un contratto deve essere interpretata in modo restrittivo ciò significa che il titolare deve essere in grado di dimostrare che la profilazione è necessaria e non sono disponibili mezzi alternativi meno invasivi.

In riferimento al secondo punto, la legislazione degli Stati membri può, in casi specifici, autorizzare il ricorso ad un processo di decisione automatizzata per il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale o per garantire la sicurezza e l’affidabilità di un servizio fornito dal titolare.

Infine, per quanto riguarda la terza deroga, il Regolamento richiede il consenso esplicito dell’interessato ossia confermato da una dichiarazione espressa e non desunto da comportamento concludente.

In ambito di decisioni basate unicamente su un trattamento automatizzato, come previsto dall’art. 22, il Regolamento introduce la necessità di fornire all’interessato maggiori informazioni sulle modalità di creazione ed utilizzo di questi processi. Infatti, l’art. 13, par. 2, lett. f) e l’art. 15, par. 1, lett. h) stabiliscono il diritto dell’interessato di conoscere  l’esistenza del processo decisionale automatizzato e, in particolare,  di ottenere informazioni significative sulla logica utilizzata (i criteri assunti per raggiungere la decisione, senza che con ciò si debba necessariamente fornire una spiegazione complessa degli algoritmi utilizzati) e sulle conseguenze previste di tale trattamento (attraverso esempi bisognerà fornire informazioni su come il processo automatizzato potrebbe influenzare in futuro la persona interessata).

Tenuto conto dei rischi rilevanti sui diritti e libertà dell’interessato per queste tipologie di trattamento, il Regolamento, da un lato obbliga il titolare ad attuare misure appropriate e “rafforzate” di tutela (importante sarà anche prevedere modalità che verificano con regolarità la correttezza dei processi per limitare errori di classificazione o valutazione con impatto negativo sui soggetti profilati), dall’altro lato, riconosce il potere all’interessato di ottenere l’intervento umano da parte del titolare, di  esprimere la propria opinione e di contestare la decisione, nei casi in cui tale decisione sia prevista per contratto o consentita dall’interessato (art. 22, par. 3).

Un processo decisionale automatizzato che coinvolga categorie particolari da dati, di cui all’art. 9, par. 1, è consentito solo in presenza del consenso esplicito dell’interessato o per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri.

Disposizioni generali in materia di processo decisionale automatizzato e profilazione

  1. I principi di protezione dei dati

I principi di protezione di cui all’art. 5 del GDPR sono rilevanti ed applicabili per tutte le tipologie di profilazione e processo decisionale automatizzato che trattino dati personali.

La trasparenza è un requisito fondamentale imposto dal GDPR e riveste notevole importanza nell’ambito della profilazione a causa della scarsa conoscenza dell’interessato circa i processi tecnologici sottesi alla profilazione e a causa della creazione di dati nuovi ed ulteriori non forniti dall’interessato direttamente.

Pertanto, il titolare deve fornire agli interessati in modo conciso, trasparente e comprensibile tutte le informazioni in merito al trattamento dei loro dati.

I dati devono essere trattati per finalità specifiche e se vengono utilizzati per una finalità diversa dall’originale (si prenda il caso delle applicazioni che forniscono servizi di localizzazione che dovessero essere utilizzati per finalità di marketing) sarà necessario richiedere due distinti consensi.

I Garanti europei pongono attenzione anche sulla minimizzazione del trattamento in quanto la capacità di elaborare grandi quantità di dati può spingere i titolari a raccogliere più informazioni di quante siano necessarie. È importante, invece, trattare i soli dati necessari per raggiungere la finalità specifica.

I dati devono essere sempre esatti ed aggiornati. Questa esattezza deve essere presente in tutte le fasi del processo di profilazione, dalla raccolta dei dati, alla costruzione del profilo fino alla decisione presa a livello automatizzato. I dati inesatti, come noto, possono viziare l’integrità logica dei profili e condurre a decisioni sbagliate.

Anche per la profilazione, vale la regola della conservazione dei dati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati: nonostante possano vantarsi capacità tecniche di conservare grandi volumi di informazioni, mantenere i dati per troppo tempo aumenta il rischio di errori ed imprecisioni.

  1. Condizioni di liceità

Il trattamento di profilazione è lecito solo se ricorre almeno una di queste condizioni:

  • consenso: i titolari dovranno  dimostrare che l’interessato ha  compreso esattamente l’oggetto del suo consenso . In tutti i casi, gli interessati dovrebbero ricevere rilevanti informazioni circa l’utilizzo previsto e le conseguenze del trattamento al fine di garantire che il consenso rappresenti una scelta informata. Il consenso non opera quando c’è uno sbilanciamento di poteri (ad es. tra datore di lavoro e dipendente);
  • necessario per l’esecuzione di un contratto: tale condizione deve essere interpretata in modo restrittivo, pertanto anche se la profilazione è menzionata nelle condizioni di contratto, da sola non è sufficiente per renderla necessaria alla conclusione del contratto;
  • necessario per adempiere ad un obbligo legale: in alcuni casi, come la prevenzione di frodi fiscali o per garantire la sicurezza e l’affidabilità di un servizio fornito dal titolare, c’è un obbligo di legge di effettuare una profilazione;
  • necessario per proteggere gli interessi vitali: comprende situazioni in cui è necessario il trattamento per proteggere la vita dell’interessato o di un’altra persona fisica (esempi validi possono essere le profilazioni che sviluppano modelli per prevenire  la diffusione di malattie mortali o situazioni di emergenza umanitaria);
  • legittimo interesse del titolare: la profilazione è consentita se è necessaria per perseguire un interesse legittimo del titolare o di un terzo. Tuttavia, tale base giuridica non si applica automaticamente, ma il titolare dovrà svolgere un bilanciamento degli interessi e valutare se i suoi interessi prevalgono sugli interessi dell’interessato. Rilevante sarà valutare, per esempio, il livello di dettaglio del profilo, l’impatto del profilo e le garanzie volte ad assicurare l’equità, la non discriminazione e l’accuratezza nel processo di profilazione.
  1. Diritti dell’interessato
  • diritto all’informazione:l’interessato ha diritto di ricevere in modo chiaro e semplice tutte le informazioni in base all’art. 13;
  • diritto d’accesso:l’art. 15 conferisce all’interessato il diritto di ottenere dettagli di tutti i dati utilizzati per la profilazione compresi anche le categorie di dati utilizzati per la costruzione del profilo. Ove possibile, il titolare dovrebbe poter fornire l’accesso remoto ad un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati. Tale diritto non dovrebbe ledere i diritti e le libertà altrui compreso il segreto industriale ed aziendale;
  • diritto di opposizione: il titolare deve portare all’attenzione dell’interessato, in modo esplicito e in maniera separata da altre informazioni, il suo diritto di opposizione alla profilazione per motivi connessi alla sua situazione particolare quando il trattamento è necessario per l’esecuzione di un interesse pubblico o per il perseguimento del legittimo interesse del titolare. Inoltre, l’interessato può opporsi in qualsiasi momento alla profilazione svolta per finalità di marketing diretto;
  • diritto di rettifica: l’uso della tecnologia può portare al rischio di errori nella costruzione degli algoritmi e dei processi informatici. L’interessato può contestare l’esattezza dei dati utilizzati e qualsiasi raggruppamento o categoria applicata loro oltre ad integrare i dati con l’aggiunta di informazioni;
  • diritto di cancellazione: tale diritto, nelle ipotesi tassative indicate dall’art. 17, è esperibile anche nei confronti della profilazione;
  • diritto di limitazione: anche questo diritto si applica a qualsiasi fase di profilazione.

Bambini e profilazione

Il Considerando 71 del GDPR prevede che decisioni automatizzate, compresa la profilazione, non debbano applicarsi ai bambini, mentre l’art. 22 del Regolamento non fa distinzione se il trattamento riguarda adulti o bambini.

Secondo il Gruppo dei Garanti europei il divieto del considerando 71 non deve rappresentare un divieto assoluto e chiarisce che ci possono essere alcune circostanze in cui è necessario per i titolari effettuare trattamenti automatizzati con effetti giuridici nei confronti di bambini come, ad esempio, per proteggere il loro benessere. In tali casi il trattamento potrà essere effettuato nel rispetto dell’art. 22 e adottando adeguate garanzie per proteggere i diritti e le libertà dei bambini.

Le organizzazioni dovrebbero, invece, astenersi dal profilare i bambini a fini di marketing in quanto la loro età e maturità possono impedire loro di comprendere consapevolmente i rischi e le conseguenze di questo tipo di trattamento.

La valutazione d’impatto sulla protezione dei dati

L’art. 35, par. 3, lett. a) richiede una valutazione d’impatto sulla protezione dei dati quando si svolge “una valutazione sistemica e globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Il Gruppo dei Garanti europei ricorda che la responsabilizzazione è un requisito specifico del GDPR e un Data Protection Impact Assessment (leggi qui un focus sul tema per come affrontato dal WP29) consente al titolare di valutare i rischi presenti nel processo automatizzato, valutare di aver adottato tutte le misure adeguate e dimostrare così la conformità al GDPR.

Secondo il parere del Gruppo dei Garanti europei l’art. 35 si applica anche a processi decisionali, tra cui la profilazione, non totalmente automatizzati che producano però sempre effetti giuridici sull’interessato.