Home / Blog / Linee guida sul processo decisionale automatizzato relativo alle …

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 febbraio 2018

Coffee Privacy
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 febbraio 2018

L’approfondimento di giovedì scorso ha riguardato la profilazione ed il processo decisionale automatizzato relativo alle persone fisiche, tramite l’analisi delle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 del 6 febbraio 2018.

https://ec.europa.eu/newsroom/article29/items/612053

Tali trattamenti possono comportare dei vantaggi, quali miglioramenti dell’efficienza e risparmi di risorse, tanto per le organizzazioni cui si avvalgono degli stessi quanto per le persone fisiche cui si riferiscono.

Le Linee Guida WP251 del 3 ottobre 2017 pongono, però, luce sull’altra faccia della medaglia, evidenziando, invece, i rischi della profilazione ed il processo decisionale automatizzato.

Cerchiamo di chiarire.

La profilazione, ai sensi dell’articolo 4, punto 4 del GDPR, è “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

L’utilizzo del verbo “valutare” è sintomatico del fatto che la profilazione è un processo che implica un giudizio e/o una previsione in merito a una persona fisica, classificandola, così, in una data categoria.

Ed è proprio questo il rischio.

Profilare i dati di quella persona potrebbe, infatti, confinarla in una categoria specifica e limitarla alle preferenze suggerite per tale categoria, inibendole, così, la libertà di scelta proponendole beni o servizi soltanto adatte o pertinenti a quella categoria in cui è stata inquadrata, creando così discriminazioni e/o iniquità.

Il rischio ulteriore è che il Titolare del trattamento effettui la profilazione di dati all’origine inesatti, comportando, così, previsioni imprecise e, quindi, una classificazione sbagliata della persona fisica ed una conseguente ingiustificata discriminazione.

Nonostante le rilevanti ripercussioni che la profilazione può comportare alle persone fisiche, non è esclusa totalmente la possibilità al Titolare di effettuare tale trattamento.

Il Titolare può realizzare una profilazione:

  • garantendo il rispetto di tutti principi di cui all’art. 5 del GDPR (a titolo esemplificativo e non esaustivo, fornendo agli interessati informazioni concise, trasparenti, intelligibili e facilmente accessibili sul trattamento dei loro dati personali; non utilizzare di dati personali originariamente raccolti per una finalità diversa per la realizzazione della profilazione; minimizzare i dati; introdurre misure efficaci per verificare e assicurare i dati riutilizzati od ottenuti indirettamente siano esatti e aggiornati, in modo da consentire all’interessato di correggere eventuali inesattezze e migliorare la qualità dei dati);
  • fondando il trattamento in questione su una delle basi legittime, di cui all’art. 6 del GDPR;
  • garantendo all’interessato l’esercizio dei suoi diritti, di cui agli artt. 13 e ss. del GDPR (tra cui a titolo esemplificativo e non esaustivo il diritto di accedere ai propri dati personali utilizzati per realizzare la profilazione, ai dati ottenuti a seguito di tale trattamento nonché alle informazioni sul profilo nel quale l’interessato è stato inserito; il diritto di cancellazione e rettifica dei prefetti dati; il diritto di opposizione).

Il diritto di opposizione merita una particolare attenzione.

Ai sensi dell’articolo 21, paragrafo 1, del GDPR l’interessato può opporsi al trattamento (compresa la profilazione), per motivi connessi alla sua situazione particolare, in tutti i casi nei quali il trattamento si basi sull’articolo 6, paragrafo 1, lettere e) o f).

Quello del paragrafo 1, però, non è un diritto assoluto, in quanto il Titolare può proseguire, in tali casi, con il trattamento dei dati personali qualora dimostri l'esistenza di motivi legittimi cogenti, idonei a prevalere, così, sui diritti, sulle libertà dell'interessato e sul suo esercizio del diritto di opposizione.

L’articolo 21, paragrafo 2, riconosce invece “all’interessato un diritto incondizionato ad opporsi al trattamento dei suoi dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.” Ciò significa che il Titolare del trattamento deve rispettare le volontà dell’interessato senza mettere in discussione i motivi dell’opposizione.

Le Linee Guida proseguono poi l’analisi con l’art. 22 par. 1 GDPR, il quale prevede un DIVIETO generalizzato nei confronti del processo decisionale automatizzato e non già un diritto in capo all’interessato.

Il fine, con ogni evidenza, è quello di proteggere ancor di più l’interessato e ciò indipendentemente dal fatto che quest’ultimo compia un’azione oppure invochi un diritto.

Tale divieto si applica tuttavia quando il processo decisionale automatizzato produca effetti giuridici sulla persona fisica o incida in modo analogo ovvero significativo nei confronti di quest’ultima.

Gli effetti giuridici sono relativi allo status della persona e qui le Linee guida forniscono una serie di esempi concreti, come ad esempio il caso della cancellazione di un contratto.

Stabilire quando una decisione automatizzata possa incidere in modo analogo o significativo può essere invece più complicato da stabilire, dovendosi compiere una valutazione caso per caso, che verifichi l’impatto prolungato o permanente, sulle circostanze, sul comportamento o scelte dell’interessato e se possa portare a discriminazioni.

L’EDPB pone in questi casi l’accento sulle pubblicità on line, per la quale occorre indagare fra gli altri fattori, sull’invasività della profilazione, l’aspettativa e le volontà degli interessati.

A conferma dell’interpretazione fornita dall’EDPB e cioè che l’art. 22 imponga un divieto generale verso il processo decisionale automatizzato, lo stesso paragrafo 2 dispone tre casi eccezionali di esclusione del divieto:

  • Esso è necessario per la conclusione, esecuzione di un contratto o di misure precontrattuali.
  • È autorizzato dalla legge.
  • Si basa sul consenso esplicito dell’interessato.

Nel caso di un contratto occorre verificare la sussistenza del requisito della necessarietà in concreto, mentre con riferimento al consenso esplicito si fa un richiamo alle Linee Guida WP259 del 28 novembre 2017 sul consenso.

In ognuno di questi tre casi, secondo l’EDPB, il Titolare deve:

  • predisporre un’informativa adeguata, avendo cura di spiegare l’attività svolta.
  • chiarire la logica utilizzata, senza con questo dover violare segreti industriali sugli algoritmi utilizzati;
  • infine, spiegare l’importanza e le conseguenze di un simile trattamento sull’interessato.

Un esempio è quello di una compagnia assicurativa, la quale dovrà spiegare che una guida pericolosa può comportare premi più elevati, anche utilizzando elementi grafici.

Nell’Allegato 1 “Raccomandazioni sulle buone prassi” le Linee guida forniscono poi una sintesi di adempimenti che il Titolare potrà porre in essere per rendersi conforme al GDPR, che sono estremamente utili per avere uno schema applicativo pratico e veloce.

Avendo predisposto informazioni su detti elementi a monte, peraltro, sarà più facile fornire anche riscontro ad un’istanza di accesso, che ad ogni modo può consentire all’interessato di prendere atto di una decisione presa nei suoi confronti.

Quando il Titolare utilizza il processo decisionale automatizzato, deve fornire garanzie adeguate, come ad esempio la possibilità per l’interessato di ottenere l’intervento umano e di contestare la decisione, come sottolineato dal considerando 71 del GDPR.

Nel caso di minori, spiega sempre l’EDPB, il predetto considerando auspica che non si usino processi decisionali automatizzati, per quanto non possa affermarsi la sussistenza di un divieto assoluto.

Pertanto, ove adoperato, dovranno essere fornite misure e garanzie appropriate per i minori.

In ogni caso il Titolare dovrà effettuare una valutazione d’impatto qualora attui una valutazione sistematica e globale su aspetti personali di persone fisiche sulla base di un trattamento automatizzato avente effetti giuridici o che incida in modo analogo o significativo sulle persone fisiche, come previsto dall’art. 35 GDPR, par. 3, lett. a) GDPR.

di Data Protection Team

Condividi su: