Si sente tanto parlare di profilazione degli interessati, soprattutto ora che l’applicazione del GDPR si avvicina, ma esattamente di cosa parliamo? Innanzitutto parliamo di una attività che avrà sempre più spazio nel mercato digitale dato che porta con sè incredibili vantaggi sia in termini economici che di risparmio di tempo. A questi innegabili vantaggi si abbinano però anche significativi rischi per i diritti e le libertà dell’individuo che vanno necessariamente gestiti. Vediamo come.
Definizione di Profilazione
“Qualsiasi forma di processazione automatica di dati personali volta a valutare certi aspetti personali legati alla natura e preferenze dell’individuo, in particolare per analizzare le prestazioni lavorative di una persona, il suo stato economico, lo stato di salute, le preferenze individuali, il suo livello di affidabilità e i suoi spostamenti”. La profilazione riguarda quindi in sostanza tutto ciò che è destinato a raccogliere dati per valutare la capacità di svolgere un determinato compito, rilevare gli interessi o i probabili comportamenti di una persona.
Ci son quindi tre elementi essenziali che caratterizzano la profilazione:
- il processo deve essere automatizzato
- deve essere condotto su dati personali
- lo scopo deve essere quello di valutare una caratteristica di una persona fisica
Definizione di Processo decisionale automatizzato
Rappresenta la possibilità di prendere decisioni tramite strumenti tecnologici senza l’intervento umano. Può essere basato su qualsiasi tipologia di data, fornita direttamente dall’utente (tramite questionari), osservata sugli utenti (geolocalizzazione tramite app), desunta da una attività di profilazione (anche se non son necessariamente correlate le due questioni). Sicuramente l’applicazione di una multa per eccesso di velocità rilevato con gli autovelox rientra in questa categoria, piuttosto che la concessione di un mutuo a seguito della classificazione del richiedente.
Obblighi derivanti da processi automatizzati
L’interessato ha diritto di pretendere che le decisioni prese sul suo conto che producono conseguenze legali o comunque significative non siano basate su processi esclusivamente automatizzati. Quindi decisioni “rilevanti” esclusivamente automatizzate sarebbero vietate (tranne specifici casi che vedremo) e non si può costruire un intervento umano fittizio per ovviare alla regola, ma è necessario che effettivamente la decisione umana abbia un peso nell’intero processo.
Per quanto riguarda la rilevanza della decisione, mentre è semplice immaginare ciò che ha risvolti legali (accesso a determinati aiuti previsti dallo stato tipo casa popolare, rilascio del visto, cessazione di un servizio a fronte di un mancato pagamento…) è necessario approfondire cosa può essere inteso con “conseguenze significative”. Rientrano in questa casistica, a titolo di esempio, la possibilità di noleggiare una bici all’estero; l’acquisto di una cucina tramite una linea di credito; l’acquisto di una casa con mutuo. A questi esempi si affianca tutto il mondo del marketing profilato che deve porre particolare attenzione al messaggio che invia ai diversi target, al tipo di target prescelto, alle discriminazioni che sussistono tra target e target.
Le eccezioni
Le eccezioni a quanto detto sinora derivano dal fatto che:
- l’attività è necessaria per svolgere quanto previsto da un contratto
- l’attività sia prevista per legge dallo stato Membro
- l’attività sia stata autorizzata espressamente dall’interessato tramite consenso, rilasciato a fronte di una informativa specifica e comprensibile
Per quanto riguarda il primo punto, che sicuramente agevola l’attività del titolare perchè permette di fare offerte più mirate risparmiando tempo, resta comunque in capo al titolare l’obbligo di dimostrare che non c’era un metodo meno invasivo per ottenere lo stesso risultato. In caso contrario è necessario ottenere il consenso dell’interessato e dimostrare di averlo ottenuto.
I diritti dell’interessato
L’interessato ha innanzitutto il diritto di essere informato del fatto che è sottoposto a un trattamento decisionale esclusivamente automatizzato o ad una profilazione. Deve inoltre esser informato in merito alle logiche con cui funziona il processo decisionale ed alle conseguenze derivanti da questo processo. In questo modo viene garantita la trasparenza, che deve essere perseguita anche nei casi in cui le logiche del processo decisionale (magari gestito a più livelli da più applicativi) possono risultare particolarmente complesse anche al titolare.
Inoltre l’interessato ha diritto di essere informato in merito alle conseguenze derivanti dal processo decisionale. Ha inoltre diritto di pretendere, a meno che non si applichino le condizioni di esclusione sopracitate, l’intervento umano nel processo decisionale. Tale intervento deve essere gestito da personale competente e con l’autorità necessaria.
Processi esclusivamente automatizzati devono essere continuamente monitorati dai titolari al fine di rilevare eventuali anomalie che possano compromettere il processo decisionale stesso.
I principi alla base del processo
- La trasparenza è essenziale, soprattutto perchè spesso il processo automatizzato è invisibile per l’interessato. Da questo deriva la necessità di una informativa completa e comprensibile
- Non si possono utilizzare i dati raccolti per uno scopo preciso e condiviso, per altri scopi differenti. Bisogna sempre riflettere su quanto il nuovo trattamento sia attinente col primo; sul contesto in cui son stati raccolti i dati e le attese dell’interessato nel conferire il consenso; sulla natura del dato e l’impatto del nuovo trattamento
- Bisogna sempre raccogliere i dati strettamente necessari allo svolgimento del trattamento in questione e il titolare deve essere sempre in grado di fornire adeguate giustificazioni (principio di minimizzazione del dato)
- Dato che il processo è automatizzato, è assolutamente necessario assicurare la correttezza dei dati raccolti per non inficiare la decisione finale
- Particolare attenzione deve essere posta sulla durata di conservazione del dato che deve essere anche essa giustificabile e ragionevole
- Se determinate categorie di dati, incrociate con altre, possono evidenziare caratteristiche particolari dell’interessato (tendenze sessuoli, etnia, religione, etc) è necessario che l’interessato ne sia informato
- l’interessato ha diritto di conoscere quali dati vengono trattati, chiederne la rettifica ove necessario, opporsi al trattamento e pretenderne la cancellazione revocando il consenso
Se siete interessati alla linea guida completa, potete scaricarla a questo link
[…] andrebbero notificate agli interessati, in modo efficace e visibile. Come illustrato poi nell’apposito approfondimento sul processo decisionale automatizzato , ogni qualvolta ne esiste uno l’interessato deve essere informato in merito alle logiche […]