• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / Profilazione degli utenti: cosa si intende e come gestirla

Profilazione degli utenti: cosa si intende e come gestirla

26 Gennaio 2018 di Valeria Carozzi 1 commento

Si sente tanto parlare di profilazione degli interessati, soprattutto ora che l’applicazione del GDPR si avvicina, ma esattamente di cosa parliamo? Innanzitutto parliamo di una attività che avrà sempre più spazio nel mercato digitale dato che porta con sè incredibili vantaggi sia in termini economici che di risparmio di tempo. A questi innegabili vantaggi si abbinano però anche significativi rischi per i diritti e le libertà dell’individuo che vanno necessariamente gestiti. Vediamo come.

Definizione di Profilazione

“Qualsiasi forma di processazione automatica di dati personali volta a valutare certi aspetti personali legati alla natura e preferenze dell’individuo, in particolare per analizzare le prestazioni lavorative di una persona, il suo stato economico, lo stato di salute, le preferenze individuali, il suo livello di affidabilità e i suoi spostamenti”. La profilazione riguarda quindi in sostanza tutto ciò che è destinato a raccogliere dati per valutare la capacità di svolgere un determinato compito, rilevare gli interessi o i probabili comportamenti di una persona.

Ci son quindi tre elementi essenziali che caratterizzano la profilazione:

  1. il processo deve essere automatizzato
  2. deve essere condotto su dati personali
  3. lo scopo deve essere quello di valutare una caratteristica di una persona fisica

Definizione di Processo decisionale automatizzato

Rappresenta la possibilità di prendere decisioni tramite strumenti tecnologici senza l’intervento umano. Può essere basato su qualsiasi tipologia di data, fornita direttamente dall’utente (tramite questionari), osservata sugli utenti (geolocalizzazione tramite app), desunta da una attività di profilazione (anche se non son necessariamente correlate le due questioni). Sicuramente l’applicazione di una multa per eccesso di velocità rilevato con gli autovelox rientra in questa categoria, piuttosto che la concessione di un mutuo a seguito della classificazione del richiedente.

Obblighi derivanti da processi automatizzati

L’interessato ha diritto di pretendere che le decisioni prese sul suo conto che producono conseguenze legali o comunque significative non siano basate su processi esclusivamente automatizzati. Quindi decisioni “rilevanti” esclusivamente automatizzate sarebbero vietate (tranne specifici casi che vedremo) e non si può costruire un intervento umano fittizio per ovviare alla regola, ma è necessario che effettivamente la decisione umana abbia un peso nell’intero processo.

Per quanto riguarda la rilevanza della decisione, mentre è semplice immaginare ciò che ha risvolti legali (accesso a determinati aiuti previsti dallo stato tipo casa popolare, rilascio del visto, cessazione di un servizio a fronte di un mancato pagamento…) è  necessario approfondire cosa può essere inteso con “conseguenze significative”. Rientrano in questa casistica, a titolo di esempio, la possibilità di noleggiare una bici all’estero; l’acquisto di una cucina tramite una linea di credito; l’acquisto di una casa con mutuo. A questi esempi si affianca tutto il mondo del marketing profilato che deve porre particolare attenzione al messaggio che invia ai diversi target, al tipo di target prescelto, alle discriminazioni che sussistono tra target e target.

Le eccezioni

Le eccezioni a quanto detto sinora derivano dal fatto che:

  1. l’attività è necessaria per svolgere quanto previsto da un contratto
  2. l’attività sia prevista per legge dallo stato Membro
  3. l’attività sia stata autorizzata espressamente dall’interessato tramite consenso, rilasciato a fronte di una informativa specifica e comprensibile

Per quanto riguarda il primo punto, che sicuramente agevola l’attività del titolare perchè permette di fare offerte più mirate risparmiando tempo, resta comunque in capo al titolare l’obbligo di dimostrare che non c’era un metodo meno invasivo per ottenere lo stesso risultato. In caso contrario è necessario ottenere il consenso dell’interessato e dimostrare di averlo ottenuto.

I diritti dell’interessato

L’interessato ha innanzitutto il diritto di essere informato del fatto che è sottoposto a un trattamento decisionale esclusivamente automatizzato o ad una profilazione. Deve inoltre esser informato in merito alle logiche con cui funziona il processo decisionale ed alle conseguenze derivanti da questo processo. In questo modo viene garantita la trasparenza, che deve essere perseguita anche nei casi in cui le logiche del processo decisionale (magari gestito a più  livelli da più applicativi) possono risultare particolarmente complesse anche al titolare.

Inoltre l’interessato ha diritto di essere informato in merito alle conseguenze derivanti dal processo decisionale. Ha inoltre diritto di pretendere, a meno che non si applichino le condizioni di esclusione sopracitate, l’intervento umano nel processo decisionale. Tale intervento deve essere gestito da personale competente e con l’autorità necessaria.

Processi esclusivamente automatizzati devono essere continuamente monitorati dai titolari al fine di rilevare eventuali anomalie che possano compromettere il processo decisionale stesso.

I principi alla base del processo

  1. La trasparenza è essenziale, soprattutto perchè spesso il processo automatizzato è invisibile per l’interessato. Da questo deriva la necessità di una informativa completa e comprensibile
  2. Non si possono utilizzare i dati raccolti per uno scopo preciso e condiviso, per altri scopi differenti. Bisogna sempre riflettere su quanto il nuovo trattamento sia attinente col primo; sul contesto in cui son stati raccolti i dati e le attese dell’interessato nel conferire il consenso; sulla natura del dato e l’impatto del nuovo trattamento
  3. Bisogna sempre raccogliere i dati strettamente necessari allo svolgimento del trattamento in questione e il titolare deve essere sempre in grado di fornire adeguate giustificazioni (principio di minimizzazione del dato)
  4. Dato che il processo è automatizzato, è assolutamente necessario assicurare la correttezza dei dati raccolti per non inficiare la decisione finale
  5. Particolare attenzione deve essere posta sulla durata di conservazione del dato che deve essere anche essa giustificabile e ragionevole
  6. Se determinate categorie di dati, incrociate con altre, possono evidenziare caratteristiche particolari dell’interessato (tendenze sessuoli, etnia, religione, etc) è necessario che l’interessato ne sia informato
  7. l’interessato ha diritto di conoscere quali dati vengono trattati, chiederne la rettifica ove necessario, opporsi al trattamento e pretenderne la cancellazione revocando il consenso

 

Se siete interessati alla linea guida completa, potete scaricarla a questo link

Archiviato in:Approfondimenti, Privacy, Privacy Contrassegnato con: consulenza, privacy

Interazioni del lettore

Trackback

  1. Come costruire una informativa conforme al GDPR ha detto:
    2 Febbraio 2018 alle 17:03

    […] andrebbero notificate agli interessati, in modo efficace e visibile. Come illustrato poi nell’apposito approfondimento sul processo decisionale automatizzato , ogni qualvolta ne  esiste uno l’interessato deve essere informato in merito alle logiche […]

    Rispondi

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • CRM: pillole di privacy

    27 Ottobre 2022
  • Google Analytics 4: le precisazioni del garante Danese

    27 Ottobre 2022
  • Novità sul trasferimento dei dati in America

    27 Ottobre 2022
  • La gestione della Mailbox del dipendente

    1 Luglio 2022
  • Attenzione a Google Analytics

    27 Giugno 2022
  • Stai valutando un Password Manager?

    7 Giugno 2022
  • Al via le Class Action privacy

    7 Giugno 2022
  • Come bloccare le telefonate indesiderate sul cellulare

    21 Aprile 2022
  • Indicazioni di cybersicurezza in tempi di guerra

    22 Marzo 2022
  • Come gestire una Ispezione Privacy

    15 Febbraio 2022

I nostri servizi

ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali consulenza cookie coronavirus covid-19 covid19 enti controllo formazione gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2023 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it