Le norme di riferimento e la definizione
Per considerare l’attuale disciplina della profilazione è necessario esaminare le disposizioni del GDPR ed il contenuto delle “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679” adottate il 3 ottobre 2017 con versione emendata e adottata in data 6 febbraio 2018.
Il Regolamento (UE) 2016/679 (“GDPR”) definisce la profilazione all’art. 4 n. 4) come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Poiché si fa riferimento a “qualsiasi forma di trattamento automatizzato” il coinvolgimento umano non comporta necessariamente l’esclusione dell’attività dalla definizione laddove è applicata una qualche forma di trattamento automatizzato.
Inoltre, l’utilizzo del verbo “valutare” suggerisce che la profilazione implichi una qualche forma di valutazione o giudizio in merito a una persona al fine inserirla in una categoria e analizzare e/o fare previsioni su vari aspetti della sua vita.
La semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza senza effettuare previsioni o trarre conclusioni non rientra dunque nella definizione.
I tipi di profilazione
Possiamo individuare tre tipi di profilazione:
– la profilazione generale,
– il processo decisionale basato sulla profilazione, come quando una persona chiede un prestito online ad un soggetto persona fisica, quale il direttore della banca e questi decide se accordare il prestito sulla base di un profilo prodotto con mezzi unicamente automatizzati;
– la decisione basata unicamente su un trattamento automatizzato, compresa la profilazione che produce effetti giuridici o che incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1). Ciò accade ad esempio quando una persona chiede un prestito online e un algoritmo decide se accordare il prestito trasmettendo automaticamente la decisione senza alcuna previa valutazione significativa da parte di un essere umano.
L’ultimo tipo di trattamento richiede al titolare di rispettare alcune garanzie supplementari.
I principi generali del trattamento
Il Titolare deve sempre applicare i principi generali del trattamento di cui all’art. 5 del GDPR.
Il principio di trasparenza acquisisce un’importanza fondamentale con riferimento ai trattamenti di profilazione in quanto questi trattamenti sono spesso non percepiti dall’interessato. Il processo di profilazione crea dati derivati “nuovi”, non forniti direttamente dagli interessati e si attua attraverso tecniche complicate non facilmente comprensibili ad una prima lettura. Questa circostanza richiede una certa attenzione in quanto da questa attività di profilazione è possibile trarre anche dati appartenenti a categorie particolari ex art. 9 GDPR pur ricavandoli da dati comuni forniti dagli interessati. Questo accade ad esempio quando si desumono dati relativi alla salute dagli acquisti di alimenti effettuati da un utente i cui dati sono oggetto di profilazione.
In ogni caso, quando il trattamento implica un processo decisionale basato sulla profilazione, l’interessato deve essere informato sia rispetto alla finalità di profilazione sia in merito all’adozione di decisioni basate sul profilo in tal modo generato.
Anche il principio di limitazione della finalità richiede una certa attenzione in quanto, molto spesso, l’attività di profilazione comporta l’utilizzo di dati personali originariamente raccolti per una finalità diversa.
Importante anche l’applicazione del principio di esattezza in considerazione del fatto che, se i dati utilizzati nel contesto di un processo decisionale automatizzato o di profilazione non sono esatti, sarà viziata anche la decisione o il profilo che ne deriva.
Le basi giuridiche
La base giuridica del consenso è quella applicabile nella maggior parte dei casi di profilazione.
In questo caso l’interessato, affinché il consenso rilasciato sia legittimo, dovrà essere messo nella condizione di comprendere tutte le informazioni sull’utilizzo dei dati e sulle conseguenze di tale trattamento.
L’utilizzo della base giuridica della necessità del trattamento di profilazione per la conclusione o l’esecuzione di un contratto è più limitato e anche l’interpretazione suggerita dal Comitato Europeo per la protezione dei dati è rigorosamente restrittiva.
Ancora di più per quanto riguarda l’interesse legittimo laddove il Comitato sottolinea la difficoltà di invocare tale base giuridica per pratiche intrusive nei confronti dell’interessato quali quelle di profilazione per finalità di marketing o pubblicità, tracciamento di persone fisiche su più siti web o intermediazione di dati.
Il diritto di opposizione
Il titolare del trattamento deve portare espressamente all’attenzione dell’interessato informazioni dettagliate in merito al diritto di opposizione di cui all’articolo 21, paragrafi 1 e 2 GDPR, e presentare tale diritto chiaramente e separatamente da qualsiasi altra informazione (articolo 21, paragrafo 4).
In forza del paragrafo 1 l’interessato può opporsi al trattamento, compresa la profilazione, per motivi connessi alla sua situazione particolare. Il titolare del trattamento è specificamente tenuto a riconoscere tale diritto in tutti i casi nei quali il trattamento si basi sull’articolo 6, paragrafo 1, lettere e) o f). In tal caso, il titolare del trattamento deve interrompere il processo di profilazione a meno che non possa dimostrare, a seguito di un bilanciamento, l’esistenza di motivi legittimi cogenti che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato. Inoltre, ai sensi del paragrafo 2, l’interessato è titolare di un diritto incondizionato ad opporsi al trattamento dei suoi dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Le decisioni basate unicamente sul trattamento automatizzato
Il GDPR prevede inoltre delle norme specifiche per le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione (art. 22 GDPR).
Sussiste il divieto ad essere sottoposti ad una decisione di questo tipo che produca effetti giuridici per l’interessato o che incida in modo analogo significativamente sulla sua persona.
Perché un trattamento possa rientrare in tale ambito non deve esserci alcun coinvolgimento umano nel processo decisionale. Se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale, tale decisione non sarà “basata unicamente” sul trattamento automatizzato.
Per quanto riguarda gli effetti giuridici che riguardano l’interessato, alcuni esempi potrebbero essere la cancellazione di un contratto, la concessione o negazione del diritto a una particolare prestazione sociale concessa dalla legge o la negazione della cittadinanza. Mentre esempi di decisioni che incidono significativamente sull’interessato in modo analogo agli effetti giuridici potrebbero essere il rifiuto automatico di una domanda di credito online o le pratiche di assunzione elettronica senza interventi umani (considerando 71 GDPR).
Tale divieto non si applica quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto (per esempio per selezionare i candidati ad un posto di lavoro molto ambito), se è stata autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento (per esempio per i controlli anti frode), oppure se è stato prestato il consenso esplicito dell’interessato.
Nel primo e nell’ultimo caso il titolare del trattamento deve attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato e almeno deve prevedere il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Nel caso di dati particolari tale trattamento è possibile solo con il consenso o con la base giuridica dell’interesse pubblico.
Le garanzie adeguate
Il titolare deve indicare nell’informativa l’esistenza di un processo decisionale automatizzato ai sensi dell’art. 22 del GDPR, compresa la profilazione e fornire informazioni significative sulla logica utilizzata, nonché sull’importanza e le conseguenze previste per l’interessato (art. 13 comma 2 lett. f)).
Non è tuttavia necessario fornire una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo. Le informazioni all’interessato dovrebbero ad esempio riguardare le categorie di dati che sono state o saranno utilizzate nella profilazione o nel processo decisionale, i motivi per i quali tali categorie sono considerate pertinenti, le modalità di creazione del profilo utilizzato nel processo decisionale automatizzato, i motivi per i quali tale profilo è pertinente per il processo decisionale automatizzato e le modalità di utilizzo del profilo ai fini di una decisione riguardante l’interessato.
Garanzie adeguate per la tutela degli interessati possono essere considerate valutazioni frequenti degli insiemi dei dati, in maniera da rilevare eventuali distorsioni oppure sistemi per non avere un eccessivo affidamento sulle correlazioni tra i dati quali la verifica degli algoritmi ed il riesame periodico dell’esattezza del processo decisionale.
E’ inoltre raccomandato effettuare una valutazione di impatto ai sensi dell’art. 35 del GDPR poiché consente al titolare del trattamento di valutare tutti i rischi connessi al processo decisionale automatizzato, compresa la profilazione e di dimostrare che sono state messe in atto misure adeguate per affrontare tali rischi. L’art. 35 comma 3 lett. a) prevede infatti la necessità di effettuare tale procedimento quando viene effettuata “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.