I garanti europei hanno recentemente adottato le Linee guida su profilazione e decisioni automatizzate alla luce del Nuovo Regolamento Europeo GDPR. L’obiettivo è educare ad una profilazione più trasparente evitando decisioni completamente automatizzate che possono produrre effetti giuridici per la persona.
I sistemi di profilazione e i processi decisionali automatizzati trovano impiego in una gamma sempre più ampia di settori pubblici e privati – dalle banche alla sanità, dal fisco alle assicurazioni, dalla pubblicità al marketing – e possono risultare utili per gli individui come pure per la società e l’economia nel suo complesso in termini di incremento di efficienza e risparmio delle risorse. Ma possono comportare rischi significativi per i diritti e le libertà delle persone: oltre ad essere spesso poco trasparenti, questi trattamenti di dati possono confinare una persona all’interno di una determinata categoria limitandone le scelte o suggerendone altre sulla base di quelle già espresse, perpetuare stereotipi, dar luogo a previsioni inesatte, impedire l’accesso a servizi o prodotti e, in taluni casi, causare forme ingiustificate di discriminazione.
Cosa si intende per “PROFILAZIONE”?
“IN AMBITO GDPR LA PROFILAZIONE È DEFINITA COME QUALSIASI TRATTAMENTO AUTOMATICO DI DATI PERSONALI EFFETTUATO PER VALUTARE ASPETTI PERSONALI QUANDO CIÒ HA IMPLICAZIONI LEGALI CHE RIGUARDANO LA PERSONA.”
Ad esempio, la valutazione può riguardare le prestazioni lavorative, la situazione economica, le preferenze e gli interessi personali, l’affidabilità o il comportamento futuro della persona.
Ciò che è importante per voi è sapere che GDPR consente di procedere alla profilazione delle personale senza il loro consenso.
I Garanti europei specificano che un trattamento ha è “di profilazione” quando concorrono le seguenti tre caratteristiche:
- il trattamento sia svolto in forma automatizzata;
- esso abbia ad oggetto dati personali;
- il suo obiettivo sia quello di valutare aspetti personali di una persona fisica.
I diritti dell’interessato
L’art. 22, par. 1 stabilisce che:” l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Per il Gruppo dei Garanti, pertanto, l’art. 22, par. 1 istituisce un divieto per quel processo decisionale individuale completamente automatizzato, compresa la profilazione, che abbia un effetto legale o analogo sull’interessato.
- L’art. 22 al par. 2 prevede tre eccezioni al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo:quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- quando la decisione si basa sul consenso esplicito dell’interessato.
Guida ai titolari del trattamento
In caso di trattamento che prevede la profilazione degli utenti, il titolare dovrà:
- Operare secondo i principi di privacy by design e by default
- Garantire i diritti degli interessati: diritto all’informazione (art. 13), diritto di accesso (art. 15), diritto di opposizione, diritto di rettifica, di cancellazione e di limitazione.
- Svolgere una DPIA (Valutazione d’impatto, art 35)
