Il Regolamento Europeo sulla Protezione dei Dati (GDPR) stabilisce le regole applicabili alla profilazione e alle decisioni completamente automatizzate. Le linee guida europee adottate da EDPB, (European Data Protection Bord) chiariscono e illustrano questo nuovo quadro normativo con esempi concreti.
La raccolta e l’analisi dell’attività delle persone, ad esempio su Internet, sui social network o sui siti di e-commerce, consente di costruire profili per comprendere meglio la loro personalità, le loro abitudini di acquisto o il loro comportamento. Tuttavia, è probabile che questi processi si traducano in analisi e previsioni imprecise, persino negazioni ingiustificate di servizi o altre decisioni sfavorevoli per le persone, perpetuando stereotipi e bloccando le persone nelle loro scelte. Il GDPR mira a limitare questi rischi, prevedendo obblighi adeguati alle organizzazioni che utilizzano la profilazione e diritti specifici per le persone in relazione a tale trattamento.
Che cos’è la profilazione?
La profilazione è definita nell’articolo 4 del GDPR. Si tratta di un trattamento che utilizza i dati personali di un individuo al fine di analizzare e prevedere il suo comportamento, come determinare il suo rendimento lavorativo, la sua situazione finanziaria, la sua salute, le sue preferenze, le sue abitudini di vita, ecc. Il trattamento di profilazione si basa sulla definizione di un profilo individualizzato, riguardante una determinata persona: ha lo scopo di valutare alcuni suoi aspetti personali, al fine di esprimere un giudizio o trarre conclusioni su di essi.
RICORDA:
Lo scopo della profilazione è valutare una persona e prevederne le reazioni e le preferenze. La profilazione è un’elaborazione individualizzata: non comprende quindi elaborazioni puramente statistiche, volte ad acquisire una visione d’insieme di un gruppo.
Che cos’è una decisione completamente automatizzata?
È una decisione presa nei confronti di una persona, attraverso algoritmi applicati ai suoi dati personali, senza che alcun essere umano intervenga nel processo. Le decisioni automatizzate possono avvenire in molti settori di attività (finanza, fiscalità, marketing, ecc.) e produrre effetti giuridici o effetti significativi per le persone interessate.
Ad esempio, la decisione di rifiutare il credito può basarsi esclusivamente sull’utilizzo di un algoritmo che applica automaticamente determinati criteri alla situazione finanziaria del richiedente, senza alcun intervento umano.
Il GDPR prevede in questi casi regole più restrittive, per evitare che gli esseri umani siano soggetti a queste decisioni provenienti esclusivamente dalle macchine. L’articolo 22 del GDPR disciplina quindi i processi decisionali completamente automatizzati, quando producono effetti giuridici o effetti significativi.
Quali categorie di decisioni sono interessate?
L’articolo 22 del GDPR si applica al trattamento basato esclusivamente su decisioni “produttori di effetti giuridici” o “ripercussioni significative” sulle persone. Una decisione produce un effetto giuridico quando colpisce i diritti e le libertà della persona. Ad esempio, una decisione che lede la libertà di andare e venire delle persone, la loro libertà di riunione e i loro diritti contrattuali, privandole del beneficio di una prestazione sociale o individuale a cui avevano sottoscritto. Una decisione può anche avere un impatto significativo, simile a un effetto giuridico, quando si traduce nell’influenzare l’ambiente, il comportamento, le scelte della persona o portare a una forma di discriminazione. Ad esempio, una decisione che ha un impatto sulla situazione finanziaria di qualcuno o si traduce in tariffe più elevate ha un impatto significativo su di loro.
RICORDA:
Una decisione ha un effetto legale su una persona quando ha un impatto sui suoi diritti e libertà. Anche se una decisione non produce effetti giuridici, può comunque avere un impatto significativo. In entrambi i casi si applicheranno le norme più restrittive dell’articolo 22 del GDPR se tale decisione sarà presa in maniera del tutto automatica.
Quali sono i collegamenti tra profilazione e processo decisionale automatizzato?
In pratica, i due concetti sono strettamente legati: profilare una persona porta spesso a prendere una decisione su di lui e molte decisioni, completamente automatizzate, vengono prese sulla base della profilazione. La definizione di profili e l’uso di algoritmi applicati a set di dati personali, possono quindi portare a processi decisionali completamente automatizzati, in ambiti diversi come la salute, l’istruzione, le assicurazioni, la protezione sociale, la lotta alle frodi, ecc.
Si tratta però di concetti distinti: una decisione può essere presa senza ricorrere alla profilazione e la profilazione non si traduce necessariamente in un processo decisionale automatizzato. Ad esempio, un sistema di rilevamento di violazioni del traffico, che si traduce in sanzioni automatiche, non richiede la profilazione, ma comporta una decisione esclusivamente automatizzata.
RICORDA:
Una decisione completamente automatizzata è una decisione presa da un algoritmo, senza alcun intervento umano. Può derivare dalla profilazione, ma non è sistematica: questa decisione può essere presa senza che sia stato preventivamente costruito un profilo.
Quali regole si applicano a questo trattamento?
Qualsiasi trattamento di profilazione deve essere oggetto di particolare attenzione, poiché comporta intrinsecamente rischi significativi per i diritti e le libertà delle persone.
Le disposizioni del GDPR devono quindi essere applicate a tale trattamento tenendo conto di questa specificità, garantendo ad esempio la massima trasparenza e rispetto dei diritti degli interessati, dalla profilazione effettuata.
Norme specifiche disciplinano il processo decisionale completamente automatizzato (art. 22 GDPR), basato o meno sulla profilazione: in linea di principio, le persone fisiche hanno il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato e che produca effetti giuridici concernenti o influenzandolo in modo significativo. Sono comunque previste eccezioni e, in tal caso, specifiche salvaguardie devono disciplinare il trattamento su cui si basa tale decisione.
RICORDA:
In linea di principio è vietato prendere una decisione su una persona, se è interamente informatizzata e se produce nei suoi confronti effetti giuridici o ha un impatto significativo su di essa.
Sono vietate tutte le decisioni completamente automatizzate?
No. Il Regolamento prevede che, in determinati casi specifici, una persona possa essere oggetto di una decisione del tutto automatizzata, anche se quest’ultima ha su di lui effetti giuridici o un impatto significativo.
Queste eccezioni riguardano:
- decisioni basate sul consenso esplicito degli interessati,
- le decisioni necessarie per la conclusione o l’esecuzione di un contratto,
- decisioni inquadrate da specifiche disposizioni di legge.
In questi casi, devono essere previste specifiche tutele al fine di limitare i rischi di arbitrarietà sollevati da tale processo decisionale.
Quali passi dovrebbero essere presi in un processo decisionale completamente automatizzato?
Gli interessati hanno diritti aggiuntivi quando viene presa una decisione completamente automatizzata su di loro che li riguarda in modo particolare.
Sono previsti specifici obblighi di trasparenza: le persone fisiche devono essere informate, all’atto della raccolta dei loro dati e in qualsiasi momento su loro richiesta, dell’esistenza di tale decisione, della logica contenuta e dell’importanza e delle conseguenze previste di tale decisione. Ad essi è inoltre riconosciuto il diritto all’intervento umano.
Il trattamento di profilazione e il trattamento basato su decisioni completamente automatizzate sono soggetti alle altre disposizioni del GDPR, che devono essere applicate tenendo conto dei rischi presentati, ad esempio in termini di sicurezza e aggiornamento dei dati.
Comments are closed for this article!