Chiarimenti dal Gruppo Art. 29 sul trattamento di dati effettuato mediante decisori automatizzati e profilazione
Il Gruppo Art. 29 ha recentemente adottato (6 febbraio 2018) la nuova versione delle linee guida in materia di trattamento di dati personali svolto mediante decisori automatizzati in cui è compresa la profilazione, adeguandole alle nuove norme UE in materia di privacy.
La profilazione, come introdotto dalle linee guida, è un processo applicato a numerosi settori: banche, finanza, sanità, fiscalità, assicurazioni, marketing e pubblicità sono solo alcuni degli ambiti in cui la profilazione viene impiegata più frequentemente al fine di coadiuvare i processi decisionali. Questo tipo di processi, utilizzando sempre più spesso la tecnologia, l’intelligenza artificiale applicata e le capacità di analisi dei big data semplificano la creazione di profili degli individui, ma nel contempo possono incidere in modo significativo anche sui diritti e sulle libertà delle persone.
Da un lato, dunque, la profilazione e i processi decisionali automatizzati possono essere utili per individui e organizzazioni, offrendo vantaggi quali maggiore efficienza e risparmio di risorse, dall’altro possono, se non impiegati correttamente e nei limiti, costituire un pericolo per le persone fisiche, ecco perché il Gruppo Art.29 è intervenuto dettando dei protocolli che possono costituire un valido supporto per comprendere come interpretare le norme del GDPR in materia di profilazione e processi decisionali automatizzati per permettere agli operatori di impiegare tali strumenti nel rispetto dei diritti delle persone.
Profilazione
Il GDPR definisce la profilazione all’art. 4. punto 4 come l’elaborazione automatizzata di dati personali per valutare aspetti personali, in particolare per analizzare o fare previsioni su individui. Le linee guida precisano l’enunciazione contenuta nell’art. 4 cit., chiarendo che la profilazione, come definita dal GDPR, è costituita essenzialmente da tre elementi:
• deve trattarsi di una forma di trattamento automatizzata;
• deve essere effettuata su dati personali; e
• il suo scopo deve essere quello di valutare gli aspetti personali di un individuo.
L’uso della parola “valutando”, contenuta nella definizione, suggerisce che la profilazione implica una qualche forma di pronostico o giudizio su una persona. Tuttavia, come chiarito dal Gruppo Art. 29, catalogare i soggetti in relazione a caratteristiche note come età, sesso e altezza non necessariamente comporta una profilazione, dipende dallo scopo della catalogazione. Così ad esempio, un’azienda potrebbe voler classificare i propri clienti in base all’età o al sesso a fini statistici e acquisire una rassegna generica e aggregata dei propri clienti senza effettuare alcuna valutazione sul singolo individuo. In tal caso, lo scopo non è l’attribuzione di caratteristiche individuali e pertanto non si rientra nell’ambito della profilazione. La profilazione, invece, implica la raccolta di informazioni su un individuo (o gruppo di individui) e la valutazione delle loro caratteristiche o modelli di comportamento al fine di inserirli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni su, ad esempio, la loro capacità di eseguire un’attività; gli interessi; o il loro probabile comportamento futuro. Quindi, in sostanza se si impiegano i dati raccolti per effettuare una mera aggregazione statistica fine a sé stessa non c’è profilazione, se diversamente si utilizzano i dati aggregati in categorie predefinite per fare previsioni sul comportamento utili per altri scopi, sì.
Una profilazione può essere anche effettuata senza l’intervento del processo decisionale automatizzato, bensì mediante associazione di dati svolta dalle persone.
Processi decisionali automatizzati
Il processo decisionale automatizzato invece può sovrapporsi o risultare da una profilazione. Esso è totalmente automatizzato: gli strumenti tecnologici impiegati sono in grado di prendere decisioni senza l’intervento umano. E’ necessario tenere presente che il processo decisionale automatizzato può essere connesso ad una profilazione o meno.
Vediamo un esempio di processo decisionale automatizzato connesso alla profilazione per comprendere meglio: consentire di entrare in una palestra mediante un pass personale è un processo decisionale automatizzato che non implica profilazione, se però le abitudini di ingresso e uscita dalla palestra da parte degli iscritti vengono monitorate e, sulla base di quei risultati, vengono inviate delle promozioni dedicate in relazione a determinate attività di fitness, quelle promozioni costituiscono il risultato di un processo automatico connesso ad una valutazione e ad altri elementi, come la continuità della frequenza, i giorni e l’orario di frequenza, i corsi proposti durante quell’orario in palestra, ecc.
Le linee guida, oltre a precisare la definizione contenuta nel GDPR sui concetti di processo decisionale automatizzato e di profilazione, contengono anche disposizioni generali e più specifiche sull’argomento, regole sulla profilazione svolta nei confronti di minori, dettami su come sviluppare una DPIA nell’ambito di un trattamento che prevede attività di profilazione, raccomandazioni e buone prassi sulla base dell’esperienza acquisita negli stati membri.
Il Gruppo di lavoro sulla protezione dei dati ai sensi dell’articolo 29 (WP29) si riserva di controllare che gli operatori attuino correttamente quanto disposto nelle linee guida.