di Alberto Passiu
La profilazione e i processi di decisione automatizzata sono strumenti sempre più utilizzati sul web. Settori quali banca&finanza, assistenza sanitaria, tassazione, assicurazione, e soprattutto le attività di marketing e pubblicità, sempre più spesso si basano sull’utilizzo di sistemi web automatizzati.
Il Regolamento 2016/679, General Data Protection Regulation (di seguito GDPR) introduce una specifica disciplina per queste attività. In particolare, definisce come profilazione, articolo 4 comma 4, “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;”
Il disposto dell’articolo 4 comma 4 è da leggere in combinato con l’articolo 22 del GDPR, nel quale viene definito in cosa consiste un processo decisionale automatizzato. Dalla lettura combinata degli articoli esistono tre modi in cui il profilo riconducibile ad una persona fisica può essere utilizzato nella pratica: a) la profilazione generale; b) il processo decisionale basato sul profilo; c) il processo decisionale esclusivamente automatizzato.
L’attività di elaborazione completamente automatizzata e che porta a decisioni che influenzano l’individuo in modo sufficientemente significativo è generalmente vietata. Rientra nel divieto un processo decisionale individuale completamente automatizzato, compresa la profilazione, che abbia un effetto giuridico, o similmente abbia un impatto significativo su un individuo. Una decisione si basa unicamente sull’elaborazione automatizzata se non vi è alcun coinvolgimento umano nel processo decisionale.
Tuttavia, gli elementi chiave sono le nozioni di effetti “legali” o effetti analoghi, che il GDPR non definisce. Il Gruppo di Lavoro 29 si è espresso sul punto, definendo l’effetto giuridico come un’attività di elaborazione che abbia un impatto sui diritti legali di qualcuno, come la libertà di associarsi ad altri, di votare in un’elezione o di avviare azioni legali. Un effetto giuridico può anche essere qualcosa che riguarda lo status giuridico di una persona o i suoi diritti in base a un contratto. Con l’entrata in vigore lo scorso 25 maggio del GDPR, per comprendere se l’attività di profilazione sia vietata, sarà sempre necessaria una ”valutazione” da parte del titolare rispetto alle operazioni automatizzate che vuole realizzare.
Esistono però delle eccezioni di cui all’articolo 22 per giustificare l’elaborazione automatizzata, ovvero se:
- la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; questa disposizione dev’essere interpretata in senso restrittivo, il titolare dovrà dimostrare che non ci sono metodi meno intrusivi della privacy rispetto alla profilazione;
- la decisione si basi sul consenso esplicito dell’interessato, quindi vi dev’essere una dichiarazione espressa da parte dell’interessato, escludendo così i “fatti concludenti”;
- la decisione sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
