Profilazione, decisione automatizzata e data mining: differenze sostanziali ed adempimenti necessari

Profilazione, decisione automatizzata e data mining: differenze sostanziali ed adempimenti necessari
Per comprendere appieno la disciplina della profilazione, è necessario prendere le mosse dalle nozioni generali. A fronte della possibilità di elaborare un'ingente quantità di dati impostando parametri differenti a seconda della finalità che si intende cercare, occorre distinguere le ipotesi in cui si troverà applicazione la disciplina del GDPR.
Introduzione

Il presente approfondimento si propone di ripercorrere gli aspetti salienti della disciplina della profilazione, le linee guida tracciate sul tema e le più recenti pronunce delle autorità, amministrative e giudiziarie, al fine di supportare i titolari del trattamento in occasione del ricorso a tale tecnica per la corretta elaborazione dei dati. In particolare, verranno esaminati i rischi connessi al ricorso alle decisioni unicamente automatizzate, come per esempio gli algoritmi, anche in termini reputazionali, per l'azienda che ne faccia uso e per gli interessati coinvolti.

Quali e quanti dati

Per comprendere appieno la disciplina della profilazione, è necessario prendere le mosse dalle nozioni generali.

Per data mining si intende l'insieme di tecniche e metodologie che hanno per oggetto l'estrazione di informazioni utili da grandi quantità di dati, attraverso metodi automatici o semi-automatici, e la successiva elaborazione delle stesse per diversi scopi.

Per focalizzare in che occasione troverà applicazione la disciplina della profilazione bisognerà tenere bene a mente la definizione di dato personale, ossia qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Le decisioni automatizzate “rilevanti”

La norma di riferimento richiama due tecniche di elaborazione dei dati, dal rapporto genus species , la decisione unicamente automatizzata e la profilazione.

L'attenzione del legislatore si pone sullo scenario in cui possa escludersi l'intervento umano.

Le linee guida del Working Party 29 dell'ottobre 2017, emendate nel febbraio 2018, hanno chiarito che se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale tale decisione non sarà “basata unicamente” sul trattamento automatizzato.

Dovrà, in ogni caso, trattarsi di una decisione in grado di produrre effetti giuridici nei confronti dell'interessato o che incida in modo analogo si consiglia sulla sua persona.

La profilazione

In tale ambito si include l'operazione specifica della profilazione, da intendersi come qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.

In che modo è possibile porre in essere un trattamento di dati personali per finalità di profilazione?

Il “diritto di non essere sottoposto” si applica indipendentemente dal fatto che l'interessato intraprenda un'azione in merito al trattamento dei propri dati. A tale regola si affiancano alcune eccezioni. Si fa riferimento al caso in cui il trattamento:

  • è necessario per la conclusione o l'esecuzione di un contratto;
  • è autorizzato dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
  • si basa sul consenso esplicito dell'interessato.

In linea di massima, quindi, la profilazione è consentita previo rilascio del consenso da parte dell'interessato.

Le ulteriori misure da adottare

Il legislatore impone al titolare l'adozione di misure appropriate per tutelare i diritti, le libertà ei legittimi interessi dell'interessato.

Tali misure comprendono:

  1. la previsione di un'informativa opportunamente dettagliata per l'interessato
  2. la facoltà di ottenere l'intervento umano, che si traduce nella stessa possibilità di richiedere il riesame della decisione interamente automatizzata;
  3. il diritto di ottenere spiegazioni sulla decisione, quindi di opporsi alla stessa.

 

Avv. Chiara Benvenuto
Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori