MacroambienteGDPR e attività di profilazione tra novità e linee guida

GDPR e attività di profilazione tra novità e linee guida

Il Gruppo "art. 29" ha adottato le linee guida che puntualizzano i profili più rilevanti delle disposizioni che il GDPR detta in materia di profilazione.

GDPR e attività di profilazione tra novità e linee guida

Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016), più noto con l’acronimo inglese GDPR. Si tratta di un atto-fonte estremamente importante in ottica comunitaria, perché la scelta di adottare un “Regolamento” in luogo della precedente “Direttiva” (Dir. 95/46/CE) consente di ottenere due risultati: in primo luogo, infatti, il Regolamento non necessita di atti di recepimento interno da parte degli Stati, dettando quindi disposizioni immediatamente efficaci (dopo il periodo di vacatio) e direttamente applicabili; in secondo luogo, ma in via chiaramente collegata al primo aspetto, ciò importa che le legislazioni dei vari stati europei non siano semplicemente “armonizzate” (come avviene ove si interviene a mezzo di direttive) bensì rese omogenee, il che significa ad esempio che un cittadino italiano e uno irlandese si troveranno soggetti esattamente alla medesima disciplina normativa. Le ragioni di questa scelta, in verità, sono agevolmente comprensibili se si pone mente al dato per cui, con l’avvento delle nuove tecnologie, il trattamento dei dati tende sempre più a porsi come vicenda transnazionale, se non addirittura transcontinentale: ecco quindi come l’adozione di un sistema normativo unitario per i paesi UE (e per quelli dello Spazio Economico Europeo) dovrebbe per un verso semplificare in maniera significativa l’azione degli operatori economici, per altro verso innalzare il livello di tutela dei titolari dei dati personali, rendendo tale tutela effettiva anche in una dimensione ultra nazionale. Ovviamente il GDPR è un testo piuttosto articolato, sicché non è possibile analizzarlo nella sua interezza e dunque qui ci si soffermerà su un profilo di particolare interesse che da esso viene disciplinato, ovverosia la profilazione dei titolari dei dati e, più in generale, le decisioni assunte in via automatizzata. L’importanza della materia, del resto, è resa evidente dal fatto che in proposito sono state adottate delle linee guida da parte del «Gruppo “Art. 29”», un organismo UE composto da membri designati dalle Authority per la Privacy dei diversi Stati membri con funzioni consultive, cui il GDPR ha per l’appunto rimesso l’adozione di atti di soft law.

Decisioni automatizzate e profilazione: cosa intendiamo?

Va premesso che, come si rileva nelle linee guida, la profilazione e il processo decisionale automatizzato sono utilizzati in un numero crescente di settori, sia privati che pubblici: banche e finanza, sanità, fiscalità, assicurazioni, marketing e pubblicità sono solo alcuni esempi degli ambiti in cui (per la verità già da tempo) la profilazione viene effettuata in maniera capillare per aiutare (o addirittura sostituire) il processo decisionale tradizionale, ovverosia quello completato da un operatore umano. Ciò è possibile in quanto i progressi tecnologici e le capacità di analisi dei big data, l’intelligenza artificiale e l’apprendimento automatico hanno reso più facile la creazione di “profili” ed in generale la formulazione di decisioni automatiche con il potenziale di incidere in modo significativo sui diritti e sulle libertà delle persone: la diffusa disponibilità di dati personali su Internet e dai dispositivi Internet of Things (IoT) e la capacità di trovare correlazioni e creare collegamenti, può infatti consentire di determinare, analizzare e prevedere aspetti della personalità o del comportamento di un individuo, nonché i suoi interessi e le sue abitudini.

Tuttavia «questi processi possono essere opachi. Gli individui potrebbero non sapere di essere profilati o capire in cosa risultano coinvolti. La profilazione può perpetuare stereotipi esistenti e segregazione sociale. Ciò può minare la libertà di scegliere, ad esempio, determinati prodotti o servizi come libri, musica o newsfeed. In alcuni casi, la profilazione può portare a previsioni imprecise. In altri casi può portare a negare servizi e beni e discriminazioni ingiustificate». Si comprende, quindi, come il legislatore UE abbia sentito il bisogno di dettare specifiche norme in proposito, sicché ai sensi dell’art. 22 del GDPR si è stabilito che «l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona».

La norma quindi delinea un genus (la decisione basata sul trattamento automatizzato) e una species (la profilazione). La seconda parte della disposizione, tuttavia, non pare particolarmente felice: si assume, infatti, che il divieto in questione riguardi i casi in cui la decisione assunta in via automatizzata “produca effetti giuridici” ovvero “incida in modo analogo significativamente” sulla persona dell’interessato. Resta piuttosto oscuro, tuttavia, come una vicenda “non giuridica” come quella considerata in seconda battuta dal legislatore UE possa produrre effetti significativi sulla persona: se ciò avviene, infatti, risultando intaccati beni-interessi protetti, la vicenda sarà ex se giuridicamente rilevante. Della ambiguità terminologica sembra conscio anche il Gruppo “Art. 29” che, nelle linee guida, si industria non poco a cercare di esemplificare situazioni fattuali che potrebbero ricadere nella nozione in questione (accesso alle assicurazioni sanitarie, affidabilità creditizia, ecc.) evocando, per la verità, comunque fenomeni che secondo il diritto italiano ricadrebbero in un inadempimento contrattuale (art. 1218 c.c.) ovvero in un illecito aquiliano (art. 2043 c.c.) eventualmente produttivo di danno non patrimoniale (art. 2059 c.c.).

È del tutto intuibile in ogni caso come, in tali dinamiche, un ruolo significativo sia svolto dalle attività di profilazione, fenomeno legislativamente definito come un trattamento automatizzato dei dati personali che «valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato» (Considerando nr. 71 – art. 4).

Tenendo quindi presente l’importanza del fenomeno, qual è nel dettaglio la nuova disciplina che il GDPR detta in proposito?

Il consenso nel nuovo GDPR

Punto di partenza per ogni trattazione relativa ai dati personali non può che essere il dato per cui detta situazione giuridica soggettiva costituisce un diritto fondamentale. Non a caso, l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (cd. Carta di Nizza) e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Ecco perché, in forza delle nuove sfide che l’evoluzione tecnologica e la globalizzazione comportano, esplicitamente il GDPR afferma: «È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche» (Considerando nr. 7).

Presupposto principale affinché i relativi titolari possano avere “il controllo” dei dati personali è che gli stessi siano trattati solo in forza di una specifica base giuridica («Lawful bases for processing») che, oltre a specifiche ipotesi (adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati), si identifica anzitutto con il consenso dell’avente diritto (art. 6 GDPR). Questa regola generale è poi ulteriormente rafforzata per particolari tipologie di dati o per particolari modalità di trattamento. E infatti è richiesto un consenso esplicito (ma forse sarebbe stato più corretto parlare di consenso specifico“) per il caso di dati sensibili (che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, oppre l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona — art. 9) e per il caso, qui d’interesse, di un processo decisionale automatizzato, compresa l’attività di profilazione.

Va detto, tuttavia, che – a differenza di quanto previsto dal “vecchio” Codice Privacy italiano (D. Lgs. 196/2003 – art. 23) – il consenso non deve essere necessariamente «documentato per iscritto», né è richiesta la «forma scritta», ma il «depotenziamento» del requisito di forma con finalità di protezione non sembra del tutto fondato né opportuno, considerando che in ogni caso è proprio la forma scritta che consente di documentare che il consenso è stato inequivoco e “esplicito”, come da onere ricadente sul titolare del trattamento (art. 7 co. I GDPR).

Secondo le linee guida è comunque essenziale (e i titolari del trattamento dovranno dimostrarlo in caso di contestazione) che l’interessato «comprenda esattamente a che cosa sta prestando il consenso», dunque che ci sia stato, per quanto qui occupa, un riferimento chiaro, specifico e comprensibile all’adozione di procedure decisionali automatizzate e, tra esse, a pratiche di profilazione.

Oltre al crisma della “specificità”, peraltro, va sottolineato che il consenso deve ovviamente essere «liberamente prestato» e, allo scopo, l’art. 7 co. IV del GDPR detta una norma di particolare importanza, stabilendo che, a tal fine, si tiene «nella massima considerazione» la circostanza che la manifestazione di consenso possa esser stata indirettamente coartata dal titolare del trattamento: ciò può avvenire soprattutto quando il titolare del trattamento, nello stipulare un contratto con l’interessato (titolare dei dati), condiziona l’efficacia del contratto in parola alla prestazione di un consenso al trattamento di dati che risultino però non necessari a tale scopo. È evidente, infatti, che in tale ipotesi il consenso “eccedentario” non può considerarsi liberamente prestato.

Sebbene la disposizione in parola faccia riferimento più alla tipologia e all’ampiezza dei dati trattati, sembra comunque corretto ritenere che il principio de quo si applichi anche al caso in cui la coartazione indiretta riguardi una specifica modalità-finalità di trattamento, come quella di profilazione.

La nuova informativa privacy

Al fine di rendere effettiva la comprensione da parte dell’interessato delle vicende relative ai suoi dati personali, il GDPR confermando e rafforzando le precedenti previsioni, impone che – immediatamente se la raccolta dei dati avviene presso l’interessato (art. 13) ovvero entro un termine ragionevole e non superiore a un mese nelle altre ipotesi (art 14) – il titolare del trattamento fornisca a questi una serie molto nutrita di informazioni relative, tra l’altro, ai suoi dati di contatto e a quelli del Data Protection Officer, alla base giuridica in forza della quale avviene il trattamento e alle finalità dello stesso (art. 13 co. I e 14 co. I GDPR). Al fine di garantire un trattamento «corretto e trasparente», tuttavia, è imposto che vengano fornite anche ulteriori informazioni tra cui, con riferimento al nostro oggetto d’indagine, «l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato» (art. 13 lett. f – art. 14 lett. g). Dunque, non sarà sufficiente chiarire (prima di aver ottenuto comunque il consenso esplicito di cui si è detto, se il trattamento si fonda su tale base giuridica) che si farà impiego di strumenti decisori automatizzati o di tecniche di profilazione, occorrendo la ben più pregnante e utile esplicitazione delle modalità con cui i sistemi automatizzati compiranno o suggeriranno” le scelte e, quindi, delle effettive implicazioni negative che tale modus operandi potrebbe causare all’interessato. Non a caso, infatti, le linee guida specificano che l’informativa al riguardo deve fornire una spiegazione sul funzionamento «clearly and simply».

Le modalità di profilazione: solely automated decision-making e i diritti dell’interessato

Ciò posto, al fine di comprendere a pieno il fenomeno, occorre sottolineare che la profilazione può manifestarsi secondo tre modalità di implementazione:

  1. general profiling: processo con finalità solo orientativa rispetto a decisioni poi assunte da un operatore umano;
  2. decision-making based on profiling: processo decisionale basato sulle risultanze generate dal sistema in via automatica, ma finalizzato dall’intervento umano che (magari entro certi limiti) può scegliere se accettare o meno la “proposta” formulata in via automatizzata;
  3. solely automated decision-making: processo decisionale interamente automatizzato, inclusa la profilazione, che produce effetti giuridici diretti sull’interessato (ad esempio l’algoritmo decide se il prestito è accordato e la decisione viene trasmessa automaticamente all’individuo, senza alcuna valutazione preventiva e significativa da parte di un umano).

Con ogni evidenza, è proprio rispetto a tale forma di decisione automatizzata che emergono i più rilevanti rischi per la libertà e l’uguaglianza degli individui, tant’è che – come si è visto in apertura – tale pratica in linea di principio deve ritenersi vietata (art. 22). Il legislatore UE in effetti specifica con terminologia ambigua che l’interessato «ha il diritto di non essere sottoposto […]» ma, ovviamente, un diritto in capo ad un soggetto relativo alla condotta negativa (non facere) di un altro si risolve in buona sostanza in un divieto per quest’ultimo. Di questa non felice scelta linguistica si mostra consapevole il «gruppo “art. 29″», tant’è che le linee guida espressamente chiariscono che «il termine “diritto” nella disposizione non significa che l’articolo 22, paragrafo 1 si applica solo quando è attivamente invocato dall’interessato. L’articolo 22, paragrafo 1 stabilisce un divieto generale per il processo decisionale basato esclusivamente sul trattamento automatizzato. Questo divieto si applica indipendentemente dal fatto che l’interessato intraprenda un’azione in merito al trattamento dei propri dati personali».

Va poi sottolineato come le linee guida si premurino di precisare come il responsabile del trattamento non possa aggirare il divieto in questione inserendo nel processo decisionale un intervento umano fittizio: «per qualificarsi come coinvolgimento umano, il responsabile del trattamento deve garantire che qualsiasi controllo della decisione sia significativo, piuttosto che un semplice gesto simbolico. Dovrebbe essere eseguito da qualcuno che ha l’autorità e la competenza per cambiare la decisione».

Dunque, posto che l’art. 22 stabilisce una generale proibizione della solely automated decision-making, vanno analizzate le eccezioni che la norma pure prevede e relativi ai casi in cui il processo automatizzato sia

  1. necessario per l’esecuzione o la stipula di un contratto;
  2. autorizzato dal diritto dell’Unione o dello Stato membro a cui è soggetto il responsabile del trattamento, che precisa altresì misure idonee a salvaguardare i diritti e le libertà dell’interessato e i legittimi interessi;
  3. basato sul consenso esplicito dell’interessato.

A parte l’ultimo caso, di cui già s’è detto, occorre soffermarsi sulle altre ipotesi. Con riferimento al caso di necessità negoziale, va ribadito che anche secondo le linee guida «il responsabile del trattamento deve essere in grado di dimostrare che questo tipo di trattamento è necessario, tenendo conto della possibilità di adottare un metodo meno invasivo per la privacy. Se esistono altri mezzi efficaci e meno intrusivi per raggiungere lo stesso obiettivo, allora va ritenuto non “necessario”».

Per quanto concerne invece il trattamento autorizzato dalla legge dell’Unione o dello Stato Membro occorre aver riguardo alle previsioni del Considerando nr. 71 GDPR, secondo cui ciò può avvenire «anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento». Quel che più importa sottolineare, comunque, è che «in ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore». Ed effettivamente il GDPR prevede che tali diritti spettino all’interessato sia quando la solely automated decision-making sia fondata su esigenze contrattuali, sia quando sia ancorata a previsioni legali e antifrode (art. 22 co. III GDPR). Sicché esiste, dal punto di vista rimediale-preventivo un triplice strumento:

  1. la richiesta di un intervento umano;
  2. il diritto di esprimere un’opinione in proposito (ragionevolmente, prima della decisione);
  3. il diritto di contestare la decisione.

Il considerando nr. 71, comunque, affermava l’opportunità di riconoscere all’interessato anche il diritto ad ottenere una spiegazione della decisione adottata, ma tale facoltà non pare essere stata riprodotta negli articoli del Regolamento.

Con riferimento specifico poi alle appropriate safeguards (che, in virtù del combinato disposto dei commi II lett. b) e III dell’art. 22, risultano in buona sostanza sempre obbligatorie), secondo il GDPR risulta «opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti» (Considerando nr. 71). Tale impostazione è valorizzata e rafforzata dalle linee guida, secondo cui le misure di prevenzione degli errori e delle discriminazioni dovrebbero essere impiegate in maniera ciclica, dunque non solo in fase di progettazione del sistema, ma «anche in modo continuo, allorché la profilazione viene applicata agli individui. L’esito di tali test dovrebbe restituire dei feedback al responsabile del sistema».

Da ultimo, poi, occorre soffermarsi sul particolare caso in cui i processi decisionali automatizzati o le attività di profilazione involgano dati sensibili (nella nuova e onnicomprensiva accezione che, come si è visto, di essi accoglie il GDPR all’art. 9). Ebbene, con una struttura logico-giuridica in verità non troppo felice l’art. 22 co. III GDPR esclude che la decisione automatizzata possa essere assunta sulla base del trattamento di dati personali afferenti al novero speciale, salvo che, cumulativamente

  1. ciò avvenga sulla base di un esplicito consenso ovvero il trattamento sia necessario per motivi di interesse pubblico sostanziale, sulla base del diritto dell’Unione o dello Stato membro (che deve però essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato);
  2. siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

Mette conto infine di sottolineare come sembra doversi ritenere che il consenso esplicito di cui discorre la disposizione in parola non si identifichi con quello “generale” (richiesto per la solely automated decision-making basata su dati non sensibili), ma che viceversa si aggiunga o quantomeno specifichi la manifestazione di volontà dell’interessato, chiarendo che il consenso alle procedure di decisione automatizzata è prestato “anche” per il trattamento dei dati sensibili.


Marco Fiorillo
A cura di: Marco Fiorillo Autore Inside Marketing
© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti

Corsi Formazione

Tutti i corsi