EntiOnLine
Categorie
indietro
06/02/2018 LINEE GUIDA EUROPEE: Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP251 rev.01

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

adottate il 3 ottobre 2017

Versione emendata e adottata in data 6 febbraio 2018

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

SCARICA ALLEGATO

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30 della stessa, visto il suo regolamento interno, HA ADOTTATO LE PRESENTI LINEE GUIDA:

INDICE

I. INTRODUZIONE

II. DEFINIZIONI

  1. A. PROFILAZIONE
  2. B. PROCESSO DECISIONALE AUTOMATIZZATO
  3. C. APPROCCIO DEL REGOLAMENTO A QUESTI CONCETTI

III. DISPOSIZIONI GENERALI SULLA PROFILAZIONE E SUL PROCESSO DECISIONALE AUTOMATIZZATO

A. PRINCIPI IN MATERIA DI PROTEZIONE DEI DATI

  1. Articolo 5, paragrafo 1, lettera a) - liceita', correttezza e trasparenza

  2. Articolo 5, paragrafo 1, lettera b) - ulteriore trattamento e limitazione della finalita'

  3. Articolo 5, paragrafo 1, lettera c) - minimizzazione dei dati

  4. Articolo 5, paragrafo 1, lettera d) - esattezza

  5. Articolo 5, paragrafo 1, lettera e) - limitazione della conservazione

B. BASI LEGITTIME PER IL TRATTAMENTO

  1. Articolo 6, paragrafo 1, lettera a) - consenso

  2. Articolo 6, paragrafo 1, lettera b) – necessario all’esecuzione di un contratto

  3. Articolo 6, paragrafo 1, lettera c) – necessario per adempiere un obbligo legale

  4. Articolo 6, paragrafo 1, lettera d) – necessario per la salvaguardia di interessi vitali

  5. Articolo 6, paragrafo 1, lettera e) – necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri

  6. Articolo 6, paragrafo 1, lettera f) – necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi

C. ARTICOLO 9 – CATEGORIE PARTICOLARI DI DATI

D. DIRITTI DELL’INTERESSATO

  1. Articoli 13 e 14 – diritto di essere informato

  2. Articolo 15 – diritto di accesso

  3. Articolo 16 – diritto di rettifica; articolo 17 – diritto alla cancellazione; articolo 18 – diritto di limitazione di trattamento

  4. Articolo 21 – diritto di opposizione

IV. DISPOSIZIONI SPECIFICHE RELATIVE A DECISIONI BASATE UNICAMENTE SUL TRATTAMENTO AUTOMATIZZATO DI CUI ALL’ARTICOLO 22

A. “DECISIONE BASATA UNICAMENTE SUL TRATTAMENTO AUTOMATIZZATO”

B. EFFETTI “GIURIDICI” O “IN MODO ANALOGO SIGNIFICATIVI”

C. ECCEZIONI AL DIVIETO

  1. Esecuzione di un contratto
  2. Autorizzato dal diritto dell’Unione o dello Stato membro
  3. Consenso esplicito

D. CATEGORIE PARTICOLARI DI DATI PERSONALI – ARTICOLO 22, PARAGRAFO 4

E. DIRITTI DELL’INTERESSATO

  1. Articolo 13, paragrafo 2, lettera f), e articolo 14, paragrafo 2, lettera g) - diritto di essere informato
  2. Articolo 15, paragrafo 1, lettera h) - diritto di accesso

F. STABILIRE GARANZIE ADEGUATE

V. MINORI E PROFILAZIONE

VI. VALUTAZIONI D’IMPATTO SULLA PROTEZIONE DEI DATI E RESPONSABILE DELLA PROTEZIONE DEI DATI

VII. ALLEGATO 1 - RACCOMANDAZIONI SULLE BUONE PRASSI

VIII. ALLEGATO 2 – PRINCIPALI DISPOSIZIONI DEL REGOLAMENTO

PRINCIPALI DISPOSIZIONI DEL REGOLAMENTO CHE FANNO RIFERIMENTO ALLA PROFILAZIONE E AL PROCESSO DECISIONALE AUTOMATIZZATO IN GENERALE

PRINCIPALI DISPOSIZIONI DEL REGOLAMENTO CHE FANNO RIFERIMENTO AL PROCESSO DECISIONALE AUTOMATIZZATO DI CUI ALL’ARTICOLO 22

ALLEGATO 3 - APPROFONDIMENTI

I. Introduzione
Il regolamento generale sulla protezione dei dati tratta in maniera specifica la profilazione e il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.

La profilazione e il processo decisionale automatizzato sono utilizzati in un numero crescente di settori, tanto privati quanto pubblici. Banche e finanza, assistenza sanitaria, fiscalita', assicurazioni, marketing e pubblicita' sono soltanto alcuni esempi dei settori nei quali la profilazione viene effettuata con maggiore regolarita' a sostegno del processo decisionale.

I progressi tecnologici e le capacita' in materia di analisi dei megadati (big data), intelligenza artificiale e apprendimento automatico hanno reso piu' facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle liberta' delle persone fisiche.

La diffusa disponibilita' di dati personali su Internet e di quelli ricavabili dai dispositivi di Internet delle cose, associata alla capacita' di trovare correlazioni e creare collegamenti, puo' consentire la determinazione, l’analisi e la previsione di aspetti della personalita', del comportamento, degli interessi e delle abitudini di una persona.

La profilazione e il processo decisionale automatizzato possono essere utili per le persone fisiche e le organizzazioni, offrendo loro vantaggi quali:

  • miglioramenti dell’efficienza;

  • risparmi di risorse.

Presentano inoltre numerose applicazioni commerciali: ad esempio, possono essere utilizzati per segmentare meglio i mercati e personalizzare i servizi e i prodotti allineandoli alle singole esigenze. Anche la medicina, l’istruzione, l’assistenza sanitaria e i trasporti possono beneficiare di questi processi.

Tuttavia, la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le liberta' delle persone fisiche, che richiedono garanzie adeguate.

Questi processi possono essere poco trasparenti. Le persone fisiche potrebbero non sapere di essere profilate o non comprenderne le conseguenze.

La profilazione puo' perpetuare stereotipi e la segregazione sociale. Puo' anche confinare una persona in una categoria specifica e limitarla alle preferenze suggerite per tale categoria. Cio' puo' minare la liberta' delle persone di scegliere, ad esempio, determinati prodotti o servizi quali libri, musica o newsfeed. In taluni casi, la profilazione puo' portare a previsioni imprecise, in altri al diniego di servizi e beni e a discriminazioni ingiustificate.

Il regolamento introduce nuove disposizioni per far fronte ai rischi derivanti dalla profilazione e dal processo decisionale automatizzato, in particolare, ma non solo, in relazione alla tutela della vita privata. Le presenti linee guida mirano a chiarire tali disposizioni.

Il presente documento tratta i seguenti temi:

  • definizioni di profilazione e processo decisionale automatizzato e approccio del regolamento a tali aspetti in generale – capitolo II;
  • disposizioni generali sulla profilazione e sul processo decisionale automatizzato – capitolo III;
  • disposizioni specifiche sulle decisioni basate unicamente sul trattamento automatizzato di cui all’articolo 22 - capitolo IV;
  • minori e profilazione – capitolo V;
  • valutazioni d’impatto sulla protezione dei dati e responsabili della protezione dei dati – capitolo VI.

Gli allegati contengono alcune raccomandazioni sulle migliori prassi, basate sull’esperienza accumulata negli Stati membri.

Il Gruppo di lavoro articolo 29 per la protezione dei dati (Gruppo di lavoro) monitorera' l’attuazione delle presenti linee guida e provvedera' alle integrazioni che si riveleranno opportune.

II. Definizioni

Il regolamento introduce disposizioni per garantire che la profilazione e il processo decisionale automatizzato relativo alle persone fisiche (comprensivo o meno di profilazione) non siano utilizzati in maniera tale da avere un impatto ingiustificato sui diritti delle persone. Esso prevede ad esempio:

  • requisiti specifici di trasparenza e correttezza;
  • maggiori obblighi in termini di responsabilizzazione;
  • basi giuridiche specifiche per il trattamento;
  • il diritto delle persone fisiche di opporsi alla profilazione, segnatamente alla profilazione per finalita' di marketing;
  • qualora siano soddisfatte determinate condizioni, la necessita' di effettuare una valutazione d’impatto sulla protezione dei dati.

Il regolamento non si concentra soltanto sulle decisioni prese a seguito di un trattamento automatizzato o della profilazione. Si applica anche alla raccolta di dati per la creazione di profili e all’applicazione di tali profili alle persone fisiche.

A. Profilazione
Il regolamento definisce la profilazione all’articolo 4, punto 4, come:

qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilita', il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

La profilazione e' costituita da tre elementi:

  • deve essere una forma di trattamento automatizzato;
  • deve essere effettuata su dati personali;
  • il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona fisica.

L’articolo 4, punto 4, fa riferimento a “qualsiasi forma di trattamento automatizzato” e non al trattamento “unicamente” automatizzato (di cui all’articolo 22). La profilazione deve implicare una qualche forma di trattamento automatizzato, sebbene il coinvolgimento umano non comporti necessariamente l’esclusione dell’attivita' dalla definizione.

La profilazione e' una procedura che puo' implicare una serie di deduzioni statistiche. Spesso viene impiegata per effettuare previsioni su persone usando dati provenienti da varie fonti per dedurre qualcosa su una persona in base alle qualita' di altre persone che sembrano statisticamente simili.

Il regolamento afferma che la profilazione e' il trattamento automatizzato di dati personali per valutare determinati aspetti personali, in particolare per analizzare o prevedere aspetti riguardanti persone fisiche. L’uso del verbo “valutare” suggerisce che la profilazione implichi una qualche forma di valutazione o giudizio in merito a una persona.

La semplice classificazione di persone basata su caratteristiche note quali eta', sesso e altezza non determina necessariamente una profilazione. Quest’ultima dipende infatti dalla finalita' della classificazione.
Ad esempio, un’azienda potrebbe voler classificare i propri clienti in base all’eta' o al sesso per finalita' statistiche e per acquisire una panoramica aggregata dei propri clienti senza effettuare previsioni o trarre conclusioni in merito a una persona specifica. In questo caso, la finalita' non e' la valutazione delle caratteristiche individuali e quindi non si tratta di profilazione.

Il regolamento si ispira alla definizione di profilazione di cui alla raccomandazione CM/Rec (2010)13 del Consiglio d’Europa ma non la riprende tale e quale, infatti la raccomandazione esclude il trattamento che non include la deduzione. Tuttavia, la raccomandazione spiega in maniera utile che la profilazione puo' comportare tre fasi distinte:

  • raccolta dei dati;
  • analisi automatizzata per individuare correlazioni;
  • applicazione della correlazione a una persona fisica per individuare caratteristiche di comportamento presenti o future.

Il titolare del trattamento che effettua la profilazione dovra' assicurarsi di soddisfare le prescrizioni del regolamento in relazione a tutte le fasi di cui sopra.

In generale, la profilazione consiste nella raccolta di informazioni su una persona (o un gruppo di persone ) e nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito a:

  • capacita' di eseguire un compito;
  • interessi, o
  • comportamento probabile.

Esempio

Un intermediario di dati raccoglie dati da diverse fonti pubbliche e private, per conto dei suoi clienti o per finalita' proprie. Raccoglie i dati per sviluppare profili sulle persone e inserirle in segmenti e poi vende queste informazioni alle imprese che desiderano migliorare l’orientamento dei loro beni e servizi. L’intermediario di dati esegue la profilazione inserendo una persona in una determinata categoria in base ai suoi interessi.

L’esistenza o meno di un processo decisionale automatizzato, cosi' come definito nell’articolo 22, paragrafo 1, dipendera' dalle circostanze.

B. Processo decisionale automatizzato

Il processo decisionale automatizzato ha una portata diversa da quella della profilazione, a cui puo' sovrapporsi parzialmente o da cui puo' derivare. Il processo decisionale esclusivamente automatizzato consiste nella capacita' di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano. Le decisioni automatizzate possono essere basate su qualsiasi tipo di dati, ad esempio:

  • dati forniti direttamente dall’interessato (come le risposte a un questionario);
  • dati osservati riguardo a una persona (come i dati relativi all’ubicazione raccolti tramite un’applicazione);
  • dati derivati o desunti, come un profilo della persona che e' gia' stato creato (ad esempio un punteggio sull’affidabilita' creditizia).

Le decisioni automatizzate possono essere prese ricorrendo o meno alla profilazione, la quale a sua volta puo' essere svolta senza che vengano prese decisioni automatizzate. Tuttavia, la profilazione e il processo decisionale automatizzato non sono necessariamente attivita' separate. Qualcosa che inizia come un semplice processo decisionale automatizzato potrebbe diventare un processo basato sulla profilazione, a seconda delle modalita' di utilizzo dei dati.

Esempio

Infliggere una multa per eccesso di velocita' esclusivamente sulla base delle prove fornite dall’autovelox e' un processo decisionale automatizzato che non implica necessariamente la profilazione.

Tuttavia la decisione di infliggere la multa sarebbe basata sulla profilazione se le abitudini di guida della persona in questione fossero state monitorate nel tempo e, ad esempio, l’ammontare della multa fosse il risultato di una valutazione che coinvolge altri fattori quali l’eventuale recidiva di eccesso di velocita' o l’eventuale recente violazione di altre disposizioni del codice della strada.

Le decisioni che non sono unicamente automatizzate potrebbero includere anche la profilazione. Ad esempio, prima di concedere un mutuo, un istituto bancario puo' prendere in considerazione il punteggio sull’affidabilita' creditizia del mutuatario, associandolo a ulteriori interventi significativi svolti da esseri umani prima che venga adottata qualsiasi decisione relativa alla persona in questione.

C. Approccio del regolamento a questi concetti

Esistono potenzialmente tre modalita' d’uso della profilazione:

i) profilazione generale;
ii) processo decisionale basato sulla profilazione;
iii) decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1).

La differenza tra i punti ii) e iii) e' dimostrata piu' chiaramente dai due esempi che seguono, nei quali una persona chiede un prestito online:

  • un essere umano decide se accordare il prestito sulla base di un profilo prodotto con mezzi unicamente automatizzati - punto ii);
  • un algoritmo decide se il prestito viene accordato e la decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di un essere umano - punto iii).

Il titolare del trattamento puo' svolgere attivita' di profilazione e processi decisionali automatizzati purche' sia in grado di soddisfare tutti i principi e disponga di una base legittima per il trattamento. Garanzie supplementari e limitazioni si applicano nel caso di decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, di cui all’articolo 22, paragrafo 1.

Il capitolo III delle presenti linee guida spiega le disposizioni del regolamento per tutti i processi decisionali automatizzati relativi alle persone fisiche e di profilazione. Cio' include i processi decisionali che non sono unicamente automatizzati.

Il capitolo IV delle presenti linee guida spiega le disposizioni specifiche che si applicano esclusivamente al processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione. Esiste un divieto generale relativamente a questo tipo di trattamento al fine di riflettere i potenziali rischi per i diritti e le liberta' delle persone fisiche.

III. Disposizioni generali sulla profilazione e sul processo decisionale automatizzato

La presente panoramica delle disposizioni si applica a tutte le profilazioni e a tutti i processi decisionali automatizzati. Qualora il trattamento soddisfi la definizione di cui all’articolo 22, paragrafo 1, si applicano le disposizioni specifiche supplementari di cui al capitolo IV.

A. Principi in materia di protezione dei dati

I principi in materia di protezione dei dati sono pertinenti per tutte le attivita' di profilazione e tutti i processi decisionali automatizzati che comportano l’uso di dati personali4. Al fine di agevolare il rispetto delle norme, il titolare del trattamento dovrebbe considerare i seguenti elementi fondamentali:

1. Articolo 5, paragrafo 1, lettera a) - liceita', correttezza e trasparenza

La trasparenza del trattamento e' una prescrizione fondamentale sancita dal regolamento.

Spesso il processo di profilazione e' invisibile all’interessato. Funziona creando dati derivati o desunti in merito a persone fisiche, ossia dati personali “nuovi” che non sono stati forniti direttamente dagli interessati. Le persone fisiche hanno gradi diversi di comprensione e per alcune potrebbe essere difficile comprendere le complesse tecniche coinvolte nella profilazione e nei processi decisionali automatizzati.

Ai sensi dell’articolo 12, paragrafo 1, il titolare del trattamento deve fornire agli interessati informazioni concise, trasparenti, intelligibili e facilmente accessibili sul trattamento dei loro dati personali.

Per i dati raccolti direttamente dall’interessato, tali informazioni devono essere fornite al momento della raccolta (articolo 13); per i dati ottenuti indirettamente, le informazioni devono essere fornite entro i termini stabiliti all’articolo 14, paragrafo 3.

Esempio

Alcuni assicuratori offrono tariffe e servizi assicurativi in base al comportamento di guida delle persone. Gli elementi presi in considerazione in questi casi potrebbero includere la distanza percorsa, il tempo trascorso alla guida e l’itinerario percorso, nonche' previsioni basate su altri dati raccolti dai sensori dell’auto (intelligente). I dati raccolti vengono utilizzati per fini di profilazione con l’obiettivo di individuare comportamenti di guida errati (come accelerazione rapida, frenata improvvisa ed eccesso di velocita'). Queste informazioni possono essere incrociate con altre fonti (ad esempio il clima, il traffico, il tipo di strada) in maniera da comprendere meglio il comportamento del conducente.

Il titolare del trattamento deve assicurarsi di disporre di una base legittima per tale tipo di trattamento. Il titolare del trattamento deve inoltre fornire all’interessato informazioni sui dati raccolti e, se del caso, sull’esistenza di processi decisionali automatizzati di cui all’articolo 22, paragrafi 1 e 4, sulla logica applicata, nonche' sulla rilevanza e sulle conseguenze previste di tale trattamento.

I requisiti specifici riguardanti le informazioni e l’accesso ai dati personali sono esaminati nei capitoli III (sezione D) e IV (sezione E).

Il trattamento deve inoltre essere corretto e trasparente.

La profilazione puo' essere iniqua e creare discriminazioni, ad esempio negando l’accesso a opportunita' di lavoro, credito o assicurazione oppure offrendo prodotti finanziari eccessivamente rischiosi o costosi. L’esempio seguente, che non rispetta le prescrizioni di cui all’articolo 5, paragrafo 1, lettera a), illustra come una profilazione iniqua puo' portare a proporre ad alcuni consumatori offerte meno interessanti rispetto ad altri.

Esempio

Un intermediario di dati vende profili di consumatori a societa' finanziarie senza il consenso dei consumatori o senza che essi conoscano i dati sottostanti. I profili classificano i consumatori in categorie (con diciture quali “popolazione rurale e che ce la fa a malapena”, “membro di una minoranza etnica che vive in poverta' in una realta' urbana secondaria”, “inizi difficili: giovani genitori single”) oppure assegnano loro dei punteggi, concentrandosi sulla vulnerabilita' finanziaria dei consumatori. Le societa' finanziarie offrono a questi consumatori prestiti a breve termine (payday loan) e altri servizi finanziari “non tradizionali” (prestiti a costo elevato e altri prodotti finanziariamente rischiosi).

2. Articolo 5, paragrafo 1, lettera b) - ulteriore trattamento e limitazione della finalita'

La profilazione puo' comportare l’utilizzo di dati personali originariamente raccolti per una finalita' diversa.

Esempio

Alcune applicazioni mobili forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze che offrono sconti. Tuttavia, i dati raccolti vengono utilizzati anche per creare un profilo dell’interessato per finalita' di marketing, ossia per individuare le sue preferenze alimentari o il suo stile di vita in generale. L’interessato si aspetta che i suoi dati vengano utilizzati per trovare ristoranti, ma non per ricevere pubblicita' relative alla consegna di pizza a domicilio soltanto perche' l’applicazione ha stabilito che arriva a casa tardi. Questo ulteriore utilizzo dei dati relativi all’ubicazione potrebbe non essere compatibile con le finalita' per le quali tali dati sono stati originariamente raccolti e puo' quindi richiedere il consenso dell’interessato.

La compatibilita' di tale ulteriore trattamento con le finalita' originarie per le quali i dati sono stati raccolti dipendera' da una serie di fattori, tra gli altri, le informazioni che il titolare del trattamento ha inizialmente fornito all’interessato. Tali fattori si riflettono nel regolamento e sono cosi' riassunti:

  • il rapporto tra le finalita' per cui i dati personali sono stati raccolti e le finalita' dell’ulteriore trattamento;
  • il contesto in cui i dati personali sono stati raccolti e le ragionevoli aspettative dell’interessato in merito al loro uso futuro;
  • la natura dei dati;
  • l’impatto dell’ulteriore trattamento sull’interessato;
  • le garanzie applicate dal titolare del trattamento per assicurare un trattamento corretto e prevenire qualsiasi impatto indebito sull’interessato.

3. Articolo 5, paragrafo 1, lettera c) - minimizzazione dei dati

Le opportunita' commerciali create dalla profilazione, da costi di memorizzazione piu' economici e dalla capacita' di trattare grandi quantita' di informazioni possono incoraggiare le organizzazioni a raccogliere piu' dati personali di quelli di cui hanno effettivamente bisogno, poiche' tali dati potrebbero rivelarsi utili in futuro. Il titolare del trattamento deve assicurarsi di rispettare il principio di minimizzazione dei dati e le prescrizioni dei principi di limitazione della finalita' e limitazione della conservazione.

Il titolare del trattamento dovrebbe essere in grado di spiegare in maniera chiara e giustificare la necessita' della raccolta e della conservazione dei dati personali oppure prendere in considerazione l’utilizzo di dati aggregati, anonimizzati o (laddove cio' consenta una protezione sufficiente) pseudonimizzati per la profilazione.

4. Articolo 5, paragrafo 1, lettera d) - esattezza

Il titolare del trattamento dovrebbe esaminare l’esattezza in tutte le fasi del processo di profilazione, in particolare quando:

  • raccoglie i dati;
  • analizza i dati;
  • crea un profilo per una persona o
  • applica un profilo per prendere una decisione su una persona.

Se i dati utilizzati nel contesto di un processo decisionale automatizzato o di profilazione non sono esatti, qualsiasi decisione o profilo che ne derivera' sara' viziato. Le decisioni possono essere prese sulla base di dati obsoleti o di un’interpretazione errata di dati esterni. Eventuali inesattezze possono portare a previsioni o affermazioni inappropriate in merito, ad esempio, alla salute, al rischio di credito o al rischio assicurativo di una data persona.

Anche qualora i dati grezzi siano registrati in maniera esatta, l’insieme dei dati potrebbe non essere pienamente rappresentativo oppure l’analisi potrebbe contenere distorsioni nascoste.

Il titolare del trattamento deve introdurre misure efficaci per verificare e assicurare su base continuativa che i dati riutilizzati od ottenuti indirettamente siano esatti e aggiornati. Cio' sottolinea ulteriormente l’importanza di fornire informazioni chiare sui dati personali trattati, in maniera da consentire all’interessato di correggere eventuali inesattezze e migliorare la qualita' dei dati.

5. Articolo 5, paragrafo 1, lettera e) - limitazione della conservazione

Gli algoritmi di apprendimento automatico sono progettati per trattare grandi volumi di informazioni e creare correlazioni che consentano alle organizzazioni di creare profili estremamente esaustivi e personali delle persone fisiche. Sebbene possano esservi vantaggi nel conservare i dati in caso di profilazione, dal momento che sara' disponibile una quantita' maggiore di dati dai quali l’algoritmo puo' apprendere, il titolare del trattamento deve rispettare il principio di minimizzazione dei dati all’atto della raccolta e assicurare che i dati non siano conservati per un periodo superiore a quello necessario e proporzionato alle finalita' per le quali i dati vengono trattati.

La politica di conservazione del titolare del trattamento dovrebbe tenere conto dei diritti e delle liberta' delle persone fisiche in linea con le prescrizioni di cui all’articolo 5, paragrafo 1, lettera e).

Il titolare del trattamento dovrebbe inoltre assicurarsi che i dati rimangano aggiornati durante il periodo di conservazione in maniera da ridurre il rischio di inesattezze.

B. Basi legittime per il trattamento

Il processo decisionale automatizzato di cui all’articolo 22, paragrafo 1, e' consentito soltanto qualora si applichi una delle eccezioni di cui al capitolo IV (sezioni C e D). Le seguenti basi legittime per il trattamento sono pertinenti per tutti i processi decisionali automatizzati relativi alle persone fisiche e di profilazione.

1. Articolo 6, paragrafo 1, lettera a) - consenso

Il consenso come base per il trattamento in generale e' trattato nelle Linee guida del Gruppo di lavoro sul consenso. Il consenso esplicito e' una delle eccezioni al divieto di processo decisionale automatizzato e profilazione di cui all’articolo 22, paragrafo 1.

La profilazione puo' non essere trasparente. Spesso si basa su dati derivati o desunti da altri dati, anziche' su dati forniti direttamente dall’interessato.

Il titolare del trattamento che intende fare affidamento sul consenso come base per la profilazione dovra' dimostrare che gli interessati comprendono esattamente a cosa stanno acconsentendo e dovra' ricordare che il consenso non e' sempre una base appropriata per il trattamento. In tutti i casi, gli interessati dovrebbero disporre di sufficienti informazioni pertinenti sull’uso previsto e sulle conseguenze del trattamento in maniera da assicurare che il consenso fornito sia frutto di una scelta informata.

2. Articolo 6, paragrafo 1, lettera b) – necessario all’esecuzione di un contratto

Il titolare del trattamento potrebbe voler utilizzare la profilazione e i processi decisionali automatizzati perche' tali processi:

  • consentono potenzialmente una maggiore coerenza o correttezza nel processo decisionale (ad esempio riducendo le possibilita' di errore umano, discriminazione e abuso di potere);
  • riducono il rischio che i clienti non riescano a soddisfare i pagamenti per beni o servizi (ad esempio utilizzando referenze per il credito), o
  • consentono di prendere decisioni in tempi piu' brevi e migliorare l’efficienza.

Indipendentemente da quanto sopra, queste considerazioni da sole non sono sufficienti a dimostrare che questo tipo di trattamento e' necessario ai sensi dell’articolo 6, paragrafo 1, lettera b), per l’esecuzione di un contratto. Come descritto nel parere del Gruppo di lavoro sull’interesse legittimo14, la nozione di necessita' deve essere interpretata in maniera restrittiva.

Quello che segue e' un esempio di profilazione che non soddisfa le condizioni di cui all’articolo 6, paragrafo 1, lettera b).

Esempio

Un utente acquista alcuni articoli da un rivenditore al dettaglio online. Per soddisfare il contratto, il rivenditore deve trattare le informazioni della carta di credito dell’utente per finalita' di pagamento e l’indirizzo dell’utente per consegnare la merce. Il completamento del contratto non dipende dalla creazione di un profilo dei gusti e delle scelte in termini di stile di vita dell’utente, basato sulle sue visite sul sito web. Anche se la profilazione e' espressamente menzionata in caratteri minuscoli nel contratto, questo fatto, da solo, non la rende “necessaria” all’esecuzione del contratto.

3. Articolo 6, paragrafo 1, lettera c) – necessario per adempiere un obbligo legale

Vi possono essere casi in cui sussiste un obbligo legale all’esecuzione della profilazione, ad esempio in relazione alla prevenzione delle frodi o al riciclaggio di denaro. Il parere del Gruppo di lavoro sugli interessi legittimi fornisce informazioni utili su questa base per il trattamento e sulle garanzie da applicare.

4. Articolo 6, paragrafo 1, lettera d) – necessario per la salvaguardia di interessi vitali

Tale base si applica nelle circostanze in cui il trattamento e' necessario per la salvaguardia di un interesse essenziale per la vita dell’interessato o di un’altra persona fisica.

Determinati tipi di trattamento possono essere necessari per importanti motivi di interesse pubblico e per proteggere gli interessi vitali dell’interessato, come la profilazione per sviluppare modelli che individuino in anticipo la diffusione di malattie potenzialmente letali o in situazioni di emergenza umanitaria. In questi casi, tuttavia, e in linea di principio, il titolare del trattamento puo' basarsi su motivi di interesse vitale unicamente se non sono disponibili altre basi giuridiche per il trattamento17. Se il trattamento comprende dati personali appartenenti a categorie particolari, il titolare del trattamento deve altresi' assicurarsi di soddisfare le prescrizioni di cui all’articolo 9, paragrafo 2, lettera c).

5. Articolo 6, paragrafo 1, lettera e) – necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri

L’articolo 6, paragrafo 1, lettera e), potrebbe costituire una base adeguata per la profilazione nel settore pubblico in determinate circostanze. Il compito o la funzione devono avere una base giuridica chiara.

6. Articolo 6, paragrafo 1, lettera f) – necessario per il perseguimento del legittimo interesse18 del titolare del trattamento o di terzi

La profilazione e' consentita se e' necessaria ai fini degli interessi legittimi19 perseguiti dal titolare del trattamento o da un terzo. Tuttavia, l’articolo 6, paragrafo 1, lettera f), non si applica automaticamente soltanto perche' il titolare del trattamento o il terzo ha un legittimo interesse. Il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le liberta' fondamentali dell’interessato non prevalgano sui propri interessi.

I seguenti aspetti sono particolarmente rilevanti:

  • il livello di dettaglio del profilo (un interessato profilato in un gruppo descritto in maniera ampia come “persone interessate alla letteratura inglese” o segmentato e mirato a livello granulare);
  • la completezza del profilo (il profilo descrive solo un aspetto minore dell’interessato oppure dipinge un quadro piu' completo);
  • l’impatto della profilazione (gli effetti sull’interessato);
  • le garanzie destinate ad assicurare la correttezza, la non discriminazione e l’esattezza nel processo di profilazione.

Sebbene si basi sull’articolo 7 della direttiva 95/46/CE sulla protezione dei dati, il parere del Gruppo di lavoro sui legittimi interessi contiene esempi che sono comunque utili e pertinenti per il titolare del trattamento che svolge attivita' di profilazione. Tale parere suggerisce inoltre che sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalita' di marketing o pubblicita', ad esempio quelle che comportano il tracciamento di persone fisiche su piu' siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati.

Nel valutare la validita' del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera f), il titolare del trattamento dovrebbe altresi' considerare l’uso futuro o la combinazione di profili.

C. Articolo 9 – categorie particolari di dati

Il titolare del trattamento puo' trattare dati personali appartenenti a categorie particolari soltanto se ricorrono una delle condizioni di cui all’articolo 9, paragrafo 2, e una condizione di cui all’articolo 6. Questo vale anche per i dati appartenenti a categorie particolari derivati o desunti da attivita' di profilazione.

La profilazione puo' creare dati appartenenti a categorie particolari desumendoli da dati che di per se' non appartengono a categorie particolari ma che diventano tali se combinati con altri dati. Ad esempio, puo' essere possibile desumere lo stato di salute di una persona associando le registrazioni dei suoi acquisti di alimenti a dati sulla qualita' e sul contenuto energetico di tali alimenti.

Possono essere scoperte correlazioni che forniscono indicazioni sulla salute, sulle convinzioni politiche o religiose oppure sull’orientamento sessuale delle persone, come dimostrato dal seguente esempio:

Esempio

Uno studio ha combinato i “Mi Piace” di Facebook con informazioni limitate tratte da sondaggi e ha rilevato che i ricercatori hanno predetto con precisione l’orientamento sessuale di un utente maschile nell’88 % dei casi, l’origine etnica di un utente nel 95 % dei casi e se un utente era cristiano o musulmano nell’82 % dei casi.

Se dalla profilazione sono dedotte preferenze e caratteristiche sensibili, il titolare del trattamento dovrebbe assicurarsi:

  • che il trattamento non sia incompatibile con la finalita' originaria;
  • di aver individuato una base legittima per il trattamento di dati appartenenti a categorie particolari;
  • di informare l’interessato sul trattamento.

Il processo decisionale automatizzato, cosi' come descritto dall’articolo 22, paragrafo 1, basato su categorie particolari di dati, e' trattato nel capitolo IV (sezione D).

D. Diritti dell’interessato
Il regolamento introduce maggiori diritti per gli interessati e crea nuovi obblighi per i titolari del trattamento.

Nel contesto della profilazione questi diritti possono essere esercitati nei confronti del titolare del trattamento che crea il profilo e del titolare del trattamento che prende una decisione automatizzata su un interessato (con o senza intervento umano), qualora tali soggetti non siano il medesimo.

Esempio

Un intermediario di dati effettua la profilazione di dati personali. In linea con gli obblighi di cui agli articoli 13 e 14, deve informare l’interessato in merito al trattamento e al fatto che intende condividere il profilo con altre organizzazioni. Deve inoltre indicare separatamente anche i dettagli relativi al diritto di opposizione di cui all’articolo 21, paragrafo 1.

L’intermediario di dati condivide il profilo con un’altra impresa. Tale impresa utilizza il profilo per inviare alla persona in questione comunicazioni di marketing diretto.

L’impresa deve informare l’interessato [articolo 14, paragrafo 1, lettera c)] in merito alle finalita' dell’utilizzo del profilo e alla fonte da cui ha ottenuto l’informazione [articolo 14, paragrafo 2, lettera f)] nonche' al diritto dell’interessato di opporsi al trattamento, compresa la profilazione, per finalita' di marketing diretto (articolo 21, paragrafo 2).

L’intermediario di dati e l’impresa devono consentire all’interessato di accedere alle informazioni utilizzate (articolo 15) per correggere eventuali informazioni errate (articolo 16) e, in determinate circostanze, di cancellare il profilo o i dati personali utilizzati per crearlo (articolo 17). L’interessato deve inoltre ricevere informazioni sul proprio profilo, ad esempio, in merito ai “segmenti” o alle “categorie” nei quali viene collocato23.

Se utilizza il profilo per prendere una decisione basata unicamente sul trattamento automatizzato che produce effetti giuridici o che incide in modo analogo significativamente sull’interessato, l’impresa e' soggetta alle disposizioni dell’articolo 22. (Cio' non esclude l’intermediario di dati dall’articolo 22 se il trattamento soddisfa la soglia pertinente).

1. Articoli 13 e 14 – diritto di essere informato

In considerazione del principio fondamentale della trasparenza che sta alla base del regolamento, il titolare del trattamento deve spiegare in maniera chiara e semplice alle persone interessate come funziona la profilazione o il processo decisionale automatizzato.

In particolare, quando il trattamento implica un processo decisionale basato sulla profilazione (indipendentemente dal fatto che rientri nell’applicazione delle disposizioni di cui all’articolo 22), deve essere chiarito all’interessato24 il fatto che il trattamento avviene per finalita' di a) profilazione e di b) adozione di decisioni basate sul profilo generato.

Il considerando 60 afferma che fornire informazioni sulla profilazione fa parte degli obblighi di trasparenza del titolare del trattamento ai sensi dell’articolo 5, paragrafo 1, lettera a). L’interessato ha diritto di essere informato dal titolare del trattamento e, in alcune circostanze, gode di un diritto di opposizione alla “profilazione”, indipendentemente del fatto che abbia luogo un processo decisionale unicamente automatizzato relativo alle persone fisiche.

Ulteriori orientamenti sulla trasparenza in generale sono disponibili nelle Linee guida del Gruppo di lavoro sulla trasparenza ai sensi del regolamento.

2. Articolo 15 – diritto di accesso

L’articolo 15 conferisce all’interessato il diritto di ottenere informazioni dettagliate sui dati personali utilizzati per la profilazione, ivi comprese le categorie di dati impiegati per creare un profilo.

Oltre alle informazioni generali sul trattamento, ai sensi dell’articolo 15, paragrafo 3, il titolare del trattamento deve rendere disponibili i dati utilizzati come input per creare il profilo, e consentire l’accesso alle informazioni sul profilo e ai dettagli dei segmenti nei quali l’interessato e' stato inserito.

Cio' differisce dal diritto alla portabilita' dei dati di cui all’articolo 20, nel contesto del quale il titolare del trattamento e' tenuto soltanto a comunicare i dati forniti dall’interessato o osservati dal titolare del trattamento e non il profilo stesso26.

Il considerando 63 offre una certa protezione al titolare del trattamento nei confronti della divulgazione di segreti aziendali o proprieta' intellettuale, che puo' essere particolarmente pertinente in relazione alla profilazione. Tale considerando afferma che il diritto di accesso “non dovrebbe ledere i diritti e le liberta' altrui, compreso il segreto industriale e aziendale e la proprieta' intellettuale, segnatamente i diritti d’autore che tutelano il software”. Tuttavia, il titolare del trattamento non puo' fare affidamento sulla protezione dei segreti aziendali come scusa per negare l’accesso o rifiutarsi di fornire informazioni all’interessato.

Il considerando 63 specifica inoltre che “ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali”.

3. Articolo 16 – diritto di rettifica; articolo 17 – diritto alla cancellazione; articolo 18 – diritto di limitazione di trattamento

La profilazione puo' comportare un elemento di previsione, il che aumenta il rischio di inesattezza. I dati di input possono essere inesatti o irrilevanti oppure avulsi dal contesto. L’algoritmo utilizzato per individuare le correlazioni potrebbe presentare lacune.

Il diritto di rettifica di cui all’articolo 16 potrebbe applicarsi, ad esempio, nel caso in cui una persona venga inserita in una categoria che esprime un giudizio sulla propria capacita' di eseguire un compito, e tale profilo sia basato su informazioni errate. Le persone potrebbero voler contestare l’esattezza dei dati utilizzati e qualsiasi raggruppamento o categoria che e' stata loro applicata.

I diritti di rettifica e di cancellazione si applicano tanto ai “dati personali di input” (i dati personali utilizzati per creare il profilo) quanto ai “dati di output” (il profilo stesso o il “punteggio” assegnato alla persona fisica).

L’articolo 16 prevede altresi' il diritto dell’interessato di integrare i dati personali con informazioni aggiuntive.

Esempio

Il sistema informatico di un centro medico locale colloca una persona in un gruppo che presenta maggiori probabilita' di sviluppare malattie cardiache. Questo “profilo” non e' necessariamente impreciso nonostante tale persona non abbia mai sofferto di malattie cardiache.
Il profilo afferma semplicemente che la persona in questione ha maggiori probabilita' di sviluppare malattie cardiache. Cio' puo' essere di fatto corretto, in termini statistici.

Cio' nonostante l’interessato ha il diritto, tenendo conto della finalita' del trattamento, di fornire una dichiarazione integrativa. Nella fattispecie, la dichiarazione potrebbe essere basata, ad esempio, su un sistema informatico medico (e su un modello statistico) piu' avanzato che include nel calcolo dati aggiuntivi e svolge esami piu' dettagliati rispetto a quello del centro medico locale con capacita' piu' limitate.

Il diritto di limitazione di trattamento (articolo 18) si applica a qualsiasi fase del processo di profilazione.

4. Articolo 21 – diritto di opposizione

Il titolare del trattamento deve portare espressamente all’attenzione dell’interessato informazioni dettagliate in merito al diritto di opposizione di cui all’articolo 21, paragrafi 1 e 2, e presentare tale diritto chiaramente e separatamente da qualsiasi altra informazione (articolo 21, paragrafo 4).

Ai sensi dell’articolo 21, paragrafo 1, l’interessato puo' opporsi al trattamento (compresa la profilazione), per motivi connessi alla sua situazione particolare. Il titolare del trattamento e' specificamente tenuto a riconoscere tale diritto in tutti i casi nei quali il trattamento si basi sull’articolo 6, paragrafo 1, lettere e) o f).

Dopo che l’interessato ha esercitato questo diritto, il titolare del trattamento deve interrompere (o evitare di iniziare) il processo di profilazione, a meno che non possa dimostrare l’esistenza di motivi legittimi cogenti che prevalgono sugli interessi, sui diritti e sulle liberta' dell’interessato. Il titolare del trattamento potrebbe altresi' dover cancellare i dati personali pertinenti.

Il regolamento non fornisce alcuna spiegazione di motivi che sarebbero considerati motivi legittimi cogenti. Puo' accadere, ad esempio, che la profilazione sia utile per la societa' in senso lato (o per la comunita' piu' ampia) e non soltanto per gli interessi aziendali del titolare del trattamento, come nel caso della profilazione volta a individuare in anticipo la diffusione di malattie contagiose.

Il titolare del trattamento dovrebbe:

  • considerare l’importanza della profilazione per il proprio particolare obiettivo;
  • considerare l’impatto della profilazione sugli interessi, sui diritti e sulle liberta' dell’interessato, che dovrebbe essere limitato al minimo necessario per conseguire l’obiettivo;
  • procedere a una ponderazione.

E' sempre necessario procedere a una ponderazione tra gli interessi concorrenti del titolare del trattamento e la base per l’opposizione dell’interessato (che puo' fondarsi su motivi personali, sociali o professionali). A differenza della direttiva 95/46/CE, l’onere della prova di dimostrare l’esistenza di motivi legittimi cogenti spetta al titolare del trattamento e non all’interessato.

Dalla formulazione dell’articolo 21 risulta evidente che la ponderazione differisce da quella di cui all’articolo 6, paragrafo 1, lettera f). In altre parole, non e' sufficiente che il titolare del trattamento dimostri soltanto che la sua precedente analisi dell’interesse legittimo era corretta, occorre inoltre che detto interesse legittimo sia cogente, il che implica una soglia maggiore per prevalere rispetto alle opposizioni.

L’articolo 21, paragrafo 2, riconosce all’interessato un diritto incondizionato ad opporsi al trattamento dei suoi dati personali per finalita' di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Cio' significa che non e' necessario effettuare alcun bilanciamento degli interessi; il titolare del trattamento deve rispettare le volonta' dell’interessato senza mettere in discussione i motivi dell’opposizione. Il considerando 70 fornisce ulteriore contesto a questo diritto e afferma che puo' essere esercitato in qualsiasi momento e gratuitamente.

IV. Disposizioni specifiche relative a decisioni basate unicamente sul trattamento automatizzato di cui all’articolo 22

L’articolo 22, paragrafo 1, afferma che:

l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Il termine “diritto” contenuto nella disposizione non significa che l’articolo 22, paragrafo 1, si applica soltanto se invocato attivamente dall’interessato. L’articolo 22, paragrafo 1, stabilisce un divieto generale nei confronti del processo decisionale basato unicamente sul trattamento automatizzato. Tale divieto si applica indipendentemente dal fatto che l’interessato intraprenda un’azione in merito al trattamento dei propri dati personali.

In sintesi, l’articolo 22 stabilisce che:

  • i) di norma, esiste un divieto generale all’adozione di decisioni completamente automatizzate relative alle persone fisiche, compresa la profilazione, che hanno un effetto giuridico o che incidono in modo analogo significativamente;
  • ii) esistono eccezioni alla regola;
  • iii) laddove si applichi una di tali eccezioni, devono essere adottate misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi dell’interessato.

Questa interpretazione sostiene l’idea secondo la quale l’interessato deve avere il controllo sui propri dati personali, in linea con i principi fondamentali del regolamento. Interpretare l’articolo 22 come un divieto piuttosto che come un diritto da invocare significa che le persone sono automaticamente protette dagli effetti potenziali che questo tipo di trattamento puo' avere. La formulazione dell’articolo suggerisce che questa e' ’intenzione, sostenuta anche dal considerando 71, che afferma:

tuttavia, e' opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se cio' e' espressamente previsto dal diritto dell’Unione o degli Stati membri (...), o se e' necessario per la conclusione o l’esecuzione di un contratto (...), o se l’interessato ha espresso il proprio consenso esplicito.

Cio' implica che il trattamento ai sensi dell’articolo 22, paragrafo 1, non e' consentito in generale.

Tuttavia il divieto di cui all’articolo 22, paragrafo 1 si applica esclusivamente in circostanze specifiche quando una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, ha un effetto giuridico o incide in modo analogo significativamente su una persona, come spiegato ulteriormente nelle linee guida. Anche in questi casi esistono precise eccezioni che consentono l’esecuzione di tale trattamento.

Le garanzie richieste, discusse in maggior dettaglio in appresso, comprendono il diritto di essere informati (di cui agli articoli 13 e 14 – informazioni specificamente significative sulla logica utilizzata, nonche' sull’importanza e sulle conseguenze previste per l’interessato) e garanzie, quali il diritto di ottenere l’intervento umano e il diritto di contestare la decisione (di cui all’articolo 22, paragrafo 3).

Qualsiasi trattamento che possa presentare un rischio elevato per gli interessati impone al titolare del trattamento di svolgere una valutazione d’impatto sulla protezione dei dati Oltre ad affrontare qualsiasi altro rischio connesso al trattamento, una valutazione d’impatto sulla protezione dei dati puo' essere particolarmente utile per i titolari del trattamento che non sono certi che le attivita' da loro proposte rientrino nella definizione di cui all’articolo 22, paragrafo 1, e, laddove tali attivita' siano consentite da un’eccezione individuata, non sappiano quali garanzie debbano essere applicate.

A. “Decisione basata unicamente sul trattamento automatizzato”

L’articolo 22, paragrafo 1, si riferisce a decisioni “basate unicamente” sul trattamento automatizzato.

Cio' significa che non vi e' alcun coinvolgimento umano nel processo decisionale.

Esempio

Un processo automatizzato produce cio' che di fatto e' una raccomandazione riguardante un interessato. Se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale, tale decisione non sara' “basata unicamente” sul trattamento automatizzato.

Il titolare del trattamento non puo' eludere le disposizioni dell’articolo 22 creando coinvolgimenti umani fittizi. Ad esempio, se qualcuno applica abitualmente profili generati automaticamente a persone fisiche senza avere alcuna influenza effettiva sul risultato, si trattera' comunque di una decisione basata unicamente sul trattamento automatico.

Per aversi un coinvolgimento umano, il titolare del trattamento deve garantire che qualsiasi controllo della decisione sia significativo e non costituisca un semplice gesto simbolico. Il controllo dovrebbe essere effettuato da una persona che dispone dell’autorita' e della competenza per modificare la decisione. Nel contesto dell’analisi, tale persona dovrebbe prendere in considerazione tutti i dati pertinenti.

Nell’ambito della valutazione d’impatto sulla protezione dei dati, il titolare del trattamento dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo.

B. Effetti “giuridici” o “in modo analogo significativi”

Il regolamento riconosce che il processo decisionale automatizzato, compresa la profilazione, puo' avere gravi conseguenze per le persone fisiche. Il regolamento non definisce i concetti di “giuridico” o “in modo analogo significativi”, tuttavia la formulazione dell’articolo 22 chiarisce che rientreranno nell’applicazione dell’articolo soltanto gli effetti che hanno un impatto grave.

“Decisione che produce effetti giuridici”

Un effetto giuridico richiede che la decisione, basata unicamente su un trattamento automatico, incida sui diritti giuridici di una persona, quali la liberta' di associarsi ad altre persone, di votare nel contesto di un’elezione o di intraprendere azioni legali. Un effetto giuridico puo' altresi' essere qualcosa che influisce sullo status giuridico di una persona o sui suoi diritti ai sensi di un contratto. Tra gli esempi di questo tipo di effetto figurano le decisioni automatizzate su una persona fisica che portano:

  • alla cancellazione di un contratto;
  • alla concessione o alla negazione del diritto a una particolare prestazione sociale concessa dalla legge, come l’indennita' di alloggio o le prestazioni per figli a carico;
  • al rifiuto dell’ammissione in un paese o la negazione della cittadinanza.

“Incida in modo analogo significativamente sulla sua persona”

Anche se un processo decisionale non ha effetto sui diritti giuridici delle persone, potrebbe comunque rientrare nell’ambito di applicazione dell’articolo 22 se produce un effetto equivalente o in modo analogo significativo in termini di impatto.

In altre parole, anche qualora non vi sia alcun cambiamento nei suoi diritti od obblighi giuridici, l’interessato potrebbe comunque subire ripercussioni sufficienti da richiedere le protezioni previste da questa disposizione. Il regolamento introduce l’espressione “in modo analogo” (non presente nell’articolo 15 della direttiva 95/46/CE) associandola a “incida significativamente”. Di conseguenza la soglia per l’importanza deve essere analoga a quella di una decisione che produce un effetto giuridico.

Il considerando 71 fornisce i seguenti esempi tipici: “rifiuto automatico di una domanda di credito online” o “pratiche di assunzione elettronica senza interventi umani”.

Affinche' il trattamento dei dati sia considerato incidere in maniera significativa su una persona, i suoi effetti devono essere sufficientemente rilevanti o importanti da meritare attenzione. In altre parole, la decisione deve poter essere in grado di:

  • incidere in maniera significativa sulle circostanze, sul comportamento o sulle scelte dell’interessato;
  • avere un impatto prolungato o permanente sull’interessato; o
  • nel caso piu' estremo, portare all’esclusione o alla discriminazione di persone.

E' difficile essere precisi su cio' che puo' essere considerato sufficientemente significativo per il raggiungimento della soglia, sebbene le seguenti decisioni possano rientrare in tale categoria:

  • decisioni che influenzano le circostanze finanziarie di una persona, come la sua ammissibilita' al credito;
  • decisioni che influenzano l’accesso di una persona ai servizi sanitari;
  • decisioni che negano a una persona un’opportunita' di impiego o pongono tale persona in una posizione di notevole svantaggio;
  • decisioni che influenzano l’accesso di una persona all’istruzione, ad esempio le ammissioni universitarie.

Cio' conduce anche al problema della pubblicita' online, che si basa sempre piu' su strumenti automatizzati e implica decisioni basate unicamente sul trattamento automatizzato. Oltre al soddisfacimento delle disposizioni generali del regolamento, trattate nel capitolo III, possono essere pertinenti anche le disposizioni della proposta di regolamento sulla vita privata e le comunicazioni elettroniche. Inoltre, i minori richiedono una protezione maggiore, come sara' esaminato in appresso nel capitolo V.

In numerosi casi tipici, la decisione di proporre pubblicita' mirata basata sulla profilazione non incidera' in modo analogo significativamente sulle persone, ad esempio nel caso di una pubblicita' per un outlet di moda online basato su un semplice profilo demografico: “donne nella regione di Bruxelles di eta' compresa tra 25 e 35 che potrebbero essere interessate alla moda e ad alcuni capi di abbigliamento”.

Tuttavia e' possibile che cio' possa accadere, a seconda delle particolari caratteristiche del caso, tra le quali:

  • l’invasivita' del processo di profilazione, compreso il tracciamento delle persone su siti web, dispositivi e servizi diversi;
  • le aspettative e le volonta' delle persone interessate;
  • il modo in cui viene reso disponibile l’annuncio pubblicitario; o
  • lo sfruttamento della conoscenza di vulnerabilita' degli interessati coinvolti.

Un trattamento che potrebbe avere un impatto minimo sulle persone in generale potrebbe in effetti incidere in maniera significativa su taluni gruppi della societa', quali gruppi minoritari o adulti vulnerabili. Ad esempio, una persona di cui sono note le difficolta' finanziarie, effettive o potenziali, e che riceve regolarmente annunci pubblicitari di prestiti ad alto interesse potrebbe sottoscrivere tali offerte e incorrere cosi' un ulteriori debiti.

Anche un processo decisionale automatizzato che si traduce in una fissazione dei prezzi differenziata basata su dati personali o caratteristiche personali potrebbe incidere in maniera significativa se, ad esempio, prezzi proibitivi elevati impediscono effettivamente a una persona di ottenere determinati beni o servizi.

Analogamente, effetti significativi possono risultare anche da azioni di persone diverse dalla persona alla quale fa riferimento la decisione automatizzata. Un’illustrazione di questo caso e' riportata in appresso.

Esempio

Ipoteticamente, una societa' che fornisce carte di credito potrebbe ridurre il limite della carta di un cliente non sulla base dello storico dei rimborsi di quel cliente, bensi' su criteri di credito non tradizionali, quali un’analisi di altri clienti che vivono nella medesima area e acquistano presso i medesimi negozi.

Cio' potrebbe comportare la limitazione delle opportunita' di una persona sulla base di azioni di terzi.

In un contesto diverso, il ricorso a questi tipi di caratteristiche potrebbe avere il vantaggio di estendere il credito a coloro che non hanno una storia creditizia convenzionale, alle quali sarebbe altrimenti negato l’accesso.

C. Eccezioni al divieto

L’articolo 22, paragrafo 1, stabilisce un divieto generale all’adozione di un processo decisionale unicamente automatizzato relativo alle persone fisiche con effetti giuridici o che incidono in modo analogo significativamente, come descritto sopra.

Di conseguenza il titolare del trattamento non dovrebbe intraprendere il trattamento descritto nell’articolo 22, paragrafo 1, a meno che non si applichi una delle seguenti eccezioni di cui all’articolo 22, paragrafo 2, nel contesto delle quali la decisione:

Laddove il processo decisionale coinvolga categorie particolari di dati definite all’articolo 9, paragrafo 1, il titolare del trattamento deve altresi' garantire di poter soddisfare i requisiti di cui all’articolo 22, paragrafo 4.

a) e' necessaria per la conclusione o l’esecuzione di un contratto;
b) e' autorizzata dal diritto dell’Unione o dello Stato membro cui e' soggetto il titolare del trattamento, che precisa altresi' misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi dell’interessato; o
c) si basa sul consenso esplicito dell’interessato.

1. Esecuzione di un contratto

Il titolare del trattamento potrebbe voler ricorrere a processi decisionali basati unicamente sul trattamento automatizzato per finalita' contrattuali ritenendo che sia il modo piu' appropriato per conseguire l’obiettivo. Talvolta il coinvolgimento umano di routine puo' essere impraticabile o impossibile in ragione della notevole quantita' di dati che vengono trattati.

Il titolare del trattamento deve essere in grado di dimostrare che questo tipo di trattamento e' necessario, tenendo conto della possibilita' di adottare un metodo piu' rispettoso della vita privata. Se esistono altri mezzi efficaci e meno invasivi per il conseguimento del medesimo obiettivo, allora il trattamento non sara' “necessario”.

Il processo decisionale automatizzato di cui all’articolo 22, paragrafo 1, puo' essere necessario anche per un trattamento precontrattuale.

Esempio

Un’azienda pubblicizza un posto di lavoro vacante. Essendo il posto molto ambito, l’azienda riceve decine di migliaia di candidature. In ragione del volume eccezionalmente elevato di candidature l’azienda potrebbe ritenere che non e' possibile individuare i candidati idonei senza prima utilizzare mezzi unicamente automatizzati per scartare le candidature non pertinenti. In questo caso potrebbe essere necessario ricorrere a un processo decisionale automatizzato per stilare un elenco ristretto di possibili candidati allo scopo di stipulare un contratto con un interessato.

Il capitolo III (sezione B) fornisce maggiori informazioni sui contratti come base legittima per il trattamento.

2. Autorizzato dal diritto dell’Unione o dello Stato membro

Il processo decisionale automatizzato, compresa la profilazione, potrebbe potenzialmente aver luogo ai sensi dell’articolo 22, paragrafo 2, lettera b), se il diritto dell’Unione o dello Stato membro ne autorizza l’uso. La legislazione pertinente deve altresi' prevedere misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi dell’interessato.

Il considerando 71 afferma che tale trattamento potrebbe includere il ricorso al processo decisionale automatizzato di cui all’articolo 22, paragrafo 1, per fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale o a garanzia della sicurezza e dell’affidabilita' di un servizio fornito dal titolare del trattamento.

3. Consenso esplicito

L’articolo 22 richiede il consenso esplicito. Il trattamento che rientra nella definizione di cui all’articolo 22, paragrafo 1, pone rischi significativi in termini di protezione dei dati e pertanto si ritiene opportuno un livello elevato di controllo individuale sui dati personali.

Il “consenso esplicito” non e' definito nel regolamento; tuttavia le linee guida del Gruppo di lavoro sul consenso forniscono orientamenti in merito alla sua interpretazione.

Il capitolo III (sezione B) fornisce maggiori informazioni sul consenso in generale.

D. Categorie particolari di dati personali – articolo 22, paragrafo 4

Il processo decisionale automatizzato (di cui all’articolo 22, paragrafo 1) che comporta l’uso di categorie particolari di dati personali e' consentito soltanto se sono soddisfatte le seguenti condizioni cumulative (articolo 22, paragrafo 4):

  • esiste un’esenzione applicabile in virtu' dell’articolo 22, paragrafo 2;
  • si applicano la lettera a) o g) dell’articolo 9, paragrafo 2.

Articolo 9, paragrafo 2, lettera a) - consenso esplicito dell’interessato; o

Articolo 9, paragrafo 2, lettera g) - trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalita' perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

In entrambi i casi di cui sopra, il titolare del trattamento deve altresiÌ� adottare misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi dell’interessato.

E. Diritti dell’interessato
1. Articolo 13, paragrafo 2, lettera f), e articolo 14, paragrafo 2, lettera g) - diritto di essere informato

In considerazione dei potenziali rischi e delle interferenze che la profilazione di cui all’articolo 22 pone in relazione ai diritti degli interessati, il titolare del trattamento dovrebbe prestare particolare attenzione agli obblighi in materia di trasparenza.

L’articolo 13, paragrafo 2, lettera f), e l’articolo 14, paragrafo 2, lettera g), impongono al titolare del trattamento di fornire informazioni specifiche e facilmente accessibili sul processo decisionale produce effetti giuridici o in modo analogo significativi .
Se prende decisioni automatizzate come descritto nell’articolo 22, paragrafo 1, il titolare del automatizzato deve:

  • comunicare all’interessato che sta svolgendo tale tipo di attivita';
  • fornire informazioni significative sulla logica utilizzata;
  • spiegare l’importanza e le conseguenze previste di tale trattamento.

Fornire queste informazioni aiutera' altresi' il titolare del trattamento a garantire il rispetto di talune garanzie obbligatorie di cui all’articolo 22, paragrafo 3, e al considerando 71.

Se il processo decisionale automatizzato e la profilazione non soddisfano la definizione di cui all’articolo 22, paragrafo 1, e' comunque buona prassi fornire le informazioni di cui sopra. In ogni caso il titolare del trattamento deve fornire informazioni sufficienti all’interessato in maniera da rendere il trattamento corretto e soddisfare tutti gli altri requisiti in materia di informazione di cui agli articoli 13 e 14.

Informazioni significative sulla “logica utilizzata”

La crescita e la complessita' dell’apprendimento automatico possono rendere difficile comprendere come funzionano un processo decisionale automatizzato o la creazione di profili.

Il titolare del trattamento dovrebbe trovare modi semplici per comunicare all’interessato la logica o i criteri sui quali si basa l’adozione della decisione. Il regolamento impone al titolare del trattamento di fornire informazioni significative sulla logica utilizzata, ma non necessariamente una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo. Le informazioni fornite dovrebbero tuttavia essere sufficientemente complete affinche' l’interessato possa comprendere i motivi alla base della decisione.

Esempio

Un titolare del trattamento utilizza il punteggio di affidabilita' creditizia (credit scoring) per valutare e respingere una domanda di prestito di una persona. Tale punteggio puo' essere stato fornito da un’agenzia di referenze per il credito oppure calcolato direttamente sulla base delle informazioni detenute dal titolare del trattamento.

Indipendentemente dalla fonte (le informazioni sulla fonte devono essere fornite all’interessato ai sensi dell’articolo 14, paragrafo 2, lettera f), qualora i dati personali non siano stati ottenuti dall’interessato), se il titolare del trattamento si basa su tale punteggio, deve essere in grado di spiegarlo e di illustrarne la logica all’interessato.

Il titolare del trattamento spiega che tale processo lo aiuta a prendere decisioni corrette e responsabili in merito ai prestiti concessi. Fornisce dettagli sulle principali caratteristiche considerate per giungere alla decisione, sulla fonte di tali informazioni e sulla loro importanza. Cio' puo' includere, ad esempio:

  • informazioni fornite dall’interessato nel modulo di domanda;
  • informazioni sulla situazione anteriore del conto, compresi eventuali pagamenti arretrati;
  • informazioni derivanti da registri pubblici ufficiali, quali i registri di frodi e i registi d’insolvenza.

Il titolare del trattamento include altresi' informazioni per spiegare all’interessato che i metodi di valutazione del grado di affidabilita' creditizia utilizzati sono sottoposti a verifiche regolari per garantire che rimangano corretti, efficaci ed esenti da distorsioni.
Il titolare del trattamento fornisce i dati di contatto affinche' l’interessato possa chiedere il riesame di qualsiasi decisione respinta, in linea con le disposizioni di cui all’articolo 22, paragrafo 3.

“Importanza” e “conseguenze previste”

Questi termini suggeriscono che devono essere fornite informazioni sul trattamento previsto o futuro, nonche' sulle possibili conseguenze del processo decisionale automatizzato sull’interessato. Per rendere queste informazioni significative e comprensibili, dovrebbero essere forniti esempi reali e concreti del tipo di possibili effetti.

In un contesto digitale, il titolare del trattamento potrebbe essere in grado di utilizzare strumenti aggiuntivi per illustrare tali effetti.

Esempio

Una compagnia assicurativa utilizza un processo decisionale automatizzato per definire i premi assicurativi per gli autoveicoli in funzione del comportamento di guida dei clienti. Per illustrare il significato e le conseguenze previste del trattamento, la compagnia spiega che una guida pericolosa puo' comportare premi assicurativi piu' elevati e fornisce un’applicazione che confronta conducenti fittizi, tra i quali uno con abitudini di guida pericolose come rapide accelerazioni e frenate all’ultimo minuto.

Usa elementi grafici per dare consigli su come migliorare tali abitudini e, di conseguenza, su come ridurre i premi assicurativi.

Il titolare del trattamento puo' utilizzare tecniche visive simili per spiegare come e' stata presa una decisione nel passato.

2. Articolo 15, paragrafo 1, lettera h) - diritto di accesso

L’articolo 15, paragrafo 1, lettera h), riconosce agli interessati il diritto di disporre delle medesime informazioni in merito a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, rispetto a quelle previste dall’articolo 13, paragrafo 2, lettera f), e dall’articolo 14, paragrafo 2, lettera g), ossia:

  • l’esistenza di processi decisionali automatizzati, compresa la profilazione;

  • informazioni significative sulla logica utilizzata;

  • l’importanza e le conseguenze previste del trattamento per l’interessato

Il titolare del trattamento dovrebbe aver gia' fornito tali dati all’interessato in linea con gli obblighi di cui all’articolo 13 .

L’articolo 15, paragrafo 1, lettera h), afferma che il titolare del trattamento deve fornire all’interessato informazioni sulle conseguenze previste del trattamento, piuttosto che una spiegazione di una particolare decisione. Il considerando 63 chiarisce questo aspetto affermando che ogni interessato dovrebbe avere il diritto di accesso al fine di ottenere “comunicazioni” sul trattamento automatizzato dei dati, compresa la logica in questione e, almeno quando e' basato sulla profilazione, sulle conseguenze del trattamento.

Esercitando i diritti di cui all’articolo 15, l’interessato puo' prendere atto di una decisione presa nei suoi confronti, ivi compresa una decisione basata sulla profilazione.

Il titolare del trattamento dovrebbe fornire all’interessato informazioni di carattere generale (in particolare, sui fattori presi in considerazione per il processo decisionale e sul rispettivo “peso” a livello aggregato) che sono utili all’interessato anche per contestare la decisione.

F. Stabilire garanzie adeguate

Se la base per il trattamento e' l’articolo 22, paragrafo 2, lettera a), oppure l’articolo 22, paragrafo 2, lettera c), l’articolo 22, paragrafo 3 impone al titolare del trattamento di attuare misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi degli interessati. Ai sensi dell’articolo 22, paragrafo 2, lettera b), il diritto degli Stati membri o dell’Unione che autorizza il trattamento deve altresi' prevedere misure di adeguate di tutela.

Tali misure dovrebbero includere quanto meno la possibilita' per l’interessato di ottenere l’intervento umano, esprimere il proprio punto di vista e contestare la decisione.

L’intervento umano e' un aspetto fondamentale. Qualsiasi riesame dovrebbe essere effettuato da una persona che dispone dell’autorita' e della competenza adeguate per modificare la decisione. Il responsabile di tale riesame dovrebbe effettuare una valutazione approfondita di tutti i dati pertinenti, comprese eventuali informazioni aggiuntive fornite dall’interessato.

Il considerando 71 sottolinea che in ogni caso le garanzie adeguate dovrebbero comprendere anche:

la specifica informazione all’interessato e il diritto (...) di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione.

Il titolare del trattamento deve mettere a disposizione dell’interessato un modo semplice per esercitare tali diritti.

Cio' sottolinea la necessita' di trasparenza del trattamento. L’interessato sara' in grado di contestare una decisione o esprimere il proprio parere soltanto se comprende pienamente come e' stata presa la decisione e su quali basi. I requisiti in materia di trasparenza sono discussi nel capitolo IV (sezione E).

Errori o distorsioni nei dati raccolti o condivisi oppure un errore o una distorsione nel processo decisionale automatizzato possono comportare:

  • classificazioni errate e
  • valutazioni basate su proiezioni imprecise, che
  • incidono negativamente sulle persone fisiche.

Il titolare del trattamento dovrebbe effettuare valutazioni frequenti degli insiemi di dati che tratta, in maniera da rilevare eventuali distorsioni, e sviluppare metodi per affrontare eventuali elementi pregiudizievoli, compreso un eccessivo affidamento sulle correlazioni.
I sistemi che verificano gli algoritmi e i riesami periodici dell’esattezza e della pertinenza del processo decisionale automatizzato, compresa la profilazione, sono ulteriori misure utili.

Il titolare del trattamento dovrebbe introdurre procedure e misure adeguate per prevenire errori, inesattezze o discriminazioni sulla base di categorie particolari di dati. Queste misure dovrebbero essere attuate ciclicamente; non soltanto in fase di progettazione, ma anche in continuativamente, durante l’applicazione della profilazione alle persone fisiche. L’esito di tali verifiche dovrebbe andare ad alimentare nuovamente la progettazione del sistema.

Ulteriori esempi di garanzie adeguate sono riportati nella sezione dedicata alle raccomandazioni.

V. Minori e profilazione

Il regolamento introduce ulteriori obblighi per il titolare del trattamento qualora tratti dati personali di minori.

L’articolo 22 di per se' non opera alcuna distinzione in merito al fatto che il trattamento riguardi adulti o minori. Tuttavia, il considerando 71 afferma che le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producono effetti giuridici o in modo analogo significativi non dovrebbero riguardare minori. Dato che tale formulazione non si riflette nell’articolo stesso, il Gruppo di lavoro non ritiene che cio' rappresenti un divieto assoluto di questo tipo di trattamento in relazione ai minori. Tuttavia, alla luce di tale considerando, il Gruppo di lavoro raccomanda ali titolare del trattamento di non fare affidamento, di norma, sulle eccezioni di cui all’articolo 22, paragrafo 2, per giustificare tale trattamento.

Potrebbero tuttavia esservi talune circostanze nelle quali e' necessario che il titolare del trattamento prenda decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, aventi effetti giuridici o in modo analogo significativi in relazione ai minori, ad esempio per tutelarne il benessere. In tal caso, il trattamento puo' essere effettuato sulla base delle eccezioni di cui all’articolo 22, paragrafo 2, lettere a), b) o c), a seconda dei casi.

In questi casi devono essere messe in atto garanzie adeguate, come previsto dall’articolo 22, paragrafo 2, lettera b), e dall’articolo 22, paragrafo 3, e devono pertanto essere appropriate per i minori. Il titolare del trattamento deve garantire che tali garanzie siano efficaci nel tutelare i diritti, le liberta' e i legittimi interessi dei minori i cui dati vengono trattati.

L’esigenza di una tutela particolare nei confronti dei minori si riflette nel considerando il quale afferma che:

i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate noncheÌ� dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalita' o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore.

L’articolo 22 non impedisce al titolare del trattamento di prendere decisioni basate unicamente sul trattamento automatizzato in relazione ai minori, se tali decisioni non avranno un effetto giuridico o in modo analogo significativo sul minore. Tuttavia, una decisione basata unicamente sul trattamento automatizzato che influenza le scelte e il comportamento di un minore potrebbe potenzialmente avere un effetto giuridico o in modo analogo significativo sullo stesso, a seconda della natura delle scelte e dei comportamenti in questione.

Dato che i minori rappresentano un gruppo piu' vulnerabile della societa', le organizzazioni dovrebbero, in generale, astenersi dal profilarli per finalita' di marketing. I minori possono essere particolarmente vulnerabili nell’ambiente online e piu' facilmente influenzabili dalla pubblicita' comportamentale. Ad esempio, nei giochi online, la profilazione puo' servire per individuare i giocatori che l’algoritmo ritiene piu' propensi a spendere soldi, oltre a fornire annunci piu' personalizzati. L’eta' e la maturita' del minore possono influenzarne la capacita' di comprendere la motivazione che sta alla base di tale tipo di marketing o le sue conseguenze.

L’articolo 40, paragrafo 2, lettera g), fa esplicitamente riferimento alla preparazione di codici di condotta che includano misure per la protezione dei minori; potrebbe altresi' essere possibile integrare i codici esistenti.

VI. Valutazioni d’impatto sulla protezione dei dati e responsabile della protezione dei dati

La responsabilizzazione e' un aspetto importante e un requisito esplicito ai sensi del regolamento.

In quanto strumento essenziale per la responsabilizzazione, la valutazione d’impatto sulla protezione dei dati consente al titolare del trattamento di valutare i rischi connessi al processo decisionale automatizzato, compresa la profilazione. Essa permette di dimostrare che sono state messe in atto misure adeguate per affrontare tali rischi e dimostrare il rispetto del regolamento.

L’articolo 35, paragrafo 3, lettera a), sottolinea la necessita' che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati in caso di:

una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche.

L’articolo 35, paragrafo 3, lettera a), fa riferimento a valutazioni comprendenti la profilazione e decisioni che sono “basate” su un trattamento automatizzato, piuttosto che basate “unicamente” su un trattamento automatizzato. Cio' significa che l’articolo 35, paragrafo 3, lettera a), si applichera' sia a un processo decisionale che comprenda la profilazione e abbia effetti giuridici o in modo analogo significativi che non e' un processo decisionale interamente automatizzato, sia a una decisione basata unicamente sul trattamento automatizzato di cui all’articolo 22, paragrafo 1.

Se il titolare del trattamento prevede un “modello” in cui adotta decisioni basate unicamente su un trattamento automatizzato aventi un impatto elevato sulle persone fisiche, fondate su profili relativi a queste ultime, e non puo' fare affidamento sul consenso di dette persone, su un contratto stipulato con le stesse o su una legge che autorizza tale trattamento, il titolare del trattamento non dovrebbe procedere.

Il titolare del trattamento puo' comunque prevedere un “modello” di processo decisionale basato sulla profilazione, aumentando significativamente il livello di intervento umano affinche' detto modello non sia piu' un processo decisionale interamente automatizzato, sebbene il trattamento possa comunque presentare rischi per i diritti e le liberta' fondamentali delle persone. In tal caso, il titolare del trattamento deve assicurarsi di riuscire a far fronte a tali rischi e soddisfare i requisiti esposti al capitolo III delle presenti linee guida.

Una valutazione d’impatto sulla protezione dei dati puo' altresi' costituire uno strumento utile a disposizione del titolare del trattamento per individuare le misure che introdurra' per far fronte ai rischi per la protezione dei dati connessi al trattamento. Tali misure49 potrebbero comprendere:

  • informare l’interessato dell’esistenza e della logica utilizzata nel processo decisionale automatizzato;
  • spiegare l’importanza e le conseguenze previste del trattamento per l’interessato;
  • fornire all’interessato i mezzi per opporsi alla decisione;
  • consentire all’interessato di esprimere il proprio punto di vista.

Ulteriori attivita' di profilazione possono giustificare una valutazione d’impatto sulla protezione dei dati, a seconda delle circostanze del caso. Il titolare del trattamento puo' consultare le linee guida del Gruppo di lavoro sulle valutazioni d’impatto sulla protezione dei dati per ulteriori informazioni e per contribuire a determinare la necessita' di effettuare una valutazione d’impatto sulla protezione dei dati.

Un requisito aggiuntivo in termini di responsabilizzazione consiste nella designazione di un responsabile della protezione dei dati, nei casi in cui la profilazione e/o il processo decisionale automatizzato costituiscono un’attivita' centrale del titolare del trattamento e richiedono un monitoraggio regolare e sistematico degli interessati su larga scala (articolo 37, paragrafo 1, lettera b).

Fonte: Garante per la Protezione dei dati - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://www.entionline.it/modules/formmanager/attachments/att_3378_226.pdf

Banca dati