EntiOnLine
Categorie
indietro
06/02/2018 Basi legittime per il trattamento di profilazione e di processo decisionale automatizzato - consenso

Basi legittime per il trattamento di profilazione e di processo decisionale automatizzato - consenso

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP251 rev.01

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione
ai fini del regolamento 2016/679

adottate il 3 ottobre 2017

Versione emendata e adottata in data 6 febbraio 2018

... (omissis) ...

III. Disposizioni generali sulla profilazione e sul processo decisionale automatizzato

La presente panoramica delle disposizioni si applica a tutte le profilazioni e a tutti i processi decisionali automatizzati. Qualora il trattamento soddisfi la definizione di cui all’articolo 22, paragrafo 1, si applicano le disposizioni specifiche supplementari di cui al capitolo IV.

A. Principi in materia di protezione dei dati

I principi in materia di protezione dei dati sono pertinenti per tutte le attivita' di profilazione e tutti i processi decisionali automatizzati che comportano l’uso di dati personali4. Al fine di agevolare il rispetto delle norme, il titolare del trattamento dovrebbe considerare i seguenti elementi fondamentali:

... (omissis) ...

B. Basi legittime per il trattamento

Il processo decisionale automatizzato di cui all’articolo 22, paragrafo 1, e' consentito soltanto qualora si applichi una delle eccezioni di cui al capitolo IV (sezioni C e D). Le seguenti basi legittime per il trattamento sono pertinenti per tutti i processi decisionali automatizzati relativi alle persone fisiche e di profilazione.

1. Articolo 6, paragrafo 1, lettera a) - consenso

Il consenso come base per il trattamento in generale e' trattato nelle Linee guida del Gruppo di lavoro sul consenso. Il consenso esplicito e' una delle eccezioni al divieto di processo decisionale automatizzato e profilazione di cui all’articolo 22, paragrafo 1.

La profilazione puo' non essere trasparente. Spesso si basa su dati derivati o desunti da altri dati, anziche' su dati forniti direttamente dall’interessato.

Il titolare del trattamento che intende fare affidamento sul consenso come base per la profilazione dovra' dimostrare che gli interessati comprendono esattamente a cosa stanno acconsentendo e dovra' ricordare che il consenso non e' sempre una base appropriata per il trattamento. In tutti i casi, gli interessati dovrebbero disporre di sufficienti informazioni pertinenti sull’uso previsto e sulle conseguenze del trattamento in maniera da assicurare che il consenso fornito sia frutto di una scelta informata.

2. Articolo 6, paragrafo 1, lettera b) – necessario all’esecuzione di un contratto

Il titolare del trattamento potrebbe voler utilizzare la profilazione e i processi decisionali automatizzati perche' tali processi:

  • consentono potenzialmente una maggiore coerenza o correttezza nel processo decisionale (ad esempio riducendo le possibilita' di errore umano, discriminazione e abuso di potere);
  • riducono il rischio che i clienti non riescano a soddisfare i pagamenti per beni o servizi (ad esempio utilizzando referenze per il credito), o
  • consentono di prendere decisioni in tempi piu' brevi e migliorare l’efficienza.

Indipendentemente da quanto sopra, queste considerazioni da sole non sono sufficienti a dimostrare che questo tipo di trattamento e' necessario ai sensi dell’articolo 6, paragrafo 1, lettera b), per l’esecuzione di un contratto. Come descritto nel parere del Gruppo di lavoro sull’interesse legittimo14, la nozione di necessita' deve essere interpretata in maniera restrittiva.

Quello che segue e' un esempio di profilazione che non soddisfa le condizioni di cui all’articolo 6, paragrafo 1, lettera b).

Esempio

Un utente acquista alcuni articoli da un rivenditore al dettaglio online. Per soddisfare il contratto, il rivenditore deve trattare le informazioni della carta di credito dell’utente per finalita' di pagamento e l’indirizzo dell’utente per consegnare la merce. Il completamento del contratto non dipende dalla creazione di un profilo dei gusti e delle scelte in termini di stile di vita dell’utente, basato sulle sue visite sul sito web. Anche se la profilazione e' espressamente menzionata in caratteri minuscoli nel contratto, questo fatto, da solo, non la rende “necessaria” all’esecuzione del contratto.

3. Articolo 6, paragrafo 1, lettera c) – necessario per adempiere un obbligo legale

Vi possono essere casi in cui sussiste un obbligo legale all’esecuzione della profilazione, ad esempio in relazione alla prevenzione delle frodi o al riciclaggio di denaro. Il parere del Gruppo di lavoro sugli interessi legittimi fornisce informazioni utili su questa base per il trattamento e sulle garanzie da applicare.

4. Articolo 6, paragrafo 1, lettera d) – necessario per la salvaguardia di interessi vitali

Tale base si applica nelle circostanze in cui il trattamento e' necessario per la salvaguardia di un interesse essenziale per la vita dell’interessato o di un’altra persona fisica.

Determinati tipi di trattamento possono essere necessari per importanti motivi di interesse pubblico e per proteggere gli interessi vitali dell’interessato, come la profilazione per sviluppare modelli che individuino in anticipo la diffusione di malattie potenzialmente letali o in situazioni di emergenza umanitaria. In questi casi, tuttavia, e in linea di principio, il titolare del trattamento puo' basarsi su motivi di interesse vitale unicamente se non sono disponibili altre basi giuridiche per il trattamento17. Se il trattamento comprende dati personali appartenenti a categorie particolari, il titolare del trattamento deve altresi' assicurarsi di soddisfare le prescrizioni di cui all’articolo 9, paragrafo 2, lettera c).

5. Articolo 6, paragrafo 1, lettera e) – necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri

L’articolo 6, paragrafo 1, lettera e), potrebbe costituire una base adeguata per la profilazione nel settore pubblico in determinate circostanze. Il compito o la funzione devono avere una base giuridica chiara.

6. Articolo 6, paragrafo 1, lettera f) – necessario per il perseguimento del legittimo interesse18 del titolare del trattamento o di terzi

La profilazione e' consentita se e' necessaria ai fini degli interessi legittimi19 perseguiti dal titolare del trattamento o da un terzo. Tuttavia, l’articolo 6, paragrafo 1, lettera f), non si applica automaticamente soltanto perche' il titolare del trattamento o il terzo ha un legittimo interesse. Il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le liberta' fondamentali dell’interessato non prevalgano sui propri interessi.

I seguenti aspetti sono particolarmente rilevanti:

  • il livello di dettaglio del profilo (un interessato profilato in un gruppo descritto in maniera ampia come “persone interessate alla letteratura inglese” o segmentato e mirato a livello granulare);
  • la completezza del profilo (il profilo descrive solo un aspetto minore dell’interessato oppure dipinge un quadro piu' completo);
  • l’impatto della profilazione (gli effetti sull’interessato);
  • le garanzie destinate ad assicurare la correttezza, la non discriminazione e l’esattezza nel processo di profilazione.

Sebbene si basi sull’articolo 7 della direttiva 95/46/CE sulla protezione dei dati, il parere del Gruppo di lavoro sui legittimi interessi contiene esempi che sono comunque utili e pertinenti per il titolare del trattamento che svolge attivita' di profilazione. Tale parere suggerisce inoltre che sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalita' di marketing o pubblicita', ad esempio quelle che comportano il tracciamento di persone fisiche su piu' siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati.

Nel valutare la validita' del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera f), il titolare del trattamento dovrebbe altresi' considerare l’uso futuro o la combinazione di profili.

... (omissis) ...

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati