EntiOnLine
Categorie
indietro
06/02/2018 Base giuridica: Test comparativo per interesse legittimo e impatto su interesse e diritti interessato-Scenari

Base giuridica: Introduzione all’applicazione del test comparativo per interesse legittimo del responsabile del trattamento e per l’impatto sull’interesse e sui diritti dell’interessato

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

III.2. Articolo 7, lettere da a) a e)

La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.

III.3.3.Introduzione all’applicazione del test comparativo

È utile immaginare su uno spettro sia l’interesse legittimo del responsabile del trattamento che l’impatto sull’interesse e sui diritti dell’interessato. L’interesse legittimo può avere diversi gradi di rilevanza: da irrilevante a piuttosto importante fino a preminente. Analogamente, l’impatto sull’interesse e sui diritti degli interessati può essere più o meno rilevante e andare da poco importante a molto significativo. L’interesse legittimo del responsabile del trattamento, quando è poco rilevante e scarsamente preminente può, in generale, prevalere rispetto all’interesse e ai diritti degli interessati solo nei casi in cui l’impatto su tali diritti e interessi è ancora più irrilevante. D’altro canto, un interesse legittimo importante e preminente può, in alcuni casi e fatte salve determinate garanzie e misure, giustificare anche una notevole ingerenza nella vita privata oppure un altro impatto considerevole sugli interessi o sui diritti degli interessati66.A tale proposito è importante sottolineare il ruolo speciale che possono svolgere le garanzie67nella riduzione dell’indebito impatto sugli interessati, modificando in tal modo l’equilibrio tra i diritti e gli interessi in misura tale che l’interesse legittimodegli interessati non prevalga sull’interesse legittimodel responsabile del trattamento dei dati.Il solo utilizzo delle garanzie non è ovviamente sufficiente a giustificare qualsiasi tipo di trattamento in qualunque contesto.Inoltre, le garanzie in questione devono essere adeguate e sufficienti e devono indiscutibilmente e significativamente ridurre l’impatto sugli interessati.

Scenari introduttivi

Prima di passare a fornire orientamenti sulle modalità di svolgimento del test comparativo, i tre scenari introduttivi illustrati di seguito possono dare una prima indicazione di come potrebbero essere bilanciati interessi e diritti nella vita reale. Tutti e tre gli esempi si basano su un semplice e innocuo scenario che inizia con un’offerta speciale riguardante un cibo italiano da asporto. Gli esempi introducono gradualmente nuovi elementi che dimostrano come l’equilibrio si sbilancia man mano che aumenta l’impatto sugli interessati

Scenario 1: offerta speciale da parte di una catena di pizza

Claudia ordinauna pizza tramite un’applicazione mobile sul suo smartphone, ma non disattival’opzione relativa all’invio di materiale pubblicitario sul sito web. Il suo indirizzo e i dati della carta di creditosono conservati ai fini della consegna. Alcuni giorni dopoClaudia riceve buoni sconto per prodotti simili nella buca delle lettere di casa sua.

Breve analisi: la catena di pizza ha un interesse legittimo, ma non particolarmente preminente, a cercare di vendere un maggior numero di prodotti ai suoi clienti. D’altro canto, non sembranoregistrarsi una considerevole ingerenza nella vita privata di Claudia o un indebito impatto di altro tipo sui suoi interessi e diritti. I dati e il contesto sono relativamente innocui (il consumo di pizza). La catena di pizza ha istituito alcune garanzie: si utilizzano solo informazioni relativamente limitate (i recapiti) e l’invio dei buoni scontoavviene per posta tradizionale. Inoltre, è prevista un’opzione di facile utilizzo che permette di opporsiall’invio di materiale pubblicitario sul sito web.

Nel complesso, e considerando anche le garanzie e le misure previste (tra cui uno strumento di facile utilizzo per opporsiall’invio di materiale pubblicitario), l’interesse e i diritti dell’interessato non sembrano prevalere rispetto all’interesse legittimo della catena di pizza di effettuare questo minimo trattamento dei dati

Scenario 2: pubblicità mirata per la stessa offerta speciale

Il contesto è lo stesso, ma questa volta la catena di pizza non conserva solo l’indirizzo e i dati della carta di credito di Claudia, ma anche la sua cronologia degli ordini recenti (relativa agli ultimi tre anni).Inoltre, la cronologia degli acquisti è combinata con i dati del supermercatoin cui Claudia effettua acquistionline, di cui è titolare la stessa società che gestisce la catena di pizza.Lacatena di pizza invia a Claudia offerte speciali e annunci pubblicitari mirati basati sulla sua cronologia degli ordini effettuati per i due differenti servizi. Claudia riceve i messaggi pubblicitari e le offerte speciali siaonline che offline, per posta tradizionale e perposta elettronica nonché tramite inserzionisul sito web della societàe su quelli di una serie di partner selezionati (quando accede a tali siti sul suo computer o tramite il suo cellulare).Vengono inoltre tracciati la cronologia delle sue esplorazioni (sequenza di clic) e, tramite il suo cellulare, anche i dati relativi alla sua ubicazione. Un software analitico scorre i dati e predice le sue preferenze nonché gli orarie i luoghi in cui sarà più probabile che Claudia effettui acquisti maggiori, sia disponibile a pagare un prezzo più elevato nonché suscettibile diessere influenzata da una determinata percentuale di sconto oi momenti in cuidesidera più intensamente i suoi dessert o i suoi piatti pronti preferiti68.Claudia è assolutamente infastidita dai messaggi che continuano a comparire sul suo cellulare quando controlla gli orari dell’autobus mentre torna a casaeche pubblicizzano le ultime offerte di cibo da asporto alle quali sta cercando di resistere. Non è riuscita a trovare informazioni di facile consultazione o un semplice modo per disattivare questi messaggi pubblicitari, nonostante la società sostenga che a livello settorialeesiste un sistema che consente di revocare il proprio consenso alla lororicezione.Ha inoltre constatato con stupore che, dopo essersi trasferita in un quartiere meno benestante, non ha più ricevuto le offerte speciali a lei destinate. Di conseguenza, ha speso circa il 10% in più per la spesa alimentare mensile. Un amico più esperto di lei in ambito tecnologico le ha indicato alcuni pareri espressi su un blog online secondo cui il supermercato imponeva un prezzo superiore per gli ordini provenienti dai quartieri meno benestanti, sulla basedel rischio statisticamente più elevato di utilizzo fraudolento di carte di credito nei casi in questione. La società non ha formulato osservazioni al riguardo e ha sostenuto che la politica aziendale in materia di sconti nonché l’algoritmo utilizzato per la fissazione dei prezzi sonoesclusivi e non possono essere divulgati.

Breve analisi: la natura dei dati e del contesto rimane relativamente innocua. Tuttavia, la portata della raccolta dei dati e le tecniche utilizzate per influenzare Claudia(tra cui varie tecniche di tracciamento, la previsione degli orari e dei luoghiin cuila sua voglia di cibo sarà maggiore e il fatto che in tali orariClaudia è più soggetta a soccombere alla tentazione) sono fattoridi cui tenere conto nel valutare l’impatto del trattamento. La mancanza di trasparenza riguardo alla logica sottesa al trattamento dei dati da parte della società, che può avere di fatto determinato una discriminazione dei prezzi sulla base del luogo in cui viene effettuato un ordine, e il considerevole impatto finanziario potenziale sui clienti sbilanciano in definitiva l’equilibrio anche nel contesto relativamente innocuo del cibo da asporto e dell’acquisto di generi alimentari. Anziché offrire semplicemente la possibilità di opporsi aquesto tipo di elaborazione dei profili e di pubblicità mirata, sarebbe necessario un consenso informato, ai sensi sia dell’articolo 7, lettera a), che dell’articolo 5, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche.Di conseguenza, l’articolo 7, lettera f), non deve essere invocato come fondamento giuridico per il trattamento.

Scenario 3: utilizzo degli ordini di prodotti alimentari per adeguare i premi di assicurazione sanitaria

Le abitudini di consumo di pizza di Claudia, compresi gli orari e il carattere degli ordini di prodotti alimentari, sono vendute dalla catena a una società di assicurazioni che utilizza questi dati per adeguare i suoi premi di assicurazione sanitaria.

Breve analisi: la società di assicurazione sanitaria potrebbe avere un interesse legittimo, nella misura in cui i regolamenti applicabili lo consentano, a valutare i rischi per la salute dei suoi clienti e ad applicare premi differenziati a seconda dei vari rischi. Tuttavia, le modalità di raccolta dei dati e la portata della raccolta dei dati in sé sono eccessive. Se si fosse trovata nella situazione di Claudia, una persona ragionevole non si sarebbe probabilmente aspettata che le informazioni relative al suo consumo di pizza sarebbero state utilizzate per calcolare i suoi premi di assicurazione sanitaria. Oltre al carattere eccessivo dell’attività di profilazione e alle possibili deduzioni sbagliate (la pizza potrebbe essere ordinata per qualcun altro),la deduzione di dati sensibili (dati sanitari) da dati apparentemente innocui (ordini di cibi da asporto) contribuisce a sbilanciare l’equilibrio a favore dell’interesse e dei diritti dell’interessato. Infine, il trattamento ha anche un considerevole impatto finanziario su Claudia. Nel complesso, in questo caso specifico l’interesse e i diritti dell’interessato prevalgono rispetto all’interesse legittimo della società di assicurazione sanitaria. Di conseguenza, l’articolo 7, lettera f), non deve essere invocato come fondamento giuridico per il trattamento. È inoltre controverso se l’articolo 7, lettera a), possa essere utilizzato come fondamento giuridico, considerando l’eccessiva portata della raccolta dei dati ed eventualmente anche le ulteriori restrizioni specifiche previste dalla normativa nazionale.

Gli scenari precedenti e la possibile introduzione di variazioni con altri elementi evidenziano la necessità di un numero limitato di fattori chiave che possono contribuire a mirare la valutazione nonché la necessità di un approccio pragmatico che consenta di utilizzare ipotesi pratiche (“regole empiriche”) basate essenzialmente su ciò che una persona ragionevole troverebbe accettabile in determinate circostanze(“aspettative ragionevoli”) nonché sulle conseguenze dell’attività di trattamento dei dati per gli interessati (“impatto”).

______________

68 Cfr., per esempio,http://www.stanfordlawreview.org/online/privacy-and-big-data/consumer-subject-review- boards: “Recent research suggests that willpower is a finite resource that can be depleted or replenished over time.[10]Imagine that concerns about obesity lead a consumer to try to hold out against her favourite junk food. It turns out there are times and places when she cannot. Big data can help marketers understand exactly how and when to approach this consumer at her most vulnerable—especially in a world of constant screen time in which even our appliances are capable of a sales pitch”(“Da recenti ricerche emerge che la forza di volontà è una risorsa finita che può esaurirsi o ricostituirsi nel tempo[10]. Immaginate che la preoccupazione per l’obesità induca un consumatore a cercare di resistere al suo cibo spazzatura preferito. Di fattoci sono volte e luoghi in cui è impossibile non cederea tale tentazione. I megadati possono aiutare gli operatori di mercato a capire esattamente come e quando rivolgersi a questo consumatore nel momento in cui si trova in condizioni di massima vulnerabilità, specialmente in un mondo di costante esposizione al video in cuianche i nostri elettrodomestici sono in grado di promuovere la vendita di un determinato prodotto”).

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati