Base giuridica: Responsabilita' e trasparenza
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018
ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
844/14/IT
WP217
III.2. Articolo 7, lettere da a) a e)
La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.
III.3.5. Responsabilità e trasparenza
Innanzitutto, prima di effettuare un’operazione di trattamento sulla base dell’articolo 7, lettera f), il responsabile del trattamento ha la responsabilità di valutare se ha un interesse legittimo, se il trattamento è necessario per il perseguimento di quell’interesse legittimo e se nel caso specifico gli interessi e i diritti degli interessati prevalgono su detto interesse. In tal senso, l’articolo 7, lettera f), si basa sul principio di responsabilità. Il responsabile del trattamento deve preventivamente eseguire un test meticoloso ed effettivo, basato sulle specifiche circostanze del caso, anziché operare in maniera astratta, tenendo altresì conto delle ragionevoli aspettative degli interessati. Come norma di buona pratica, ove opportuno, l’esecuzione di questo test deve essere documentata in maniera sufficientemente dettagliata e trasparente da permettere di verificare la completa e corretta applicazione del test, se del caso, da parte dei soggetti pertinenti, tra cui gli interessati e le autorità di protezione dei dati nonché, in ultima analisi, dei tribunali competenti. Il responsabile del trattamento definirà innanzitutto l’interesse legittimo ed eseguirà il test comparativo, ma questa non sarà necessariamente la valutazione finale e definitiva: se, di fatto, l’interesse perseguito non è quello che era stato specificato dal responsabile del trattamento o se il responsabile del trattamento ha fornito solo una definizione scarsamente dettagliata dell’interesse, sarà necessario valutare nuovamente il bilanciamento, sulla base dell’interesse effettivo, che deve essere determinato o da un’autorità di protezione dei dati o da un tribunale99 . Come nel caso di altri aspetti fondamentali della protezione dei dati, quali l’identificazione del responsabile del trattamento o la specificazione delle finalità100 , ciò che conta è la realtà che si cela dietro qualsivoglia dichiarazione formulata dal responsabile del trattamento. Il concetto di responsabilità è strettamente connesso al concetto di trasparenza. Per consentire agli interessati di esercitare i loro diritti e permettere un più ampio controllo pubblico da parte dei soggetti pertinenti, il Gruppo di lavoro raccomanda ai responsabili del trattamento di spiegare agli interessati, in maniera chiara e semplice, i motivi per cui ritengono che gli interessi o i diritti e le libertà fondamentali degli interessati non prevalgano sui loro interessi, illustrando altresì loro quali garanzie hanno adottato per tutelare i dati personali, compreso, se del caso, il diritto a revocare il proprio consenso al trattamento101 . A tale proposito il Gruppo di lavoro sottolinea che la normativa in materia di tutela dei consumatori, in particolare le norme che proteggono i consumatori da pratiche commerciali sleali, è a sua volta estremamente pertinente in questo caso. Se un responsabile del trattamento occulta informazioni importanti in merito a un non previsto ulteriore utilizzo dei dati in termini legalistici nascosto nei caratteri minuscoli di un contratto, questo comportamento potrebbe costituire una violazione delle norme in materia di tutela dei consumatori riguardanti le clausole contrattuali abusive (compreso il divieto di utilizzare “clausole a sorpresa”) e inoltre non rispetterà i requisiti di cui all’articolo 7, lettera a), di un consenso valido e informato o i requisiti di cui all’articolo 7, lettera f), in termini di ragionevoli aspettative dell’interessato e di un bilanciamento degli interessi complessivamente accettabile. Solleverebbe ovviamente anche questioni di conformità con l’articolo 6 relativamente alla necessità di un trattamento leale e lecito dei dati personali. In alcuni casi, per esempio, gli utenti di servizi “gratuiti” online, quali motori di ricerca, posta elettronica, mezzi di comunicazione sociale, archiviazione di documenti o altre applicazioni online o mobili, non sono pienamente consapevoli della misura in cui le loro attività sono registrate e analizzate al fine di generare valore per il fornitore di servizi e pertanto non si preoccupano dei rischi connessi. Al fine di responsabilizzare gli interessati in queste situazioni, una prima condizione preliminare102, necessaria ma tutt’altro che sufficiente di per sé, è chiarire che i servizi non sono gratuiti e che, invece, i consumatori pagano utilizzando i loro dati personali. Le condizioni e le garanzie subordinatamente alle quali potrebbero essere utilizzati i dati devono a loro volta essere indicate chiaramente in ogni caso al fine di garantire la validità del consenso di cui all’articolo 7, lettera a), oppure un bilanciamento favorevole ai sensi dell’articolo 7, lettera f).
______________
101 Come spiegato a pagina 46 del parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato precedentemente alla nota a piè di pagina 9), nel caso dell’elaborazione di profili e di processi decisionali automatizzati, “per garantire la trasparenza, gli interessati/i consumatori devono poter accedere ai loro 'profili' nonché alla logica sottesa al processo decisionale (algoritmo) che ha portato allo sviluppo del profilo. In altre parole, le organizzazioni devono rendere noti i loro criteri decisionali. Questa è una garanzia fondamentale, che riveste un’importanza ancora maggiore nel mondo dei megadati”. L’eventualità che un’organizzazione offra o meno questa trasparenza è un fattore estremamente importante datenere parimenti in considerazionenel test comparativo.
102 Per le ulteriori possibili garanzie riguardo alle situazioni sempre più comuni in cui i consumatori pagano con i loro dati personali, cfr. la sezione III.3.6, in particolare le pagine 55-57sulle “Alternative ai servizi online 'gratuiti' compatibili con la protezione dei dati” e sulla “Portabilità dei dati, 'Midata' e questioni correlate”.
Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227