Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.
Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.
È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.
La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).
Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.
1) Identificazione del trattamento posto in essere
In primo luogo, occorre individuare in che contesto e per quali finalità è posta in essere la profilazione. Il Regolamento contempla infatti tre attività aventi ad oggetto il profiling: anzitutto l’attività di profilazione pura, consistente nella raccolta di dati relativi ad un soggetto (o ad un gruppo di persone) e nella loro analisi al fine di predirne i comportamenti futuri ovvero valutarne gli interessi e le capacità. Tale attività, secondo il Regolamento, può essere poi posta alla base di un ulteriore trattamento volto all’adozione in via automatica di decisioni che verranno poi rivalutate da un soggetto preposto (si pensi al caso in cui il dipendente di una banca valuta l’adeguatezza del prestito calcolato in modo automatico dal software in base alla situazione finanziaria del cliente richiedente). Infine, il Regolamento prevede l’ipotesi di un processo decisionale basato unicamente sul trattamento automatizzato dei dati, in cui cioè l’intervento umano non è contemplato.
2) Una compliance differenziata
La distinzione tra queste ipotesi rileva dal punto di vista dei diversi adempimenti giuridici che discendono da ciascuna tipologia di trattamento.
Le prime due (profilazione “pura” e processo decisionale – non interamente – automatizzato) seguono i principi generali del trattamento, per cui il titolare dovrà assicurare che lo stesso avvenga in modo lecito e trasparente, per finalità specifiche e utilizzando solo i dati indispensabili per il tempo strettamente necessario al perseguimento delle finalità.
Presupposti di legittimità di tali trattamenti sono quelli previsti dall’art. 6, 1° comma del GDPR che riprende in toto la tradizione della direttiva 95/46/CE: consenso, esecuzione contrattuale, obbligo di legge, salvaguardia di interessi vitali, pubblico interesse e legittimo interesse del titolare sono le condizioni che devono, alternativamente, ricorrere affinché il trattamento possa essere effettuato.
Come per ogni trattamento, il titolare che esegue attività di profilazione ovvero adotta processi decisionali basati sulla profilazione è tenuto a garantire l’esercizio dei diritti degli interessati, a partire dal diritto ad essere correttamente informati circa la natura, la modalità e i mezzi del trattamento. Occorrerà poi assicurare il diritto di accesso, di rettifica, di cancellazione dei dati, nonché il diritto di opposizione al trattamento.
A differenza delle tipologie di trattamento appena esposte, vige un divieto generale in relazione al processo decisionale interamente automatizzato (cioè – giova ricordare – quello che si svolge senza il contributo umano), qualora da quest’ultimo derivino decisioni idonee a produrre effetti giuridici sull’interessato o, comunque, idonee a incidere in modo significativo sullo stesso. Ciò potrebbe accadere qualora le decisioni basate su un trattamento automatizzato abbiano un impatto rilevante sui diritti, sullo status degli interessati o, ad ogni modo, siano in grado di influenzare condizioni, comportamenti e scelte degli interessati stessi.
In questo caso, sono solo tre le eccezioni (tassative) in cui il titolare del trattamento può procedere all’assunzione di decisioni nel modo suindicato: quando sia necessario ai fini dell’esecuzione di un contratto, sia autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare, oppure si basi sul consenso esplicito dell’interessato.
In presenza di un processo decisionale interamente automatizzato, il titolare sarà tenuto a informare l’interessato specificamente della peculiarità del trattamento di dati posto in essere, della logica sottostante e delle eventuali conseguenze del trattamento. Inoltre, il novero dei diritti degli interessati sottoposti a tale particolare trattamento si estende, comprendendo il diritto di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione.
Infine, qualora il trattamento avvenga sulla base del consenso dell’interessato ovvero sia necessario per l’esecuzione di un contratto, occorre che il titolare adotti adeguate misure e procedure che consentano di correggere eventuali errori nella raccolta dei dati o nell’adozione delle decisioni automatizzate. Tali errori potrebbero infatti ledere gravemente il soggetto, qualora sfocino in distorsioni della realtà che portino ad una errata categorizzazione del soggetto ovvero in previsioni inesatte che diano luogo ad errate valutazioni. Insieme a tali misure, il titolare è tenuto ad effettuare periodici assessment, controlli e audit al fine di assicurare l’accuratezza e la pertinenza dei processi decisionali automatizzati.
3) La valutazione d’impatto per tutti
I regimi differenziati appena esposti non valgono invece in relazione alla valutazione d’impatto, ossia l’analisi preventiva dei flussi informativi volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.
L’art. 35, 3° comma, lett. a del GDPR prevede infatti che la valutazione d’impatto vada obbligatoriamente condotta nel caso in cui il trattamento consista in “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”. La previsione è ampia e non circoscrive l’operatività della norma al solo processo decisionale interamente automatizzato. Pertanto, la valutazione d’impatto andrà condotta in relazione a tutte le tipologie di trattamento in cui intervengono attività di profilazione.
* di Giusella Finocchiaro, Professore ordinario di Diritto privato e Diritto di Internet all’Università di Bologna, Avvocato e Laura Greco, Dottoressa in Giurisprudenza