Guidelines on Automated individual decision making and Profiling for the purposes of Regulation 2016/679 - 17/EN WP 251

Il 18 ottobre, il gruppo di lavoro dell'articolo 29 ha pubblicato la bozza di Linee Guida sulla profilazione e processo decisionale automatizzato.

La profilazione e i processi di decisione automatizzata sono strumenti sempre più utilizzati sul web. Settori quali banca&finanza, assistenza sanitaria, tassazione, assicurazione, e soprattutto le attività di marketing e pubblicità, sempre più spesso si basano sull’utilizzo di sistemi web automatizzati.

Il Regolamento 2016/679, General Data Protection Regulation (di seguito GDPR) introduce una specifica disciplina per queste attività. In particolare, definisce come profilazione, articolo 4 comma 4, “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;”

La profilazione è quindi un tipo di trattamento automatizzato di dati personali.

L’articolo 22 poi disciplina il caso di processo decisionale automatizzato, compresa la profilazione, ai sensi del quale:

“1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;

c) si basi sul consenso esplicito dell'interessato.

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.”

Un articolo che si fatica a calare nei casi pratici delle aziende, anche per tale ragione il Gruppo di Lavoro articolo 29 nelle Linee Guida cerca di fare chiarezza dando un’interessante casistica di riferimento.

Questi gli elementi principali delle Linee Guida.

  • Casi di decisioni automatizzate

Il gruppo di lavoro dell'articolo 29 riconosce che esistono tre modi in cui il profilo può essere utilizzato in pratica:

i) la profilazione generale (definita all'articolo 4, paragrafo 4

ii) il processo decisionale basato sul profilo;

iii) il processo decisionale esclusivamente automatizzato.

Le decisioni automatizzate, quindi, possono essere effettuate con o senza profilo, che a sua volta può avvenire senza prendere decisioni automatiche. Solo nel caso in cui la profilazione sia basata su un’elaborazione automatica si applica l'articolo 22 e in tutti gli altri casi di profilo generale si applicano i principi generali del GDPR:

  • Casi vietati

L'attività di elaborazione completamente automatizzata e che porta a decisioni che influenzano l'individuo in modo sufficientemente significativo è generalmente vietata.

Rientra nel divieto un processo decisionale individuale completamente automatizzato, compresa la profilazione che abbia un effetto giuridico, o similmente abbia un impatto significativo su un individuo. Una decisione si basa unicamente sull'elaborazione automatizzata se non vi è alcun coinvolgimento umano nel processo decisionale.

Tuttavia, gli elementi chiave sono le nozioni di effetti "legali" o effetti analoghi, che il GDPR non definisce. Secondo il Gruppo di Lavoro un effetto giuridico riguarda un'attività di elaborazione che abbia un impatto sui diritti legali di qualcuno, come la libertà di associarsi ad altri, di votare in un'elezione o di avviare azioni legali. Un effetto giuridico può anche essere qualcosa che riguarda lo status giuridico di una persona o i suoi diritti in base a un contratto.

Secondo il gruppo di lavoro articolo 29, in molti casi tipici, la pubblicità mirata non ha un effetto significativo sugli individui; ad esempio, una pubblicità per un mainstream fashion outlet online basata su un semplice profilo demografico per le "donne nella regione di Bruxelles". Ma il gruppo di lavoro dell'articolo 29 ritiene che sia possibile che una pubblicità mirata possa avere un effetto significativo su un individuo a seconda delle sue caratteristiche specifiche e considerando i seguenti attributi:

  • l'intrusione del processo di profilazione;

  • le aspettative degli individui interessati;

  • il modo in cui viene pubblicata l'annuncio; o

  • le specifiche vulnerabilità dei soggetti interessati.

In pratica, questo può essere interpretato in modo che, il titolare del trattamento o comunque chi effettua la pubblicità dovrà auto valutare se l'elaborazione dei dati relativi alle attività di pubblicità online ha un effetto significativo su un individuo. In tale caso sarà proibita.

In sostanza il Gruppo di Lavoro sembra ribadire la “valutazione” che deve fare il titolare rispetto alle operazioni automatizzate che vuole realizzare.

  • Eccezioni al divieto

Le eccezioni di cui all’articolo 22 per giustificare l'elaborazione (contratto, consenso legislazione di uno stato membro) il Gruppo di lavoro precisa che:

  • la necessità del trattamento per l’esecuzione del contratto va interpretata in senso restrittivo: il titolare dovrà poi dimostrare che non ci sono metodi meno intrusivi della privacy rispetto alla profilazione;

  • il consenso deve essere esplicito, qualità non definita dal GDPR, ma secondo le Linee Guida il consenso deve essere confermato in modo specifico da una dichiarazione espressa, escludendo così i “fatti concludenti”.

Gli allegati alle Linee Guida, a partire da pagina 28, forniscono le raccomandazioni migliori pratiche basate sull'esperienza acquisita dagli Stati membri dell'UE.