L'APPROFONDIMENTO

La profilazione: quadro normativo e rischi correlati, per una corretta classificazione

È di fondamentale importanza classificare correttamente un trattamento di dati personali come può essere la profilazione e la relativa individuazione delle sfaccettature che lo caratterizzano caso per caso. Solo così è possibile definire l’esatto quadro normativo e mitigare i rischi correlati al trattamento stesso

15 Gen 2020
S
Paolo Spagna

Dottore magistrale in giurisprudenza abilitato alla professione forense, Data Protection Officer, Consulente in materia di protezione dei dati personali presso Opera Professioni Srl


Un trattamento imprudente delle informazioni riguardanti una persona fisica, sempre più frequentemente, può comportare dei rischi per i diritti e per le libertà della stessa: può risultare chiarificatore, in tal senso, un piccolo approfondimento relativo alla profilazione e ai rischi alla stessa connaturati.

La profilazione: quadro normativo e rischi

Tale trattamento di dati personali viene definito dal GDPR all’art. 4 punto 4 come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

L’utilizzo della profilazione ha registrato un netto incremento in settori quali quello bancario, della finanza, delle assicurazioni, dell’assistenza sanitaria e del marketing, complice un sempre più significativo utilizzo di algoritmi decisionali, dell’intelligenza artificiale e in generale dei progressi tecnologici in materia di analisi dei megadati.

Sebbene tale trattamento possa comportare significativi vantaggi da parte di chi lo pone in essere, (basti pensare ai risparmi di risorse, al miglioramento dell’efficienza e alla riduzione delle tempistiche nella gestione delle incombenze), d’altro canto arginare l’intervento umano oppure escluderlo completamente a vantaggio di processi totalmente automatizzati comporta dei rischi talvolta anche elevati nei confronti degli interessati.

Si pensi alla perpetuazione di stereotipi, alle possibili discriminazioni ingiustificate, ovvero alla preclusione dell’accesso a determinati tipi di servizi causata da previsioni imprecise. Sono eventualità non da poco se portate dalla teoria alla pratica: ad esempio, l’analisi delle richieste di prestito realizzate con procedure puramente automatizzate.

Tali eventualità hanno spinto il legislatore a porre in essere delle misure cautelative, di modo da arginare eventuali impatti ingiustificati sui diritti e le libertà delle persone fisiche.

Un esempio è rintracciabile esaminando il dettame dell’art. 22 par. 1 del GDPR laddove se da un lato si definisce il diritto dell’interessato a non essere sottoposto a decisioni basate completamente su trattamenti automatizzati, compresa la profilazione, dall’altro si evidenzia un divieto generale ad avvalersi di tali trattamenti, nel caso in cui comportino degli effetti giuridici nei riguardi dell’interessato ovvero incidano significativamente sulla sua persona.

Il tenore del suddetto paragrafo viene in qualche maniera smussato dalle disposizioni immediatamente successive che vedono definite delle eccezioni in grado di conferire liceità a tali trattamenti, ad esempio laddove la base giuridica sia il consenso dell’interessato.

Vengono altresì definiti specifici obblighi anche per quanto attiene alle informazioni da fornire all’interessato in costanza di trattamenti automatizzati. Indicazioni in tal senso sono rintracciabili sia nell’art. 13 par. 2 lett. f del GDPR sia nell’articolo successivo al paragrafo 2 lett. g, dove in buona sostanza si specifica che oltre a significare all’interessato l’esistenza di un processo decisionale automatizzato, compresa la profilazione, si debbano fornire allo stesso “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

Tale indicazione vale quantomeno nei casi in cui il trattamento comporti decisioni conseguenti a processi puramente automatizzati ovvero le stesse siano basate su categorie particolari di dati personali.

La prudenza del legislatore nell’approcciarsi alla profilazione è ravvisabile anche nella definizione di ulteriori adempimenti, tra i quali vale la pena di citare la necessità di effettuare una valutazione d’impatto anteriormente all’inizio del trattamento.

Appare opportuno precisare come tale incombenza nel GDPR sia presentata come un’eventualità da rendere concreta a determinate condizioni[1] mentre, esaminando l’allegato 1 del provvedimento n. 467 avente data 11 ottobre 2018 emanato dall’Autorità Garante per la protezione dei dati personali italiana si evince come l’esecuzione di una valutazione d’impatto debba considerarsi una vera a e propria prassi in costanza di una profilazione.

L’importanza di una corretta identificazione del trattamento

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Alla luce di quanto specificato appare di tutta evidenza come tali tipologie di trattamento meritino un’attenzione al dettaglio non indifferente e quanto sia di fondamentale importanza la fase di consulenza e analisi dei trattamenti posti in essere dal titolare di modo da identificare correttamente un trattamento automatizzato (totalmente o parzialmente) compresa la profilazione.

Per rendere più agevole tale analisi giova richiamare la raccomandazione CM/rec (2010) 13 del Consiglio d’Europa secondo la quale la profilazione può comporsi di tre fasi:

  • raccolta dei dati;
  • analisi automatizzata volta a individuare correlazioni;
  • applicazione delle correlazioni ottenute a una persona fisica volte a definire o prevedere caratteristiche di comportamento presenti o future.

Il GDPR pur ispirandosi alla suddetta raccomandazione non ne acquisisce in toto i concetti; infatti, include nella profilazione anche i trattamenti in cui non è presente un processo deduttivo.

Secondo quanto stabilito dal Regolamento[2] e in linea con quanto confermato dal Working party article 29[3] la profilazione è costituita da tre elementi:

  • deve essere una forma di trattamento automatizzato;
  • deve essere effettuata su dati personali;
  • Il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona fisica.

Va chiarito quindi che l’elemento umano, affiancato a un processo automatizzato non esclude la profilazione, tuttavia la componente dell’automatismo pare elemento necessario.

È necessario altresì che il trattamento riguardi delle persone fisiche e i loro dati personali.

In ultimo, il termine “valutare” presente nell’art. 4 punto 4 del GDPR può essere inteso come propedeutico a stilare un giudizio nei confronti della persona, una valutazione vera e propria di alcuni suoi aspetti caratteristici magari per inserirlo in determinate categorie.

Da ciò si ricava che il trattamento volto a catalogare dei soggetti in base delle loro caratteristiche quali ad esempio il genere d’appartenenza o l’età anagrafica non comporta necessariamente una profilazione, il motivo è la mancanza dell’atto valutativo, di un qualche tipo di previsione o dell’atto di trarre conclusioni in merito a un determinato soggetto.

Quindi, al netto di queste riflessioni il Gruppo di lavoro articolo 29 per la protezione dei dati chiarisce che in generale, la profilazione consiste nella raccolta di informazioni su una persona (o un gruppo di persone) e nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito a:

  • capacità di eseguire un compito;
  • interessi, o
  • comportamento probabile.

È sulla base di quanto sopra esposto che un trattamento dovrebbe essere qualificato come profilazione o meno, con tutte le conseguenze del caso.

Risulta molto interessante la sfaccettatura deduttiva, o predittiva della profilazione, grazie alla quale, incrociando i dati di una persona fisica magari ottenuti da varie fonti, con i dati di persone statisticamente simili è possibile ottenere ulteriori informazioni sulla stessa, ovvero avere indicazioni statistiche su un suo comportamento futuro.

Questo risulta essere un ulteriore indizio nel processo identificativo della profilazione, infatti appare abbastanza immediato scindere dei dati derivati, desunti ovvero creati o meglio “individuati” grazie a un processo di profilazione rispetto ad altre informazioni magari ottenute direttamente dall’interessato.

Questo passaggio dovrebbe far riflettere sulle implicazioni etiche e sulle giuste e maggiori tutele individuate dal legislatore, un dato desunto, infatti è un dato la cui origine risulta difficilmente rintracciabile dall’interessato, soprattutto se non adeguatamente informato dal Titolare del trattamento e il cui utilizzo potrebbe comportare conseguenze anche imprevedibili nei confronti dell’interessato.

La profilazione: modalità d’uso

A questo punto nel processo identificativo del trattamento sarebbe bene cercare di individuare in quale modalità d’uso possa essere inquadrata la profilazione in analisi, questo per meglio definire a quali previsioni normative rifarsi per gestirla in maniera adeguata.

Sono identificabili tre modalità d’uso della profilazione:

  • la profilazione generale;
  • il processo decisionale basato sulla profilazione;
  • la decisione basata solo sul trattamento automatizzato dei dati personali, compresa la profilazione.

La modalità più spinosa, rientrante nell’ambito applicativo dell’art. 22 e maggiormente impegnativa dal punto di vista degli obblighi aggiuntivi da parte del titolare appare la terza.

Si ha un processo totalmente automatizzato ad esempio qualora sia un algoritmo a definire se accordare o meno un finanziamento a una persona fisica con trasmissione automatica dell’esito allo stesso, senza nessuna attività significativa svolta da un essere umano nell’intero processo decisionale.

Si avrebbe, invece, un processo decisionale basato sulla profilazione laddove il profilo prodotto con mezzi automatizzati fosse valutato da un essere umano e la decisione sull’esito della richiesta di prestito fosse presa dallo stesso.

È bene chiarire che il titolare non può eludere i dettami dell’art. 22 inscenando coinvolgimenti umani fittizi, il coinvolgimento umano dovrebbe riguardare soggetti dotati di un’autorità tale da poter influenzare o definire la decisione.

Allo stesso modo, il trattamento sarà da considerarsi comunque completamente automatizzato qualora il soggetto coinvolto applichi a persone fisiche dei profili creati automaticamente senza influenzare in nessun modo il risultato.

Conclusioni

Alla luce di quanto detto può ben definirsi come di fondamentale importanza la fase di studio di un trattamento come la profilazione e la corretta individuazione delle sfaccettature che lo caratterizzano nel caso specifico.

Questa fase rappresenta il punto di partenza che, con un effetto a cascata, porterà a definire le strategie normative e non, da utilizzare caso per caso e, come detto, le differenze non sono assolutamente di poco conto.

NOTE

  1. Cfr Regolamento UE 2016/679 art 35 par. 3 lett. a
  2. Cfr art. 4, punto 4 del GDPR
  3. Si vedano le “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679” del Working party article 29 adottate il 3 ottobre 2017 nella loro versione emendata in data 6 febbraio 2018.
DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5