NEWS

La profilazione a scopo commerciale e il processo decisionale automatizzato secondo il Gdpr

L’evoluzione tecnologica in generale e la crescita della intelligenza artificiale negli ultimi anni hanno reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche.

Marco Soffientini, Data Protection Officer di Federprivacy.

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy. E' docente al Corso specialistico "Il Privacy Officer nel settore della Videosorveglianza")

L‘ampia diffusione dei social network e degli e-commerce, consultabili in ogni momento attraverso device, sempre più performanti hanno trasformato internet in un bacino di informazioni e di dati personali, dal quale è possibile la determinazione, l’analisi e la previsione di aspetti della personalità, del comportamento, degli interessi e delle abitudini di una persona.

La profilazione è definita dal Regolamento UE 679/2016 (art.4.4. RGPD) come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Il processo decisionale esclusivamente automatizzato consiste nella capacità di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano. Esso ha una portata diversa da quella della profilazione, a cui può sovrapporsi parzialmente o da cui può derivare.

Esistono potenzialmente tre modalità d’uso della profilazione:

a) profilazione generale;
b) processo decisionale basato sulla profilazione;
c) decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1).

In merito all’ultimo punto, va anticipato che esiste un divieto generale relativamente a questo tipo di trattamento al fine di riflettere i potenziali rischi per i diritti e le libertà delle persone fisiche.

Precisa, infatti, l’articolo 22, paragrafo 1, che: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Sempre più spesso la profilazione degli utenti richiede una decisione automatizzata, ma è necessario rispettare il GDPR

Questa norma si riferisce a decisioni “basate unicamente” sul trattamento automatizzato. Ciò significa che non vi è alcun coinvolgimento umano nel processo decisionale.

Il termine “diritto” contenuto nella disposizione non significa che l’articolo 22, paragrafo 1, si applica soltanto se invocato attivamente dall’interessato, ma stabilisce un divieto generale nei confronti del processo decisionale basato unicamente sul trattamento automatizzato.

L’attenta applicazione dei principi base del regolamento europeo, come spiegano i Garanti Europei, nelle Linee Guida 03.10.2017 (WP 251 rev.1) ci consentono di ridurre i rischi inerenti il trattamento. Infatti, la profilazione commerciale può minare la libertà delle persone di scegliere, ad esempio, determinati prodotti o servizi o portare al diniego di servizi e beni.

Questi rischi possono ( e devono) essere gestiti attraverso la valutazione di impatto sulla protezione dei dati personali, in quanto strumento fondamentale di responsabilizzazione (accountability).

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Social spam: è legittimo alla luce del Gdpr?
Next Elettrodomestici intelligenti in ufficio, attenzione alla privacy

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy