NEWS

Big Data, il problema della profilazione e della dispersione dei dati personali

Il termine big data ("grandi masse di dati" in inglese), o megadati, indica genericamente una raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l'estrazione di valore o conoscenza. Il termine è utilizzato in riferimento alla capacità di analizzare ovvero estrapolare e mettere in relazione un'enorme mole di dati eterogenei, strutturati e non strutturati, allo scopo di scoprire i legami tra fenomeni diversi (ad esempio correlazioni) e prevedere quelli futuri.


Nel caso dei big data il contributo dell’intelligenza artificiale si colloca nella cd. estrazione di conoscenza che è una tecnica che consente di filtrare, navigando nella rete, solo le informazioni pertinenti ad un dato settore di interesse (ad esempio solo le informazioni finanziarie); gli strumenti si basano su due tipici paradigmi di I.A.: i nuclei concettuali (conceptual cluster) ed i parser del linguaggio naturale.

Una tecnica più raffinata di I.A. da applicare sempre in tale settore è il data mining.

Con riferimento all’identità digitale, più in particolare si parla di digital footprint, termine che viene comunemente utilizzato per indicare le tracce di dati che vengono disperse nella rete a seguito di determinate interazioni avvenute all’interno dell’ambiente digitale, questi dati contengono usualmente informazioni riguardanti le diverse interazioni che un soggetto può eseguire in un contesto digitale. Questi dati ed informazioni possono concorrere nel formare un’ identità digitale.

A tal fine è possibile individuare almeno due tipi di informazioni che possono essere reperite on-line e riguardanti un soggetto determinato, un primo tipo, che potremmo definire di informazioni primarie e riguardanti i caratteri personalissimi dell’individuo, ed altri tipi di informazioni secondarie, riguardanti le abitudini sociali ed i gusti commerciali dell’utente interessato, questi due tipi di informazioni, elaborate tra loro, formano il cd. profilo-utente.

Nella pratica il problema della profilazione e della dispersione dei dati personali, si manifesta in modo particolare nei momenti della navigazione in internet mediante browser (si pensi ai cookies) e nell’utilizzo delle più comuni piattaforme di social networking come strumenti relazionali e di comunicazione.

A tal fine vengono sempre più utilizzate anche tecniche di reperimento di informazioni utili al ciclo di intelligence tramite il monitoraggio e l’analisi dei contenuti scambiati attraverso i Social Media come la SOCial Media INTelligence (SOCMINT).

L’obiettivo principale della profilazione è la pubblicità comportamentale, che pensata e cresciuta nel mondo delle comunicazioni informatiche, prevede il tracciamento delle informazioni rilasciate dagli utenti durante la navigazione in internet, al fine di creare segmenti pubblicitari ad personam, modellati sugli interessi dell’utente considerato.

Naturalmente il ricorso a processi decisionali automatizzati, compresa la profilazione automatizzata, si sta vieppiù diffondendo in diversi settori, sia privati che pubblici, perché il progresso tecnologico ha reso questi trattamenti maggiormente efficienti ed economici.

A riguardo, tuttavia, il GDPR ravvisa possibili rischi significativi per i diritti e le libertà degli individui riconnessi a:

- la tendenziale opacità dei processi e meccanismi automatizzati che porta spesso l’individuo, oggetto di profilazione, a non esserne a conoscenza;
- la creazione , da parte del titolare, di dati nuovi, aggiuntivi rispetto agli originali che potrebbero “inscatolare” l’interessato in una categoria a cui non si riconosce condizionando così le sue scelte e, in alcuni casi, portando anche a forme di discriminazione.

L’art. 22, par. 1 stabilisce che:” l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Per il Gruppo dei Garanti, pertanto, l’art. 22, par. 1 istituisce un divieto per quel processo decisionale individuale completamente automatizzato, compresa la profilazione, che abbia un effetto legale o analogo sull’interessato.

Per “decisione basata unicamente sul trattamento automatizzato” si deve intendere una decisione presa senza il coinvolgimento di un essere umano che possa influenzare ed eventualmente cambiare il risultato attraverso la sua autorità o competenza.

Perché sia riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato è necessario che tale decisione “produca effetti giuridici o incida in modo analogo significativamente sulla sua persona”.

Il riferimento agli “effetti giuridici” concerne, ovviamente, l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo (ad es. penalizzando il diritto di associazione, di voto, di libertà negoziale, di libera circolazione eccetera). Oltre a questo la norma apre anche alle circostanze che “in modo analogo” possono potenzialmente e significativamente influenzare i comportamenti e le scelte degli individui interessati.

L’art. 22 al par. 2 prevede tre eccezioni, di carattere molto residuale, al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo:

- quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- quando la decisione si basa sul consenso esplicito dell’interessato.

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Limitare il diritto all’oblio è un rischio
Next Difendere la web reputation: a regnare è il far west

Privacy Day Forum, dibattito e spunti: lo speciale di TV9

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy