GDPR: cosa c’è da sapere sulla profilazione.

Manca ormai veramente poco all’entrata in vigore del GDPR (il Regolamento UE 2016/679) sulla protezione dei dati personali, che vedrà coinvolti tutti i paesi dell’Unione Europea. Diventa quindi indispensabile la conoscenza degli elementi essenziali che saranno alla base del Regolamento.

275
imprese digitali
adv

Manca ormai veramente poco all’entrata in vigore del GDPR (il Regolamento UE 2016/679) sulla protezione dei dati personali, che vedrà coinvolti tutti i paesi dell’Unione Europea. Diventa quindi indispensabile la conoscenza degli elementi essenziali che saranno alla base del Regolamento.

 

Ormai manca davvero poco al 25 maggio 2018, data in cui entrerà in vigore ufficialmente il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) in tutti gli Stati membri dell’Unione europea.

Intanto, lavoratori ed imprese stanno arrancando nel tentativo di adeguare in tempo le proprie policy e i propri assetti privacy su quanto legiferato sulle nuove disposizioni.

Un aspetto su cui il GDPR si sofferma in maniera specifica e di cui è necessario tener presente è la profilazione, “ossia il trattamento automatizzato dei dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica”.

È infatti, sempre più assiduo l’impiego di tecnologie (di Marketing automation) volte al targeting dei proprio clienti e fruitori, i quali strumenti hanno come obiettivo quello di individuare le abitudini, le preferenze e le particolarità degli utenti stessi. Questi dati vengono utilizzati con lo scopo di fornire prestazioni e beni su misura per la persona, quindi in linea con le esigenze di ogni singolo indivudo. Ma, il rischio è che qualche volta il trattamento dei suddetti dati sensibili potrebbe dar luogo ad effetti negativi per i soggetti che hanno inserito le proprie informazioni, con conseguenze che potrebbero intaccare il livello sociale e relazionale e che potrebbero, in alcuni casi, comportare addirittura l’esclusione o la discriminazione.

“ La particolarità di tale trattamento e il peso delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro dell’Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017) ”.

Le istruzioni fondamentali da rispettare per impostare le attività di profilazione rispettando in pieno la nuova normativa, possono essere riassunte in tre punti fondamentali:

a) Identificazione del trattamento posto in essere.

Innanzitutto, bisogna individuare in che contesto e per quale scopo avviene la profilazione. La legge, infatti, prevede tre situazioni in cui può essere compiuto il profiling: anzitutto, l’attività di profilazione pura, ovvero, la raccolta di dati riguardanti un soggetto (o un gruppo di persone) per compiere un’elaborazione volta a predirne i comportamenti futuri, cioè valutando gli interessi e le capacità. Questa attività, secondo il Regolamento, può costituire la base di un altro processo volto all’adozione automatica delle decisioni che verranno poi rivalutate da un soggetto investito di tale carica (si pensi, banalmente, alla circostanza in cui il dipendente di una banca ha il compito di valutare l’adeguatezza del prestito calcolato in modo automatico dal software sulla base alla situazione finanziaria del cliente che lo richiede). La terza possibilità prevista dal Regolamento prevede l’ipotesi di un processo decisionale impostato esclusivamente sul trattamento automatizzato dei dati, in cui, l’intervento umano non è previsto.

b) Una compliance differenziata.

Le prime due tipologie di profilazione sopra elencate seguono i principi generali del trattamento, per questo motivo il titolare deve assicurare l’utente che il processo sia svolto in maniera del tutto lecita e trasparente, quindi esclusivamente per finalità specifiche e adoperando solamente i dati ritenuti indispensabili per l’obiettivo in questione, i quali dati, verranno inoltre mantenuti esclusivamente per il tempo strettamente necessario all’adempimento della finalità di partenza.

Inoltre, il Regolamento legifera sul fatto che il titolare che esegue la profilazione debba essere tenuto a garantire i diritti degli interessati, a partire dall’ essere correttamente informati rispetto alla natura, alle modalità ed ai mezzi del trattamento. “Occorrerà poi assicurare il diritto di accesso, di rettifica, di cancellazione dei dati, nonché il diritto di opposizione al trattamento”.

Riguardo, invece, al terzo processo, quello interamente automatizzato (cioè quello che si svolge senza il contributo dell’uomo), in alcuni casi, da questo, possono derivare decisioni che possono comportare effetti giuridici sull’interessato o, comunque, che possono influire negativamente sullo stesso. “Ciò potrebbe accadere qualora le decisioni basate su un trattamento automatizzato abbiano un impatto rilevante sui diritti, sullo status degli interessati o, ad ogni modo, siano in grado di influenzare condizioni, comportamenti e scelte degli interessati stessi”.

c) La valutazione d’impatto per tutti.

L’art. 35, 3° comma, lett. a del GDPR impone che la valutazione d’impatto sia necessariamente condotta nel caso in cui il trattamento consista in “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”. La previsione essendo molto ampia, non delimita affatto l’operatività della norma solamente al terzo processo decisionale, cioè quello interamente automatizzato. Concludendo, quindi, la valutazione d’impatto riguarda necessariamente tutte e tre le tipologie del trattamento di profilazione.