Processi Decisionali Automatizzati e Profilazione
Secondo la definizione del legislatore europeo, per profilazione si intende una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona, tanto che all’interessato deve essere riconosciuto il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione.
Come ogni trattamento, anche la profilazione e altri simili trattamenti automatizzati aventi ad oggetto dati personali devono essere preceduti da idonea informativa. Al riguardo, all’art. 13 GDPR, in cui è indicato il contenuto minimo obbligatorio dell’informativa agli interessati, si specifica espressamente che, al fine di garantire la correttezza e la trasparenza del trattamento, l’interessato deve essere informato della eventuale sottoposizione dei suoi dati personali a profilazione o ad altro processo decisionale automatizzato, fornendo informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze previste di tale trattamento per l’interessato.
Il motivo della particolare attenzione prestata dal legislatore europeo ai trattamenti automatizzati e alla profilazione appare evidente se si pensa che essi possono avere ad oggetto analisi comportamentali e valutazioni attinenti a aspetti personali riguardanti l’interessato, idonei a produrre effetti giuridici nei suoi confronti o a incidere in modo analogo significativamente sulla sua persona, come ad esempio il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.
Ogni interessato deve, perciò, essere preventivamente informato circa la logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, sulle possibili conseguenze di tale trattamento.
Nonostante le descritte criticità che emergono di fronte a trattamenti automatizzati e profilazione, il legislatore europeo sostiene che debba in ogni caso essere consentito al titolare del trattamento ricorrere a tali strumenti, in quanto particolarmente utili per determinate situazioni meritevoli di tutela, come ad esempio il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito.
Al fine di mitigare le dette criticità, il legislatore europeo impone al titolare del trattamento di utilizzare procedure matematiche o statistiche appropriate per la profilazione, adottare misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti.
A conferma di tale posizione, il legislatore europeo impone ulteriori limiti al trattamento che utilizzi un processo decisionale automatizzato e la profilazione qualora abbia ad oggetto categorie particolari di dati (dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).
È sempre vietato il trattamento che utilizzi un processo decisionale automatizzato e la profilazione quanto riguardi un minore.
Per approfondimenti:
normativa privacy> Il diritto di essere messo a conoscenza di trattamenti basati su processi decisionali automatizzati (art. 22 GDPR)