Profilazione, decisione automatizzata e data mining: differenze sostanziali ed adempimenti necessari

di Chiara Benvenuto -

Per comprendere appieno la disciplina della profilazione, è necessario prendere le mosse dalle nozioni generali. A fronte della possibilità di elaborare una ingente quantità di dati impostando parametri differenti a seconda della finalità che si intende perseguire, occorre distinguere le ipotesi in cui troverà applicazione la disciplina del GDPR.

Introduzione

Il presente approfondimento si propone di ripercorrere gli aspetti salienti della disciplina della profilazione, le linee guida tracciate sul tema e le più recenti pronunce delle autorità, amministrative e giudiziarie, al fine di supportare i titolari del trattamento in occasione del ricorso a tale tecnica per la corretta elaborazione dei dati. In particolare, verranno esaminati i rischi connessi al ricorso alle decisioni unicamente automatizzate, come per esempio gli algoritmi, anche in termini reputazionali, per l’azienda che ne faccia uso e per gli interessati coinvolti.

Quali e quanti dati

Per comprendere appieno la disciplina della profilazione, è necessario prendere le mosse dalle nozioni generali.

Per data mining si intende l’insieme di tecniche e metodologie che hanno per oggetto l’estrazione di informazioni utili da grandi quantità di dati, attraverso metodi automatici o semi-automatici, e la successiva elaborazione delle stesse per diversi scopi.

Per focalizzare in che occasione troverà applicazione la disciplina della profilazione bisognerà tenere bene a mente la definizione di dato personale, ossia qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Le decisioni automatizzate “rilevanti”

La norma di riferimento richiama due tecniche di elaborazione dei dati, dal rapporto genus  species, la decisione unicamente automatizzata e la profilazione.

L’attenzione del legislatore si posa sullo scenario in cui possa escludersi l’intervento umano.

Le linee guida del Working Party 29 dell’ottobre 2017, emendate nel febbraio 2018, hanno chiarito che se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale tale decisione non sarà “basata unicamente” sul trattamento automatizzato.

Dovrà, in ogni caso, trattarsi di una decisione in grado di produrre effetti giuridici nei confronti dell’interessato o che incida in modo analogo significativamente sulla sua persona.

La profilazione

In tale ambito si inserisce l’operazione specifica della profilazione, da intendersi come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

In che modo è possibile porre in essere un trattamento di dati personali per finalità di profilazione?

Il “diritto di non essere sottoposto” si applica indipendentemente dal fatto che l’interessato intraprenda un’azione in merito al trattamento dei propri dati. A tale regola si affiancano alcune eccezioni. Si fa riferimento al caso in cui il trattamento:

  1. è necessario per la conclusione o l’esecuzione di un contratto;
  2. è autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  3. si basa sul consenso esplicito dell’interessato.

In linea di massima, quindi, la profilazione è consentita previo rilascio del consenso da parte dell’interessato.

Le ulteriori misure da adottare

Il legislatore impone al titolare l’adozione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato.

Tali misure comprendono:

  1. la previsione di un’informativa opportunamente dettagliata per l’interessato;
  2. la facoltà di ottenere l’intervento umano, che si traduce nella stessa possibilità di richiedere il riesame della decisione interamente automatizzata;
  3. il diritto di ottenere spiegazioni sulla decisione, quindi di opporsi alla stessa.

Scenari applicativi della profilazione: marketing diretto e non solo. Focus: le Guidelines del Comitato europeo per la protezione dei dati

17 novembre 2020

Il presente approfondimento, premessi brevi cenni sul concetto di profilazione e sulle caratteristiche peculiari di tale attività di trattamento, si propone di individuare gli scenari applicativi della profilazione, esemplificando in quali contesti il titolare del trattamento possa beneficiare del predetto sistema di elaborazione e raccolta dei dati personali e al ricorrere di quali condizioni.

Di Marta Cogode

Introduzione

I vantaggi della profilazione sono tangibili e si concretano nella segmentazione del mercato, nella personalizzazione dei prodotti e dei servizi offerti, nel miglioramento dell’efficienza dei processi produttivi.

Tuttavia, non possono essere sottaciuti i rischi correlati all’implementazione di processi aziendali che si avvalgano della profilazione oltre i limiti concessi dalla normativa vigente: si pensi esemplificativamente ai fenomeni discriminatori e di segregazione sociale e alla possibile limitazione della capacità di autodeterminarsi del singolo.

Per queste ragioni, il Regolamento UE 2016/679 per la protezione dei dati personali (di seguito “Regolamento” o “GDPR”) introduce disposizioni specifiche che sono volte a precisarne i limiti e a fornire gli opportuni strumenti di tutela per evitare che queste forme di trattamento dei dati personali possano essere utilizzati pregiudicando i diritti delle persone fisiche (di seguito intese anche come “interessati”).

Profilazione e marketing

Il Regolamento prevede che qualsiasi trattamento di profilazione sia lecito solo se necessario per la conclusione o l’esecuzione di un contratto o per il perseguimento di un legittimo interesse del titolare o, ancora, se basato sul consenso dell’interessato.

Focalizzandosi un momento sui rapporti tra profilazione e marketing appare evidente come il meccanismo del consenso sia un prerequisito essenziale perché l’attività di profilazione possa svolgersi lecitamente.

Tuttavia, come visto, anche il legittimo interesse può intendersi come idonea base giuridica su cui fondare il trattamento. Del resto, lo stesso Considerando 47 del Regolamento ha precisato che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Ad ogni modo, tale base giuridica non si applica automaticamente: al ricorrere di tali circostanze, infatti, sarà necessario procedere a una ponderazione caso per caso.

In ogni caso, occorre assolutamente rammentare che l’articolo 21, paragrafo 2, del regolamento riconosce all’interessato un diritto incondizionato ad opporsi al trattamento dei suoi dati personali per finalità di marketing direttocompresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Profilazione e marketing sui minori

Sebbene l’articolo 22 del Regolamento non impedisca al titolare del trattamento di prendere decisioni basate unicamente sul trattamento automatizzato in relazione ai minori, considerato il livello di vulnerabilità della categoria degli interessati in commento, sarebbe opportuno astenersi dal profilarli per finalità di marketing.

Social media targeting

Strettamente correlato al concetto di profilazione è il targeting, inteso come il processo che consente di individuare i segmenti obiettivo (c.d. target) verso i quali orientare il marketing.

L’EDPB ha fornito delle Linee guida, ancora sottoposte a consultazione pubblica, rivolte a chiunque effettui attività di targeting degli utenti dei social media, con particolare riguardo alle responsabilità dei targeters e dei social media providers e alla definizione dei ruoli dal punto di vista privacy.

Per ciò che in questo momento ci occupa, quando il targeting viene effettuato attraverso social media, la profilazione connessa potrebbe comportare la deduzione d’informazioni e dati personali ulteriori che l’interessato non ha attivamente divulgato.

Ci si chiede, allora, quali siano le responsabilità connesse e quali le condizioni di liceità del social media targeting.

Quanto al primo aspetto, al fine di definire i confini della responsabilità tra social media providers targeter, le Linee Guida ricordano che è possibile arrivare a definire una contitolarità quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento.

Quanto alle condizioni di liceità, invece, valgono le considerazioni introduttive al presente contributo. Pertanto, fermi i diritti degli interessati e gli obblighi d’informativa, le basi giuridiche che legittimano il trattamento al ricorrere di tali circostanze possono ridursi sostanzialmente a due: il consenso dell’interessato o il legittimo interesse del titolare.

Profilazione e pregiudizio alla reputazione

1 dicembre 2020

Il pregiudizio alla reputazione è espressamente annoverato tra i possibili danni conseguenti ad una violazione di dati personali dell’interessato, ai sensi del Considerando 85 del GDPR. Un caso emblematico può verificarsi in ipotesi di pubblicazione di dati personali trattati per finalità di profilazione.

Di Ginevra Proia

Ipotesi di violazione di dati personali

La definizione della profilazione fornita dal GDPR si può scomporre in tre elementi, che concorrono ad individuare tale operazione quando:

  1. il trattamento è svolto in modo automatizzato;
  2. l’attività ha per oggetto dati personali, cioè informazioni relative a persone fisiche identificate o identificabili anche indirettamente;
  3. il fine è dato dalla valutazione di aspetti personali dell’interessato, eventualmente con l’obiettivo di anticipare le sue decisioni.

In ipotesi di divulgazione di dati personali trattati per finalità di questo tipo, non è difficile immaginare che ne possa conseguire un danno anche alla reputazione degli utenti coinvolti.

Si pensi al caso in cui un utente si registri ad un portale di incontri per adulti consentendo il trattamento finalizzato alla profilazione di dati riguardanti ad esempio i propri gusti sessuali e la propria ubicazione geografica, ovvero acceda ad un sito rivolto ad aiutare le coppie ad avere figli consentendo il trattamento di dati relativi ad aspetti privati della propria vita di relazione.

Laddove i suddetti dati venissero quindi hackerati, ad esempio a seguito di un data breach, o in ogni caso divulgati e resi noti al pubblico o a soggetti non autorizzati non vi è dubbio che potrebbero configurarsi ipotesi di lesione alla reputazione degli utenti coinvolti.

Il regime di responsabilità civile

Il regime di responsabilità civile per danni conseguenti a trattamento illecito dei dati personali effettuato dal Titolare e/o dal Responsabile, è disciplinato dall’art. 82 del GDPR.

Ai sensi dell’art. 82 Regolamento Europeo 2016/679,  chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il riferimento al danno materiale o immateriale conferma che il risarcimento del danno non è limitato ai danni patrimoniali, ma comprende anche i danni non patrimoniali.

La responsabilità attualmente delineata dal nuovo GDPR opera una presunzione di responsabilità superabile solo assolvendo l’ardua prova liberatoria dell’aver posto in essere tutte le misure idonee ad evitare il danno: il titolare e il responsabile dovranno provare di aver predisposto tutte le misure idonee a prevenire il danno, conformemente al principio di accountability.

Occorre poi considerare il fatto che se verso il soggetto offeso vale il principio della solidarietà, nei rapporti interni andrà verificata la quota di responsabilità di ciascuno, da valutarsi diversamente, ad esempio in presenza di clausole contrattuali di manleva o di istruzioni più o meno specifiche al responsabile (art. 82, quinto comma).