I processi decisionali automatizzati e la profilazione

Nel corso degli ultimi anni, il progresso tecnologico e la diffusa disponibilità, soprattutto sul web, di grandi quantità di dati personali, hanno portato ad un utilizzo massiccio, in un numero sempre più crescente di settori, pubblici o privati, di processi finalizzati all’analisi in chiave predittiva dei comportamenti e degli interessi degli individui ed all’assunzione di decisioni automatizzate fondate proprio sui profili comportamentali elaborati.

Non vi è dubbio che la profilazione ed il processo decisionale automatizzato offrano numerosi vantaggi agli individui ed alle organizzazioni.

Un processo decisionale automatizzato garantisce infatti una maggiore coerenza ed equità riducendo il rischio di errori umani, discriminazioni e abusi di potere, oltre che consentire l’assunzione di decisioni in tempi più rapidi.

Parimenti, la profilazione, volta a suddividere gli interessati in gruppi omogenei in base ai loro comportamenti, propensioni al consumo, interessi ecc., ha numerosi applicazioni commerciali in quanto consente alle imprese di adattare sempre meglio servizi e prodotti alle esigenze dei propri clienti e di fornire una pubblicità personalizzata maggiormente pervasiva rispetto a quella generalizzata.

Tali strumenti, tuttavia, possono, al tempo stesso, determinare rischi significativi per i diritti e le libertà degli individui, soprattutto quando, nel perpetuare stereotipi esistenti o nell’elaborare previsioni inesatte, portano a segregazione sociale e a discriminazioni ingiustificate, minando ad esempio la libertà di scelta di un individuo e negandogli l’accesso a determinati beni o servizi.

Consapevole dei suddetti rischi, già il D.Lgs. n. 196/2003 (Codice della Privacy) si è occupato di tali processi stabilendo limiti e tutele adeguate per gli interessati al trattamento dei dati.

Così, l’art. 14, comma 1, prevede il divieto assoluto di adottare atti e provvedimenti giudiziari o amministrativi implicanti una valutazione del comportamento umano svolta unicamente in base ad un trattamento automatizzato di dati personali finalizzati a definire il profilo o la personalità dell’interessato.

Mentre il comma 2 del medesimo articolo, consente all’interessato di opporsi ad ogni altra determinazione assunta sempre in base ad un processo di profiling, salvo che questa sia stata adottata in occasione della conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie previste da Codice o da un provvedimento dell’Autorità Garante.

Il successivo art. 37, comma 1 lettera d), impone invece al titolare di notificare all’Autorità Garante i trattamenti di dati svolti con l’ausilio di strumenti elettronici, per finalità di profilazione e di analisi delle abitudini o delle scelte di consumo degli individui.

Sempre sull’argomento, particolare importanza rivestono poi le Linee-guida del Garante in materia di profilazione on line da parte dei fornitori di servizi accessibili al pubblico attraverso reti di comunicazione elettronica, pubblicate sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015.

In questo documento, l’Autorità, tra l’altro, pone l’accento sulla necessità che, tanto gli utenti registrati con un account personale quanto quelli non autenticati, ricevano l’informativa di cui all’art. 13 del Codice, secondo le modalità indicate nelle Linee-Guida stesse, prestino il consenso preventivo al trattamento dei dati per finalità di profilazione on line e sia assicurato loro il diritto di opposizione ai sensi dell’art. 7 del Codice.

Il Regolamento Ue 2016/679 sulla Privacy, che diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018, in punto di garanzie per gli interessati fa, tuttavia, ancor meglio del Codice vigente, ampliando lo spettro della tutela e prevedendo specificamente strumenti più mirati per la protezione degli individui.

Se infatti il Codice Privacy, all’art. 14, come sopra osservato, non consente l’assunzione di provvedimenti quando questi sono unicamente basati sulla profilazione svolta con mezzi automatizzati, l’art. 22 del GDPR riconosce espressamente alla persona interessata dal trattamento il diritto di non essere sottoposto ad una decisione fondata, non solo, su di un processo automatizzato di profiling, bensì, più in generale, su di un trattamento automatizzato, qualunque esso sia.

L’art. 22, par. 1 del GDPR recita: “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”

Profilazione e processo decisionale automatizzato sono quindi concetti diversi e soltanto, in alcuni casi, sovrapponibili.

L’art. 4, par. 4, del GDPR definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Secondo questa definizione, la profilazione deve essere una forma automatizzata di elaborazione, deve riguardare dati personali, infine, deve avere come obiettivo quello di analizzare, e soprattutto, elaborare previsioni sugli aspetti personali di una persona fisica.

Per realizzare tale scopo, la profilazione procede innanzitutto alla raccolta dei dati, poi, alla loro analisi automatizzata allo scopo di identificare correlazioni, infine, applica i modelli comportamentali elaborati ad un individuo per identificarne le caratteristiche, attuali o future.

Così facendo, ogni individuo, i cui dati sono stati trattati secondo tale metodologia, sarà inserito in una determinata categoria, la quale, al bisogno, risulterà utile per formulare previsioni su di lui, ad esempio sulla sua capacità di eseguire una determinata attività, sui suoi comportamenti probabili, sui suoi interessi ecc.

Nella pratica, comunque, la profilazione può essere applicata sia ad un processo in cui la decisione finale sarà sempre assunta da una persona sia ad un processo decisionale esclusivamente automatizzato.

Ciò chiarito, soltanto però i processi decisionali esclusivamente automatizzati saranno interessati dalle disposizioni contenute nell’art. 22 del GDPR.

Quanto alla nozione di processo decisionale automatizzato, questo può essere invece inteso come lo strumento che consente all’operatore di assumere decisioni con mezzi tecnologici senza l’intervento o il coinvolgimento umano.

Le decisioni “automatizzate” possono basarsi sui dati forniti direttamente dalle persone interessate (attraverso ad esempio un questionario), oppure ottenuti mediante l’osservazione delle persone (come i dati sulla posizione raccolti tramite un’app), o, ancora, sui dati ricavati da un “profilo” dell’individuo in precedenza creato (ad esempio il credit scoring).

Ne deriva che le decisioni automatizzate possono essere prese anche senza ricorrere ad una tecnica di profilazione.

Definiti i concetti di profilazione e di processo decisionale automatizzato, si rileva come il Regolamento abbia introdotto specifiche disposizioni per garantire che tali tecniche di trattamento dei dati non siano usate in modo da avere un impatto negativo ed ingiustificato sui diritti degli individui.

Anzitutto, prevendo, come principio generale, all’art. 22, par. 1, il divieto di prendere decisioni completamente automatizzate che possano produrre effetti giuridici sugli interessati o, comunque, che, in modo analogo, possano incidere significativamente su di loro.

In altri termini, non solo il processo decisionale automatizzato non potrà produrre effetti sui diritti o sugli interessi legittimi delle persone ma, anche, non dovrà avere un impatto significativo sulle ulteriori e distinte aspettative degli individui; sotto quest’ultimo aspetto, si pensi ad esempio, come rileva lo stesso Considerando 71, all’interesse di una persona a vedersi riconoscere un prestito da una banca.

Ovviamente, affinché l’elaborazione dei dati possa influire in modo significativo su qualcuno, gli effetti dell’elaborazione non potranno mai essere di modesta entità.

Così, ad esempio, il rifiuto automatico di una domanda di credito finalizzata all’acquisto di un piccolo elettrodomestico non potrà mai essere parificato alla mancata concessione di un mutuo per l’acquisto della prima casa.

Il divieto generale di assumere decisioni esclusivamente automatizzate, così come enunciato al paragrafo 1 dell’art. 22 GDPR, trova tuttavia talune deroghe nel successivo paragrafo 2 ossia quando la decisione:

Degno di nota, in particolare, risulta essere l’utilizzo del termine “necessaria” al punto a) dell’articolo in parola, nel senso che se esistono modi meno invadenti rispetto al processo decisionale automatizzato per raggiungere il medesimo obiettivo, allora il titolare del trattamento non dovrebbe ricorrere, nell’elaborazione dei dati, a tale metodologia.

Nel caso poi la decisione automatizzata sia necessaria per la conclusione o l’esecuzione del contratto [art. 22, par. 2, lettera a)] o risulti consentita per effetto del consenso prestato dall’interessato [art. 22, par. 2, lettera c)], il titolare del trattamento dovrà attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra cui, almeno, il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione (art. 22, par. 3).

Analogamente, anche l’art. 22, par. 2, lettera b), richiede che la normativa dello Stato membro che autorizza il trattamento automatizzato includa l’adozione di misure adeguate a tutela degli interessati.

Decisioni automatizzate che coinvolgono i dati sensibili di cui all’art. 9, par. 1, GDPR saranno invece consentite unicamente in presenza del consenso esplicito dell’interessato [art. 9, par. 2, lettera a)] ovvero se giustificate da motivi di rilevante interesse pubblico secondo il diritto dell’Unione o dei singoli Stati membri [art. 9, par. 2, lettera b)], e purché siano sempre previste misure a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

Errori nella fase della raccolta dei dati o nel processo decisionale possono portare a distorsioni del sistema, a classificazioni o valutazioni errate con evidenti impatti negativi sui diritti e sulle libertà degli interessati.

Per scongiurare tale rischio, tra le misure che il titolare del trattamento dovrà porre in essere a protezione degli individui, ci dovranno essere senz’altro quelle che prevedono controlli ciclici sui processi automatizzati e sui dati raccolti.

Le disposizioni regolamentari in tema di processo decisionale automatizzato non si esauriscono però con l’art. 22 del GDPR.

Gli artt. 13, par. 2 lettera f), e 14, par. 2 lettera g), prescrivono infatti al titolare del trattamento di fornire agli interessati informazioni dettagliate sul processo decisionale automatizzato quando ricorrono le condizioni previste dall’art. 22, par. 1 e 4 (ossia in presenza di un trattamento che produce effetti giuridici o di impatto analogo sugli interessati o che riguarda dati sensibili in ragione del consenso prestato dall’individuo o del perseguimento di un interesse pubblico).

In particolare, il titolare, con una terminologia chiara, dovrà comunicare preliminarmente all’interessato l’esistenza di un processo decisionale automatizzato, spiegarne il significato ed i potenziali effetti, fornire informazioni specifiche relativamente alle logica delle scelte adottate.

Così ad esempio, in applicazione di tali precetti, una banca dovrebbe essere in grado di spiegare al proprio cliente i criteri posti alla base della decisione automatizzata assunta ed il c.d. punteggio di credito utilizzato per valutare se accogliere o meno una richiesta di prestito.

Allo scopo, potrà essere utile rendere note all’utente le fonti da cui il titolare ha attinto i dati, quali le informazioni fornite direttamente dall’interessato sul modulo di domanda, quelle ricavate dall’osservazione della sua condotta, inclusi eventuali casi di pagamenti arretrati, quelle fornite da terzi o tratte da pubblici registri.

Tutto ciò troverà infine compimento con la comunicazione delle informazioni di contatto del titolare all’interessato, al fine di consentirgli di poter esercitare pienamente quei diritti sanciti dall’art. 22, par. 3, GDPR (diritto di ottenere un intervento umano, di esprimere la propria opinione e di contestare la decisione).

Logica applicazione sempre di questo principio generale di trasparenza è il diritto, riconosciuto all’interessato dall’art. 15, par. 1, lettera h), di accedere, anche mediante estrazioni di copie, a tutte quelle informazioni relative al processo decisionale automatizzato che il titolare ha in precedenza fornito all’utente nell’informativa di cui ai citati artt. 13 e 14 GDPR.

A mente del successivo par. 4, l’esercizio di tale diritto non potrà però ledere i diritti e le libertà altrui, inclusi i segreti industriali o di proprietà intellettuale, sicché per decidere quale interesse debba prevalere sull’altro, l’operatore dovrà sempre procedere ad un bilanciamento tra il diritto di accesso ed alla trasparenza, da una parte, e quello alla riservatezza, dall’altra.

In un contesto operativo ove il titolare si avvale di processi decisionali automatizzati in grado di produrre effetti giuridici sugli individui o, in modo analogo, di incidere significativamente sulle loro legittime aspettative, un ruolo decisivo sarà assunto comunque dalla valutazione d’impatto sulla protezione dei dati (DPIA).

Non a caso, l’art. 35, par. 3., del GDPR impone al titolare di condurre tale analisi ogniqualvolta il trattamento implichi “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

La DPIA consentirà infatti al titolare di porre in essere tutte quelle misure di sicurezza idonee a garantire la sicurezza dei dati ed a scongiurare il rischio che simili trattamenti possano avere un impatto negativo sui diritti e sulle libertà degli interessati.

Si noti, tuttavia, come il Regolamento, quasi a voler rimarcare ad un livello più generale ed esteso l’estrema importanza di tale strumento, con l’art. 35, par. 3, faccia riferimento a valutazioni anche solo “basate” su di un trattamento automatizzato, compresa la profilazione, anziché a valutazioni “esclusivamente” automatizzate.

Conseguentemente, l’obbligo di condurre una DPIA, ai sensi dell’art. 35 GDPR, scatterà sia in caso di processo decisionale, con effetti giuridici o analoghi sugli individui, non interamente automatizzato, sia in caso di processo decisionale esclusivamente automatizzato così come previsto dall’art. 22, par. 1, GDPR.

Una volta richiamate le disposizioni del Regolamento dedicate nello specifico alla profilazione ed al processo decisionale automatizzato, è appena il caso di osservare come i principi generali sulla protezione dei dati sanciti dal Regolamento, al pari di ogni altro trattamento, dovranno trovare applicazione anche alle tipologie di trattamento attualmente in esame.

Si pensi, in prima battuta, all’art. 5 il quale fissa in via generale i requisiti che il trattamento deve necessariamente possedere: correttezza, trasparenza, pertinenza, esattezza, integrità ecc.

Con tutta evidenza anche il processo decisionale automatizzato dovrà quindi uniformarsi a questi principi ed evitare, ad esempio, che dati originariamente raccolti per un predeterminato scopo siano poi utilizzati per un’altra finalità incompatibile con quella iniziale; oppure che, per la mancanza di regolari controlli da parte del titolare, i dati acquisiti per la profilazione, con il trascorrere del tempo, non sia più attuali o accurati.

Non sempre poi la grande quantità di dati raccolti per la costruzioni di profili e la loro conservazione per un lungo periodo di tempo da parte del titolare potrà conciliarsi con i principi di minimizzazione dei dati e di limitazione nel tempo della conservazione, sanciti, rispettivamente, all’art. 5, par. 1, lettere c) ed e).

I trattamenti, che richiedo l’applicazione di processi automatizzati o di profiling, dovranno comunque essere sempre “leciti” in conformità all’art. 6 GDPR.

Simili processi saranno pertanto consentiti in presenza di un consenso – informato – espresso dall’interessato [(art. 1, par. 6, lettera a)]; consenso, tuttavia, che, a stretto rigore, potrà non essere sufficiente a giustificare un trattamento, ancora più se caratterizzato da profilazione, in presenza di un forte squilibrio di potere tra le parti, come in un rapporto datore di lavoro/dipendente.

Al contrario, dovranno ritenersi leciti quei trattamenti automatizzati necessari per adempiere ad un obbligo di legge [art. 6, par. 1, lettera c)], quale la prevenzione di frodi o di riciclaggio di denaro, ovvero per proteggere interessi vitali dell’interessato o di terzi [art. 6, par. 1, lettera d)]; si pensi per esempio alla profilazione volta a sviluppare modelli per la prevenzione di malattie contagiose.

Per valutare invece se un processo decisionale automatizzato sia lecito, in quanto necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di un terzo [art. 6, par. 1, lettera f)], bisognerà procedere ad un bilanciamento degli interessi in gioco.

Se quindi, dopo aver considerato il grado di completezza del profilo, gli effetti della profilazione sull’individuo, le misure di sicurezza volte a garantire equità nella decisione finale, l’impatto del trattamento sui diritti e le libertà fondamentali dell’interessato risulterà superiore al beneficio che il titolare o il terzo può trarre da trattamento, allora questo non sarà ammesso.

I modelli comportamentali e le previsioni elaborate dai processi di profiling, per loro stessa natura, sono caratterizzati da un certo grado di incertezza.

Per questa ragione e considerato altresì l’elevato grado di incidenza che tali trattamenti possono avere sugli individui, dovrà essere sempre riconosciuto loro il diritto alla rettifica / integrazione, alla cancellazione o alla restrizione dei dati, nei termini stabiliti dagli artt. 16, 17 e 18 GDPR.

E tali facoltà dovranno riguardare sia i dati di input (quelli utilizzati per creare il profilo) sia i dati di output (ossia il profilo stesso o il “punteggio” assegnato alla persona).

Con riferimento, infine, al diritto di opposizione al trattamento attribuito all’interessato dall’art. 21 GDPR, questo, per il suo effettivo esercizio, dovrà anzitutto essere oggetto di una chiara e separata comunicazione da parte del titolare (art. 21, par. 4).

Tale diritto poi, per effetto di un espresso richiamo della norma, sarà sempre riconosciuto in caso di trattamenti, anche caratterizzati da profilazione, eseguiti ai sensi dell’art. 6, par. 1, lettere e) ed f).

Manifestata dunque da parte dell’interessato la propria volontà di opporsi al trattamento in corso, il titolare dovrà interrompere il trattamento, a meno che dimostri l’esistenza di motivi legittimi cogenti, superiori ai diritti ed alle libertà dell’individuo, che giustifichino la prosecuzione del trattamento.

Quest’opera di bilanciamento degli interessi contrapposti non sarà invece richiesta in caso di profilazione dettata da ragioni di marketing diretto; in siffatto caso, l’art. 21, par. 2, GDPR attribuisce all’interessato un diritto incondizionato di opposizione ed il titolare non potrà che interrompere il trattamento senza possibilità di replica.
Fonte: Nenzioni Antonio – Quotidiano giuridico