Cosa fare quando qualcuno profila (davvero) i tuoi dati

MILANO - L’utilizzo delle tecniche e delle tecnologie di profilazione, che si sono via via evolute, sino a ricomprendere, ad esempio logiche algoritmiche predittive, permette l’effettuazione, allorché si disponga del giusto quantitativo di dati, di un’attività di marketing mirata (Behavioural Advertising), che ha una maggiore probabilità di successo. Non vi sto raccontando niente di nuovo: le vostre azioni sui social network e sul web sono registrate, come un trenino asettico di dati, utilizzato a piacimento dai colossi tecnologici. Così, quando avrete appena acquistato un nuovo vestito su Amazon, vi apparirà inesorabile, ai lati del vostro display, anche la pubblicità di nuovo paio di scarpe. Giusto per fare un esempio comune di profilazione utente. L’aspetto più rischioso è che, molto spesso, la profilazione comprende il trattamento di dati particolari, come quelli relativi allo stato di salute, che innalza in modo esponenziale i rischi di violare la privacy.

Il GDPR che entrerà in vigore il prossimo maggio 2018 interviene anche su quelle che sono le operazioni di profilazione e decisioni automatizzate relative al trattamento dati in quanto operazioni che possono influenzare i diritti e le libertà dei singoli in maniera rilevante. Il Data Protection Working Party, all’articolo 29, è intervenuto in tal senso rilasciando delle linee guida adottate il 3 ottobre 2017. Innanzitutto, è opportuno definire cosa il GDPR intende per profilazione e per decisione automatizzata:

- profilazione: è definita come qualsiasi processo automatizzato di trattamento dati che consiste nell’uso di dati personali per valutare certi aspetti dei singoli, in particolare per analizzare o prevedere le performance (ad es. lavoro, consumo, salute, ecc…);
- decisione automatizzata: si tratta di una decisione relativa al trattamento dati automatizzata, enza alcun intervento umano e che produce effetti legali o similari verso il singolo (ad es. intelligenza artificiale che decide la possibilità di concedere un mutuo senza possibilità di revisione dai dipendenti della banca).

Quindi, per stabilire se si è in presenza di profilazione «è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali». Quindi non deve tratattarsi di mero "tracciamento" dell'interessato che naviga online, ma di analisi per prendere decisioni che riguardano il soggetto oppure per analizzarne o prevederne le preferenze o i comportamenti.

«Non tutti i processi di profilazione sono decisioni automatizzate e viceversa, mentre entrambi gli aspetti possono coincidere in diversi casi -. ci spiega nel dettaglio Alessandro Basile di Legal DS, studio legale a Milano specializzato sulle tematiche privacy e investimenti in startup -. Il GDPR vieta qualunque processo effettuato mediante decisioni automatizzate, a meno che non sussistano delle particolari eccezioni, ovvero vi sia da dare esecuzione a un contratto, sia autorizzato da una specifica disposizione legislativa, vi sia il consenso da parte dell’interessato».

Con riferimento al consenso da parte dell’interessato è importante notare come non basta che vi sia un generico consenso, ma è fondamentale che l’interessato sia correttamente informato sulle modalità automatizzate di trattamento dati, quali siano gli effetti e quali dati vengano trattati. In aggiunta, egli deve essere messo al corrente della possibilità di esercitare i propri diritti così come stabiliti dal GDPR, e quindi la possibilità di opporsi al trattamento, ottenere la cancellazione dei dati, la rettifica e tutto ciò che viene previsto con il diritto alla portabilità dei dati.  «In ogni caso, il trattamento profilante e le decisioni automatizzate devono rispettare i principi relativi al trattamento dei dati personali quali, ad esempio, trasparenza, necessità del trattamento, accuratezza dei dati trattati», aggiunge Alessandro Basile.

Infine, vi è un obbligo di redigere il Data Protection Impact Assessment (DPIA) qualora, incluso il caso della profilazione, vi sia una sistematica valutazione di aspetti personali riguardanti i singoli basata su processi automatizzati e sulle quali decisioni si producono effetti legali, o similari, che influiscono sui singoli.