La crescita esponenziale dei dati trattati dalle aziende rende spesso necessario l'uso di sistemi automatizzati per il loro trattamento, piuttosto ché con tecniche tradizionali, al fine di estrarre dati significativi e migliorare l'efficienza dei servizi.
Ad esempio un'azienda con queste teniche può classificare i propri clienti al fine di offrire beni e servizi personalizzati. A fronte di una maggiore utilità di servizi resi con strumenti automatizzati sussiste un maggiore rischio di determinare discriminazioni e perpetuare stereotipi già esistenti. Per questo motivo le nuove norme in materia hanno introdotto una serie di correttivi da applicare nel caso di uso di strumenti automatizzati e di tecniche di profilazione.
Un processo decisionale automatizzato si ha quando vengono prese decisioni impiegando mezzi tecnologici senza coinvolgimento umano. Non necessariamente è basato su profilazione, come la profilazione può non avvenire in base ad un processo decisionale automatizzato, anche se spesso le due cose coincidono.
Per profilazione, invece, si intende l'insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento (segmentazione). In ambito commerciale, la profilazione dell'utente è il mezzo che consente la fornitura di servizi personalizzati oppure l'invio di pubblicità comportamentale.
L'articolo 4 del nuovo Regolamento europeo definisce la profilazione come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica".
Il Considerando 24 del GDPR specifica ulteriormente che, per stabilire se si è in presenza di profilazione “è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.
In sintesi, si ha profilazione in presenza di 3 elementi:
- un trattamento automatizzato;
- eseguito su dati personali;
- con lo scopo di valutare aspetti personali di una persona fisica.
Per aversi profilazione, quindi, non basta il mero "tracciamento" dell'interessato che naviga online, o la classificazione dello stesso (ad esempio in base all'età al fine di avere una panoramica dei propri clienti) ma occorre si tratti di analisi per prendere decisioni che riguardano il soggetto oppure per analizzarne o prevederne le preferenze o i comportamenti. Cioé, si è in presenza di profilazione in relazione allo scopo dei dati raccolti. Ad esempio, l'applicazione di sanzioni per eccesso di velocità, erogate sulla base delle immagini raccolte dagli autovelox non comporta alcuna valutazione di aspetti personali, è un processo automatizzato ma non costituisce profilazione. Di contro una compagnia assicurativa che raccoglie dati da più fonti per decidere se offrire o meno una polizza ad un utente, fa profilazione. Analogamente una catena di supermercati che raccoglie il dato sulla religione professata al fine di inviare messaggi pubblicitari precisando che il cibo offerto è conforme ai dettati della religione, fa profilazione degli utenti.
Ovviamente è pacifico che la profilazione deve essere svolta utilizzando i soli dati strettamente necessari per la finalità indicata, in ossequio al principio di pertinenza e di proporzionalità.
Problematiche
L'attività di profilazione è considerata estremamente invasiva e può portare a danni ed abusi a carico degli utenti. La profilazione, infatti, viene utilizzata per fornire pubblicità personalizzata agli utenti, ma può anche portare a differenti offerte commerciali (price discrimination) a seconda della persona o della categoria nella quale essa è inclusa, con ciò determinando possibili forme di diseguaglianza sociale o discriminazioni verso le minoranze. Alcune categorie di persone, infatti, potrebbero non essere mai raggiunte da alcune offerte, portando a discriminazioni del tutto ingiustificate. I governi, invece, tendono ad utilizzare la profilazione per prevedere la possibilità che un soggetto sia portato a delinquere. Inoltre, gli algoritmi di profilazione non sono certamente perfetti, per questo motivo possono portare anche a errori.
Un ulteriore problema è dato dal fatto che gli algoritmi sono protetti quali segreti commerciali (trade secrets), in base alla direttiva Trade Secrets dell'Unione europea e altre norme in materia. In tal senso, quindi, anche i soggetti che utilizzano tali algoritmi, se non ne sono i programmatori, possono non conoscere affatto le logiche alla base degli stessi, e quindi comprendere gli effetti della loro applicazione. Ed ecco perché il regolamento europeo prevede un'apposito obbligo di informazione sulla logica alla base della profilazione.
Base giuridica
Il regolamento europeo sancisce un generale divieto di sottoporre un individuo a processi decisionali automatizzati compresa la profilazione. Ma l'articolo 22 del GDPR, paragrafo 1, chiarisce l'ambito di applicazione delle norme in materia, che è limitato alle sole ipotesi in cui il processo decisionale automatizzato:
- produce effetti giuridici;
- oppure incide in modo significativo sulla persona dell'utente, e la decisione è basata interamente (solely) sul trattamento automatizzato dei dati.
Possibili effetti legali del processo decisionale automatizzato possono essere: il diniego di attraversamento di una frontiera; l'adozione di misure di sicurezza; il diniego di forme di assistenza sociale; il rifiuto di un impiego; il rifiuto della concessione di un prestito.
Esistono delle eccezioni al divieto, per cui un interessato può essere sottoposto ad un processo decisionale automatizzato, compreso la profilazione, quando:
1) il trattamento è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e il titolare (la necessità deve essere interpretata in modo restrittivo, anche se i Garanti europei precisano che motivi di efficienza -cioè in questo modo si ottengono risultati più veloci, più efficaci, quindi anche a favore dell'individuo- sono ritenuti sufficienti per giustificare l'utilizzo di sistemi decisionali basati su profilazione, a condizione che non vi siano metodi meno intrusivi che raggiungano lo stesso risultato), ma tale eccezione non si applica in caso di trattamento di dati sanitari (quindi le compagnia assicurative dovranno fare conto sulle eccezioni di cui al n. 3);
2) il trattamento è autorizzato da una legge o regolamento, che prevede altresì misure idonee a tutelare i diritti dei soggetti interessati;
3) vi è esplicito consenso al trattamento (ricordiamo che il consenso alla profilazione deve essere distinto rispetto al consenso relativo ad altri trattamenti).
Nel primo e nel terzo caso, il titolare del trattamento deve attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato,
Secondo il WP29 (Linee guida in materia di processi automatizzati e profilazione, 2018) la profilazione può essere basata anche sui legittimi interessi del titolare del trattamento, alla stregua del marketing diretto. Tuttavia occorre sempre effettuare il bilanciamento degli interessi per valutare l'eventuale prevalenza di quelli del titolare. Le linee guida indicano alcuni elementi da valutare:
- il livello di dettaglio del profilo;
- la completezza del profilo (se il profilo descrive solo un piccolo aspetto della persona interessata, o fa un quadro più completo);
- l'impatto della profilazione (gli effetti sull'interessato); e
- le misure di sicurezza volte ad assicurare equità, non discriminazione e accuratezza nel processo di profilazione.
Se l'acquisizione dei dati avviene attraverso l'utilizzo di cookie, si applica la relativa normativa.
Diritto di opposizione e revisione
L'interessato ha il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato, tra cui la profilazione, che produce effetti giuridici che lo riguardano. In questi casi l'interessato può opporsi a tale elaborazione. In tal caso il titolare deve immediatamente interrompere il trattamento finché non dimostra all'interessato che il trattamento automatizzato e la profilazione non violano i suoi diritti e le sue libertà.
Inoltre, l'interessato può espressamente chiedere che ogni decisione automatizzata che lo riguardi sia condizionata da un intervento umano, di poter esprimere il proprio punto di vista e contestare la decisione, con adeguate motivazioni. In breve l'interessato ha il diritto di ricevere una giustificazione della decisione automatizzata. Il WP29 sottolinea che la supervisione umana della conclusione raggiunta dalla macchina deve essere significativa, altrimenti sarebbe solo un modo per aggirare il divieto (e deve essere documentata e dimostrata).
Il problema sta, però, nel fatto che i sistemi automatizzati oggi sono non solo sistemi estremamente complessi, ma i loro codici sono anche soggetti ad elevati livelli di segretezza, per cui appare piuttosto difficile che il titolare (il quale spesso non è altro che l'acquirente di uno strumento di analisi automatizzata) possa fornire una giustificazione adeguata alla decisione fornita dal sistema.
Diritto all'informazione
Il titolare del trattamento deve essere trasparente, cioè deve informare gli interessati dell'esistenza di una decisione basata sul trattamento di dati automatizzato comprendente profilazione (art. 22 GDPR e Considerando 71). Nell'informativa devono, quindi, essere esplicitate le modalità e le finalità della profilazione. Inoltre, deve essere chiarita la logica inerente il trattamento e le conseguenze previste per l'interessato a seguito di tale tipo di trattamento, intendendo in tal senso i criteri utilizzati per giungere alla decisione (senza necessariamente dover fornire una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell'algoritmo completo). Ovviamente questo può essere un problema nel momento in cui l'utilizzatore del processo decisionale non ha contezza di come funzioni davvero, avendolo acquistato da terzi. Spesso, infatti, il sistema è una cosiddetta black box.
Un'interpretazione contestuale del GDPR mostra che effettivamente il regolamento impone ai titolari del trattamento di dimostrare la conformità agli obblighi previsti (accountability), in particolare ai requisiti di liceità, correttezza e trasparenza. Per cui, fornire informazioni sul processo decisionale automatizzato e la logica soggiacente è solo una parte del problema. Il GDPR prevede che i titolari dimostrino che le correlazioni applicate nell'algoritmo siano imparziali, cioè non discriminatorie e ci sia una legittima giustificazione alla decisione automatizzata. Gli individui soggetti alla decisione automatizzata, infatti, hanno una pluralità di diritti, quali l'opposizione alla profilazione (articolo 21), la richiesta di cancellazione o la rettifica del loro profilo (articolo 17), la contestazione alle decisioni automatizzate (articolo 22, paragrafo 3).
Tale diritto, inoltre, va evidentemente inquadrato tra i diritti degli interessati, per cui la "spiegazione" deve essere rapportata all'interessato, deve essere significativa per lui, in modo da consentirgli di esercitare gli altri suoi diritti. E quindi la spiegazione deve essere tale da porlo in condizioni dei comprendere se ha subito una discriminazione.
Dati individuali o dati aggregati
La profilazione può avvenire utilizzando dati individuali o identificativi (es. dati anagrafici), oppure dati aggregati derivanti da dati personali individuali. Il livello di aggregazione è variabile, e quindi potrebbe accadere che i dati utilizzati, anche se in forma aggregata, consentano comunque, a seguito dell'incrocio con altri dati, l'identificazione dei soggetti interessati. Ecco perchè col GDPR si impone la valutazione di impatto del trattamento.
Dati sensibili
Il GDPR vieta l'utilizzo di dati personali sensibili per scopi decisionali automatizzati, a meno che:
- l'interessato non abbia espresso il suo consenso esplicito;
- o la decisione automatizzata sia necessaria per motivi di interesse pubblico.
Misure di sicurezza e valutazione di impatto
Il titolare del trattamento, inoltre, deve ottemperare agli obblighi in materia di misure di sicurezza, analisi dei rischi del trattamento, formazione del personale, nomina degli amministratori di sistema, procedure di disaster recovery. In particolare dovrà verificare se esiste un rischio di discriminazione, furto di identità, danni alla reputazione o altri effetti negativi per gli interessati. Ad esempio, il titolare potrà adottare misure di pseudonimizzazione o minimizzazione dei dati per evitare che il trattamento automatizzato incida in misura significativa sugli interessati.
Inoltre, è opportuno che il titolare ponga in essere misure tecniche ed organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori di misure matematiche o statistiche, e che impedisca effetti discriminatori nei confronti delle persone sulla base del trattamento dei dati per attività di profilazione.
Infine, il trattamento basato su sistemi automatizzati (anche se non esclusivamente basato sulla valutazione della macchina, ma anche quello con intervento umano) deve essere preceduto dalla valutazione di impatto, proprio perché dalle elaborazioni possono derivare dettagli informativi ritenuti di natura particolarmente invasiva ma anche perché possono essere impiegati una quantità significativa di dati ai quali devono essere assicurati gli opportuni livelli di protezione e garanzia contro i possibili rischi per i diritti e le libertà degli Interessati.
Il regolamento impone altresì che il titolare adotti una politica di periodica revisione degli applicativi di decisione automatizzata, al fine di verificare se il sistema produce errori, classificazioni non corrette e possibili discriminazioni.
L'art. 22, par. 2 prevede che lo Stato membro possa stabilire "misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato" in caso di processi decisionali automatizzati. L'Italia non ha ritenuto di prevedere ulteriori misure.
Linee guida
Il Garante italiano nel 2015 ha emanato delle linee guida in materia di profilazione.