Introduzione

Il dizionario Treccani definisce “profilazione” la “Stesura di un profilo, mediante l’identificazione e la raccolta dei dati personali e delle abitudini caratteristiche di qualcuno”. Questo concetto ci è sempre più famigliare perché a tutti sarà capitato di ricevere offerte, promozioni o suggerimenti commerciali corrispondenti alle proprie caratteristiche, alle necessità del momento o anche solo a qualche desiderio del quale non avete fatto parola con nessuno… se non al vostro motore di ricerca preferito!
Proprio l’evolversi e l’affinarsi delle tecnologie e degli algoritmi di analisi sta evidenziando quale sia la portata ed il potenziale invasivo di queste attività, per questo si è imposta la necessità di regolamentare le attività di questo tipo dal punto di vista della tutela dei dati personali.
Come abbiamo visto, la definizione generale di “profilazione” non distingue tra trattamenti effettuati manualmente ovvero automatizzati, ma, per quanto riguarda l’ambito privacy, ci troviamo davanti a fattispecie ben distinte tra loro: la profilazione “manuale” comporta un rischio decisamente ridotto per i diritti e le libertà fondamentali degli individui; la profilazione “automatizzata” è invece molto più impattante, grazie ai nuovi strumenti tecnologici che permettono una raccolta, una analisi ed una elaborazione di dati neanche lontanamente paragonabile con ciò che può essere “trattato” dal solo operato di persone fisiche.
Alla luce di questo è emersa prepotentemente la necessità di considerare la profilazione e gli effetti della stessa dal punto di vista della tutela del dato personale, differenziando i trattamenti “classificativi” effettuati in maniera prevalentemente manuale, dalla vera e propria “profilazione” effettuata sfruttando le moderne tecnologie e le valutazioni automatiche.

Un po’ di storia

La definizione di “profilazione”, dal punto di vista normativo e della tutela del dato personale, ha subito una importante evoluzione derivata della sempre più invasiva evoluzione tecnologica.
Nel Decreto Legislativo 196/2003 non vi è traccia di una definizione puntuale di “profilazione”, nonostante in alcuni punti si facesse riferimento alla attività profilativa (ad esempio l’art.37 statuiva che “Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: […] dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo […]”; questo proprio perché tale attività, non aveva ancora acquisito il livello di incidenza con cui ci dobbiamo confrontare oggi.
La prima definizione giuridica compiuta di “profilazione” in Italia si rinviene nelle “Linee guida in materia di trattamento di dati personali per profilazione online”, emanata il 19 marzo 2015 dal Garante Privacy. In tale documento si definisce profilazione “l´analisi e l´elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l´obiettivo di pervenire all’identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo.”

L’attuale quadro normativo

Abbiamo visto in precedenza quanto sia diventata centrale l’evoluzione tecnologica per una definizione precisa del concetto di “profilazione”. Il primo riferimento ai trattamenti automatizzati lo abbiamo nella Raccomandazione CM/Rec (2010)13 del Comitato dei Ministri agli Stati Membri sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto di attività di profilazione, il quale definisce che “Per “profilazione” si intende una tecnica di trattamento automatico consistente nell’applicazione di un “profilo” ad una persona fisica determinata, in particolare al fine di prendere decisioni relative a tale persona oppure ai fini dell’analisi o della previsione delle sue preferenze, dei suoi comportamenti e delle sue propensioni personali.”.

Il Regolamento UE n. 2016/679 – GDPR si è chiaramente ispirato a tale definizione e, al punto 4 dell’articolo 4, definisce profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”

Alla luce di questo, l’attività di profilazione rilevante dal punto di vista della privacy è quella che presenta 3 caratteristiche fondamentali (individuate dal Article 29 Working Party – ora sostituito dal Comitato europeo per la protezione dei dati – nelle sue linee guida WP251):

  1. Una forma automatizzata di trattamento
  2. Avere ad oggetto dati personali, come definiti dal GDPR stesso
  3. Il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona fisica

Per quanto riguarda la caratteristica del punto 1 si è precisato che non deve trattarsi di un trattamento svolto esclusivamente in maniera automatizzata, ma tale modalità deve essere parte integrante del trattamento stesso e non, semplicemente, fungerne da supporto materiale.
Il punto 2 non necessita di puntualizzazioni, ricordiamo solo che, ex GDPR, un dato personale consiste in “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
In merito al punto 3 l’Article 29 WP specifica che la valutazione di aspetti personali si svolga, in particolare, per analizzare e/o fare previsioni in merito alla capacità di eseguire un compito, agli interessi e al comportamento probabile degli individui profilati.

Disciplina della profilazione

Il GDPR affronta la profilazione analizzandola da 3 prospettive:

  1. La profilazione in senso generale, così come definita dall’art. 4
  2. I processi decisionali che si basano sulla profilazione
  3. I processi decisionali che si basano esclusivamente su trattamenti automatizzati, compresa la profilazione, che producono effetti giuridici o incidono in modo analogo significativamente sull’interessato (articolo 22 GDPR)

Non sempre la profilazione comporta processi decisionali automatizzati e non sempre i processi decisionali automatizzati si basano sulla profilazione, anche se si tratta di attività che tendono (e tenderanno) sempre più a sovrapporsi.

Per chiarire il sostanziarsi di queste attività possiamo fare alcuni esempi:

Classificazione decisionale

  • Una piccola azienda di commercio al dettaglio ha realizzato un foglio di calcolo il quale evidenzia i clienti persone fisiche che si trovano in arretrato coi pagamenti. L’azienda decide di non intraprendere nuovi rapporti commerciali coi clienti morosi.

In questo caso non ci troviamo davanti né ad una profilazione (il semplice utilizzo di un foglio di calcolo che evidenzia la situazione dei pagamenti non rappresenta profilazione), né ad un trattamento automatizzato.

Profilazione priva di processo decisionale

  • Un intermediario di dati raccoglie dati da diverse fonti e utilizza un software apposito per sviluppare e categorizzare profili. In seguito vende queste informazioni alle imprese che desiderano migliorare l’orientamento dei loro beni e servizi. L’intermediario di dati esegue la profilazione inserendo una persona in una determinata categoria in base ai suoi interessi.

Processo decisionale che non si basa sulla profilazione

  • Infliggere una multa per eccesso di velocità esclusivamente sulla base delle prove fornite dall’autovelox è un processo decisionale automatizzato che non implica profilazione.

Processo decisionale basato sulla profilazione

  • Una persona fisica decide se accordare ad un richiedente un prestito in denaro basandosi su un profilo prodotto con mezzi unicamente automatizzati.

In questo caso ci troviamo davanti ad una profilazione e ad un processo decisionale non unicamente automatizzato che si basa su di essa.

Processo decisionale basato unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici  sull’interessato

  • Una finanziaria si basa esclusivamente su un algoritmo, il quale decide se accordare un prestito al richiedente. Tale decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di una persona fisica.

In questo caso ci troviamo davanti ad una profilazione e ad un processo completamente automatizzato che si basa su di essa.

Le disposizioni generali del GDPR per tutti i processi decisionali automatizzati relativi alle persone fisiche e di profilazione.

I Principi

Il titolare del trattamento può svolgere attività di profilazione e processi decisionali automatizzati purché sia in grado di soddisfare tutti i principi e disponga di una base giuridica per il trattamento. 

Tali principi sono codificati nell’articolo 5 GDPR e riguardano tutti i trattamenti di dati personali, quindi anche tutte le attività di profilazione e tutti i processi decisionali automatizzati che comportano l’uso di dati personali:

  • Liceità, Correttezza e Trasparenza
    Spesso il trattamento di profilazione non è evidente per l’interessato, per questo è necessario fornire loro, ex art. 12, le necessarie informazioni in modo chiaro, trasparente, ed accessibile.
  • Limitazione Della Finalità
    La profilazione può comportare l’utilizzo di dati personali originariamente raccolti per una finalità diversa. La compatibilità di tale ulteriore trattamento con le finalità originarie dipenderà da:
  1. informazioni che il titolare del trattamento ha inizialmente fornito all’interessato;
  2. rapporto tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento;
  3. il contesto in cui i dati personali sono stati raccolti e le ragionevoli aspettative dell’interessato in merito al loro uso futuro;
  4. la natura dei dati;
  5. l’impatto dell’ulteriore trattamento sull’interessato;
  6. le garanzie applicate dal titolare del trattamento per assicurare un trattamento corretto e prevenire qualsiasi impatto indebito sull’interessato
  • Minimizzazione Dei Dati
    Devono essere raccolti solo i dati di cui si ha effettiva necessità
  • Esattezza
    Il titolare dovrebbe verificare l’esattezza dei dati raccolti in ogni fase del processo di profilazione; questo nell’interesse di tutti i soggetti coinvolti, non solo dell’interessato
  • Limitazione Della Conservazione
    Il titolare deve assicurarsi che i dati non siano conservati per un periodo superiore a quello necessario e proporzionato alle finalità per le quali vengono trattati

Le basi di liceità

Come ogni trattamento, anche le decisioni automatizzate e la profilazione devono essere conformi a quanto dispone l’articolo 6 GDPR e, cioè, deve ricorrere almeno una delle seguenti condizioni di liceità del trattamento:

  • Consenso
    Come specificato nell’articolo 22 comma 1 del GDPR, il consenso esplicito è una delle eccezioni al divieto di processo decisionale automatizzato e profilazione. Ricordiamo che, col suo consenso, l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, per questo il titolare del trattamento dovrà essere in grado di dimostrare che gli interessati comprendono esattamente a cosa stanno acconsentendo, quindi le informative fornite devono essere chiare, concise e facilmente comprensibili dall’interessato.
  • Necessità all’esecuzione di un contratto
    Il titolare del trattamento può voler utilizzare la profilazione e i processi decisionali automatizzati perché tali processi consentono maggior precisione e correttezza (ad esempio evitando errori umani, abusi o comportamenti arbitrari), per migliorare l’efficienza operativa o per ridurre i rischi di insolvenze da parte dei clienti.
    A prescindere da quanto sopra, queste considerazioni da sole non sono sufficienti a dimostrare che questo tipo di trattamento è necessario ai sensi dell’articolo 6, paragrafo 1, lettera b): l’Article 29 WP nel parere 06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE, ha sottolineato come debba intendersi il concetto di necessità in maniera restrittiva, non essendo sufficiente la semplice utilità nell’esecuzione contrattuale.
  • ► Necessità per l’adempimento di un obbligo legale
    Vi possono essere casi in cui sussiste un obbligo legale all’esecuzione della profilazione, ad esempio in relazione alla prevenzione delle frodi o al riciclaggio di denaro.
    In questo caso il trattamento è legittimo anche se, nell’ottica di mantenere una adeguata trasparenza ad ogni livello, il legislatore consiglia di indicare, nelle norme su cui si possono basare i trattamenti profilativi, la finalità del trattamento, le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto.
  • Necessità inerenti la salvaguardia di interessi vitali
    Tale base si applica nelle circostanze in cui il trattamento è necessario per la salvaguardia di un interesse essenziale per la vita dell’interessato o di un’altra persona fisica, si pensi ad esempio alle attività di screening e monitoraggio sanitario effettuate per individuare in anticipo la diffusione di malattie potenzialmente letali. Qualora il trattamento coinvolga dati personali appartenenti a categorie particolari, il titolare del trattamento deve assicurarsi di porre in essere tutte le cautele che la normativa prevede per il trattamento di queste categorie di dati.
  • Necessità per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
    Anche questa base giuridica può essere adeguata per le attività di profilazione. Il trattamento deve essere necessario e rilevante sulla base del diritto dell’Unione o degli Stati membri, deve essere proporzionato alla finalità perseguita e prevedere misure adeguate per tutelare i diritti fondamentali e gli interessi dell’interessato.
  • Necessità per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
    La profilazione è consentita se è necessaria ai fini degli interessi legittimi del titolare o di un terzo, ma gli interessi o i diritti e le libertà fondamentali dell’interessato non devono passare in secondo piano, anzi, devono prevalenti o equilibrati a quelli del titolare. Per questo motivo è fondamentale considerare aspetti quali completezza e livello di dettaglio del profilo dell’interessato, impatto della profilazione e garanzie di tutela per stabilire la validità del trattamento che si fonda su questa base giuridica.

Le disposizioni specifiche relative a decisioni basate unicamente sul trattamento automatizzato di cui all’articolo 22

L’articolo 22, paragrafo 1, afferma che: “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”

Tale disposizione, facente esplicito riferimento ad un diritto dell’interessato, ribadisce il principio secondo il quale l’interessato deve avere il controllo sui propri dati personali e deve essere protetto dagli effetti intrusivi che questo trattamento può potenzialmente avere; questo sta a significare che il trattamento ai sensi dell’articolo 22, paragrafo 1, non è consentito in generale, ma è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri, se è necessario per la conclusione o l’esecuzione di un contratto o se l’interessato ha espresso il proprio consenso esplicito. Chiaramente anche qui saranno necessarie le cautele descritte nelle disposizioni generali del GDPR per tutti i processi decisionali automatizzati relativi alle persone fisiche e di profilazione.

Il divieto di cui all’articolo 22, paragrafo 1 si applica, quindi, esclusivamente quando sono presenti determinate circostanze:

  • Quando siamo in presenza di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione:
    Stabilire questa tipologia può non essere sempre agevole, in linea di principio si intendono i casi in cui non vi è alcun coinvolgimento umano nel processo decisionale; per questo è necessario prestare la dovuta attenzione a possibili coinvolgimenti umani fittizi. In linea di principio si intende per intervento umano il controllo o intervento effettuato da una persona che dispone dell’autorità e della competenza per modificare la decisione.
  • Quando la decisione in oggetto produce effetti “giuridici” o “in modo analogo significativi:
    Il GDPR non da una definizione di “effetto giuridico” e di “effetto analogamente significativo”, ma la formulazione dell’articolo 22 fa chiaramente riferimento ad effetti con un impatto molto elevato. Parlando di “effetti giuridici” possiamo portare ad esempio il concludersi o meno di un contratto, la concessione di una prestazione sociale, il diritto di voto ed ogni azione che comporti un cambiamento nei diritti od obblighi giuridici dell’interessato. Con “effetto analogamente significativo” si intende un effetto che non comporta un cambiamento nei diritti od obblighi giuridici dell’interessato, ma che causi ripercussioni sufficienti ad essere oggetto di tutela. I criteri valutativi definiti dal WP29 riferiscono a decisioni che sono in grado di:
    • – incidere in maniera significativa sulle circostanze, sul comportamento o sulle scelte dell’interessato;
    • – avere un impatto prolungato o permanente sull’interessato;
    • – nel caso più estremo, portare all’esclusione o alla discriminazione di persone.

Alcuni esempi ci vengono portati direttamente dal considerando 71 e consistono nel “rifiuto automatico di una domanda di credito online” e nelle “pratiche di assunzione elettronica senza interventi umani”

  • Quando non siano presenti le eccezioni al divieto previste dall’art. 22 paragrafo 2
    In questa sezione il legislatore ha previsto alcune eccezioni al divieto di trattamento ex art. 22 paragrafo 1. Tali eccezioni consentono una decisione basata esclusivamente sul trattamento automatizzato quando tale decisione:
    • – Sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento (incluso il trattamento precontrattuale).
      Questo metodo può essere ritenuto il più adeguato per il conseguimento dell’obiettivo, si pensi ai casi in cui i dati da analizzare sono così tanti da rendere impraticabile il coinvolgimento decisionale umano. Il titolare deve, però, essere in grado di dimostrare che questa modalità è l’unica percorribile per raggiungere il medesimo obiettivo.
    • – Sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
      Il considerando 71 al GDPR ipotizza il ricorso a tale trattamento per “fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale”, senza dimenticare come debbano essere approntate, anche in questo caso, garanzie adeguate per l’interessato che, sempre secondo il considerando 71” “dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione”.
    • – Si basi sul consenso esplicito dell’interessato.

Il concetto di consenso esplicito non è definito dal GDPR, ma gli orientamenti contribuiscono a indicare come esplicito un consenso fornito tramite azioni positive ed inequivocabili quali una dichiarazione scritta, la compilazione di un modulo elettronico, l’invio di un documento scansionato con la firma dell’interessato.
Non rientrano nella categoria dell’esplicito consenso le caselle preselezionate ed il consenso fornito in assenza di informative adeguate ed accessibili al soggetto interessato.

Conclusioni

La tematica della profilazione e dei trattamenti automatizzati acquisterà sempre maggiore rilevanza con l’evolversi delle tecnologie e del loro livello di penetrazione nella vita quotidiana di tutti noi. Questo rappresenta sfide e responsabilità enormi per tutti gli addetti ai lavori in tema di privacy e sicurezza informatica.
Una delle armi più importanti a disposizione è senza dubbio la responsabilizzazione dei titolari del trattamento, e lo strumento essenziale per la responsabilizzazione è sicuramente la valutazione d’impatto sulla protezione dei dati; la DPIA non deve essere mai sottovalutata a nessun livello, in quanto, oltre che fornire evidenza della accountability del titolare del trattamento, può anche evidenziare possibili metodologie di trattamento che possono risultare meno impattanti per i diritti degli interessati e, di conseguenza, per l’organizzazione aziendale.