Mer13122017

Ultimo aggiornamento06:43:53

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

  • PDF

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto quanto negli ultimi 10 anni si è detto a proposito della profilazione emerge una, e per molti versi, ragionevole preoccupazione poiché, mancando una sufficientemente chiara definizione, anche di natura giuridica, del termine, non è stato sempre agevole avere certezze in ordine a quali tipi di analisi e su quali dati fossero da considerare come attività di profilazione e questo nell’interesse reciproco sia dei “profilatori” che dei “profilati”.

 

La profilazione in Italia

Nel 2005 il nostro Garante privacy adottò un primo provvedimento generale per provare a fare chiarezza nel mondo delle “fidelity card”, che viveva una fase di sviluppo tumultuoso, ponendo alcuni chiari paletti in ordine alle elaborazioni dei dati personali che i Titolari potevano effettuare, vincolate alla esistenza dello specifico consenso, nel caso in cui lo scopo perseguito fosse quello di profilare le abitudini di consumo dell’Interessato. A quel tempo, è nei fatti trascorsa quasi un’era geologica, ci si preoccupava che l’analisi dei prodotti acquistati, principalmente presso la Grande Distribuzione, potesse consentire di accedere ad informazioni sulla vita privata del consumatore consentendo di derivarne modelli e stili di vita. Il focus, all’epoca, sembrava sostanzialmente essere volto a regolare le attività di analisi mirate ad elaborare le informazioni relative alle caratteristiche dei prodotti acquistati o dei servizi utilizzati e non quelle proprie del consumatore (Interessato). Successivamente il Garante è intervenuto per regolamentare la profilazione nel settore delle Telecomunicazioni con un provvedimento generale e autorizzazioni ai singoli Operatori per attività di profilazione su dati aggregati con esonero del consenso, e, a valle di un intervento nei confronti di Google, è stato adottato un provvedimento generale sulla “profilazione on-line” realizzata elaborando i dati di navigazione sui siti web. Contestualmente è stata data attuazione alla normativa comunitaria sui “cookie”, con le modifiche introdotte dalla Direttiva 2009/136/CE, proprio con lo scopo di accrescere la tutela dei “navigatori” da una elaborazione dei dati sui siti visitati effettuata, di massima, a loro insaputa.

Il nuovo scenario

Il Regolamento Generale sulla Protezione dei Dati[1] (nel seguito Regolamento), che dopo un iter legislativo di oltre 2 anni è prossimo alla pubblicazione, rielaborando tutto quanto sul tema della profilazione è stato detto e scritto sia dall’istituzioni Europee (Commissione e Consiglio, Gruppo Art. 29, etc.) che da altri organismi ed istituzioni internazionali (OECD, ONU, etc.), ha provato a dare una sistematizzazione organica all’argomento anche alla luce, o meglio in vista, delle evoluzioni tecnologiche presenti e future. La centralità del tema è ampiamente dimostrata dalla presenza di richiami alla profilazione in un numero significativo di Considerando (21, 48, 51, 57, 59, 59 bis, 71) oltre che nell’articolato. Partiamo proprio dall’art. 3 bis che, finalmente, contiene una definizione giuridica della profilazione da intendere come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”. Rispetto alle scarne indicazioni contenute nella Direttiva 95/46/CE la presenza di una definizione giuridica costituisce sicuramente un passo in avanti verso un più chiaro inquadramento di quali tipologie di elaborazione possano, o meglio, debbano essere qualificate come attività di “profilazione”. Dalla definizione si rileva con immediatezza che con il Regolamento il concetto di profilazione non è più circoscritto alla propensione al consumo di prodotti e all’utilizzo di servizi ma il perimetro viene significativamente esteso facendovi rientrare l’Interessato (persona fisica) e quanto a lui direttamente riferibile (età, sesso, situazione economica, stato familiare, etc.) ma anche quanto lo circonda o con cui interagisce. Un cambio di paradigma molto forte se solo consideriamo fenomeni quali i Big Data e IOT (o meglio IOE –Internet of Everythink) destinati, a quanto è dato capire, a crescite vertiginose nei prossimi anni e che realizzano raccolta e correlazioni dai dati personali del singolo Interessato sempre più estese e dettagliate sulle quali costruire modelli di offerta per l’immediato e scenari di sviluppi futuri.

Passiamo ad esaminare i numerosi Considerando che contengono riferimenti alla profilazione dai quali emerge chiaramente il livello di attenzione che il Regolamento dedica al tema. Innanzi tutto viene esplicitato che il Regolamento si applica a tutti i trattamenti per la profilazione “automatizzati”, escludendo quindi quelli che non lo sono, svolti all’interno dei confini comunitari ovvero che abbiano come soggetti “interessati” situati nella UE (Cons. 21). Proprio il concetto di “profilazione automatizzata” è destinato a costituire uno snodo molto importante poiché, come vedremo meglio nel prosieguo, poter escludere, almeno in parte, che una specifica tipologia di analisi ed elaborazione dei dati relativi a caratteristiche personali dell’Interessato possa comunque essere considerata esente dai vincoli e dalle prescrizioni specifiche indicate dal Regolamento, costituisce una importante opportunità ed una semplificazione di non poco conto. Sempre al fine di delimitare il campo di applicazione nel Regolamento viene inoltre specificato che non deve trattarsi solo di “tracciamento” del soggetto che naviga in Internet ma di analisi “volte alla profilazione dell’utente, in particolare per prendere decisioni che lo riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali” (Cons. 21). Nei successivi Considerando viene non solo ribadito che l’interessato debba essere informato delle finalità e modalità, ovvero della possibilità di opporsi al trattamento, ma anche in merito “alla logica cui risponde qualsiasi trattamento automatizzato dei dati e alle possibili conseguenze di tale trattamento, almeno quando è basato sulla profilazione” (Cons. 51). Inoltre l’interessato “dovrebbe avere il diritto di non essere sottoposto ad una decisione [...] basata unicamente su un trattamento automatizzato [...] (che) comprende anche la “profilazione” [...] nella misura in cui ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona” (Cons. 58). Il Regolamento, in buona sostanza, accresce significativamente i diritti dell’Interessato rispetto alle attività di profilazione laddove prevede il diritto di opporsi quando una decisione, che abbia conseguenze giuridiche, venga adottata “esclusivamente” sulla base di un trattamento automatizzato (art. 14 c. 1) e questo anche nel caso in cui l’attività avvenga nell’ambito di un contratto ovvero con il consenso dell’Interessato (art. 20 c. 1 bis). È inoltre vietata la profilazione dei minori ovvero laddove siano trattati dati sensibili di cui all’art. 9 del Regolamento salvo che non vi sia un legittimo interesse del Titolare, di portata almeno equivalente al diritto dell’interessato, e siano adottate adeguate misure di protezione dei dati. In ogni caso, come indicato dal Considerando 58, è opportuno che il Titolare “utilizzi procedure matematiche o statistiche adeguate per la profilazione, metta in atto misure tecniche ed organizzative adeguate al fine di garantire in particolare che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori misure matematiche o statistiche [...]e che impedisca tra l'altro effetti discriminatori nei confronti di persone sulla base” del trattamento dei dati per attività di profilazione. Peraltro, anche nel caso in cui la profilazione avviene sulla base di norme che la rendono legittima, ad esempio da parte di Istituzioni o Organismi nazionali/europei l’Interessato può, ai sensi dell’art. 19, opporsi ed il Titolare deve interrompere le attività salvo dimostrare “l'esistenza di motivi legittimi preminenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato”.

La rilevanza prestata alla profilazione è suggellata dal Considerando 71 il quale prospetta la necessità che tali trattamenti debbano essere preceduti dalla Privacy Impact Assessment (PIA) proprio perché dalle elaborazioni ne possono derivare dettagli informativi ritenuti di natura particolarmente invasiva ma anche perché possono essere impiegati nelle analisi una mole di dati significativa ai quali devono essere assicurati gli opportuni livelli di protezione e garanzia contro i possibili rischi per i diritti e le libertà degli Interessati. Tale cautela è confermata dall’art. 33 c. 2 lett. a) del Regolamento che esplicitamente prescrive la PIA nei casi di “trattamento automatizzato, compresa la profilazione, e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche”. Infine, anche per quanto attiene al trasferimento dei dati al di fuori dei confini comunitari, l’art. 43 pone dei vincoli e statuisce che l’Interessato debba poter esercitare tutti i diritti che il Regolamento gli riconosce anche nel caso in cui i trattamenti avvengano oltre i confini comunitari.

In conclusione possiamo ritenere che il Regolamento ha posto le basi perché alla profilazione vengano destinate le opportune attenzioni da parte dei Titolari del trattamento. Si è cercato, in particolare, di sottolineare l’importanza di definire il più chiaramente possibile il confine tra attività di analisi dei dati riferibili all’Interessato dalla cui elaborazione possano discendere “conseguenze giuridiche e/o valutazioni discriminatorie”: si tratta di uno dei passaggi che richiedono la massima attenzione poiché individuare il corretto posizionamento del limite superato il quale una elaborazione di dati personali acquista le caratteristiche della profilazione, con tutto ciò che ne consegue, diviene estremamente rilevante. Pur tuttavia è innegabile che le prescrizioni e i vincoli previsti, nonché quelli che dovessero aggiungersi nell’ambito dei margini di autonomia dei singoli Stati, dovrebbero avere una sufficiente granularità in modo da evitare che tutte le attività di elaborazione dei dati personali dell’Interessato, classificabili in senso lato come di profilazione, debbano soggiacere alle medesime norme indipendentemente dalle specifiche peculiarità: in estrema sintesi bisognerebbe fare in modo che sia possibile distinguere, ad esempio, tra profilazione qualitativa e quantitativa e, all’interno di ciascuna macro tipologia individuare una scala di valori per evitare che tutte le tipologie di dati personali elaborati assumano il medesimo peso specifico. Ciò al fine di evitare che, anche in presenza di analisi di basso rilievo, o con rischi quasi nulli o modici, il Titolare del trattamento debba adottare un livello di tutela “predeterminato” ossia non parametrato sui rischi effettivi per la privacy relativa alla attività condotte: insomma più costi per tutti, anche quando non serve e quando blocca iniziative imprenditoriali meritevoli in favore della clientela, non solo non accrescono le tutele ma possono perfino ridurre le opportunità, paradossalmente, in danno e a spese dell’Interessato.

Articolo a cura di Luciano Delli Veneri - Privacy Officer e Consulente della Privacy TÜV - Email: luciano.delliveneri@gmail.com



[1] Il testo del Regolamento Generale sulla Protezione dei Dati (personali) commentato è quello approvato il 15 dicembre 2015 a conclusione del procedimento di trilogue tra Commissione, Consiglio e Parlamento Europeo

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Ultimo aggiornamento Venerdì 15 Aprile 2016 13:34

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:583

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:3944

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1171

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1258

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:1742

Leggi tutto

Multe & Sentenze

Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2017 | | Direttore Responsabile: Nicola Bernardi