Profiling e protezione dei dati personali: sono attività compatibili?
Nel decreto legislativo 196/2003 non viene mai usata la parola profilazione.
In effetti, nel 2003 la profilazione era un’attività molto poco diffusa, che invece negli ultimi tempi essa si è ampliata in modo esponenziale, anche perché la disponibilità degli ormai famosi “big data” mette a disposizione strumenti preziosissimi per incrociare dati di varia origine e costruire profili di interessati.
Pubblicità
Trattandosi di una espressione affatto nuova, andiamo a vedere come questa attività viene definita nel regolamento europeo 2016/679:
4) "profilazione": qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
Una lettura superficiale dell’articolo 22, dal titolo “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, potrebbe lasciar credere che la profilazione sia attività non consentita.
In realtà l’articolo va letto attentamente, perché non è affatto proibito effettuare un trattamento di profilazione, che permette ad esempio di comprendere quali possano essere gli interessi di un cliente di un supermercato, analizzando i dati relativi agli acquisti effettuati in precedenza.
Anzi, alcuni soggetti affermano addirittura che potrebbe essere una sorta di cortesia, nei confronti del cliente, attirare la sua attenzione su prodotti, che in precedenza egli aveva acquistato e che magari sono in offerta particolare.
Parimenti, non si capisce perché se un interessato si trova in una certa zona della città e desidera mangiare una buona pizza margherita, la sua attenzione non possa essere indirizzata verso pizzerie, nelle vicinanze, che abbiano ricevuto una valutazione favorevole da molti clienti.
In effetti, una attenta lettura dell’articolo 22 mette in evidenza, al comma 1, quanto segue:
1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Appare evidente che la previsione di sottoporre un interessato ad un trattamento automatizzato, compresa la profilazione, non è consentita solo se tale trattamento potrebbe avere effetti giuridici che lo riguardano o incidere in qualche modo sulla sua persona.
Non v’è dubbio che segnalare una pizzeria nelle vicinanze, oppure segnalare un prodotto in offerta speciale dubito assai possa produrre effetti giuridici.
Parimenti dubito assai che queste attività possano incidere in modo significativo sull’interessato stesso, se non in senso positivo.
Occorre pertanto intendersi sul significato di profilazione e di come questa profilazione viene usata.
Ad esempio, ben diversa è la situazione, in cui un interessato si presenta in un Istituto bancario, per chiedere un prestito.
In genere egli deve compilare un formulario piuttosto articolato, nel quale si richiedono dati personali in quantità, afferenti al profilo anagrafico, al profilo economico, ad eventuali altri impegni economici che egli abbia preso nei confronti di altri istituti e via dicendo.
In alcuni istituti bancari esistono degli applicativi di profilazione, che ad esempio possono bloccare la concessione di un mutuo a soggetti che abbiano superato una certa età, oppure abbiano già pregressi impegni economici con altri istituti bancari.
Se la decisione di bloccare la concessione di un mutuo avviene in forma automatica, analizzando i dati forniti dall’interessato, oppure accedendo a banche dati preesistenti, e correlando i vari dati personali in modo tale da aggiungere alla decisione di blocco, ci troviamo certamente nelle condizioni previste dal comma 1. Questa attività è indubbiamente proibita.
Nulla pertanto impedisce di sviluppare un’attività di profilazione, anche automatizzata, salvo poi vedere come i risultati di questa profilazione vengono utilizzati.
È questo un problema che si presenta spesso nelle agenzie assicurative, quando l’interessato si presenta per ottenere una copertura di responsabilità civile per automezzi. Sappiamo tutti che l’Italia, fra Trento e Trapani, presenta situazioni assai diverse, con elevati rischi assicurativi legati a specifiche province o specifiche città. Conosco personalmente un grande agente assicurativo, che opera spesso in questo settore, che ha dato precise istruzioni ai suoi collaboratori di non accettare di stipulare polizze assicurative su automezzi, quando l’automezzo risulta registrato in una specifica provincia oppure il soggetto che chiede la copertura assicurativa abita od opera in altre specifiche province.
Attenzione: in questo caso la decisione non è automatizzata, ma è basata su una libera valutazione da parte dei soggetti coinvolti nel trattamento, titolare compreso, che possono giungere alla decisione di concedere o meno la copertura assicurativa.
Ci mancherebbe altro che l’articolo 22 proibisse di valutare il profilo di rischio di un assicurato: questo articolo proibisce semplicemente di effettuare tale valutazione in forma automatizzata, mentre nulla impedisce che un fattore umano possa influire sui risultati. Questa è la ragione per la quale alcune compagnie di assicurazione hanno già attivato dei sistemi di profilazione automatizzata di soggetti richiedenti copertura, che alla fine presentano un giudizio ad un incaricato del trattamento, ad esempio l’agente cui si è rivolto all’interessato (vedi comma 3).
Non è il sistema che decide se concedere o meno la copertura, ma l’agente, dopo aver analizzato il profilo elaborato dall’applicativo.
Automatizzare sì, ma sempre sotto la vigilanza e la responsabilità finale assunta da un essere umano!
Adalberto Biasiotti
Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: Provetta Nise - likes: 0 | 04/07/2017 (13:02:06) |
Gentile Esperto, il Suo commento, sebbene molto interessante e importante, mi ha lasciato alcuni dubbi. In effetti, dalla lettura del nuovo regolamento mi sembra di aver evinto che la profilazione è sempre ammessa quando preventivamente accettata dall'interessato mediante consenso esplicito (art. 22 par. 2 lett. c). Mi dica se sbaglio. Inoltre, mi sembra limitativo ammettere la profilazione (anche senza consenso) solo quando non produce effetti giuridici sulla sfera dell'interessato, perché la norma stabilisce espressamente il divieto anche quando la decisione "incida in modo analogo significativamente" sulla persona dell'interessato. Sono davvero confusa, quindi le chiedo chiarimenti se possibile. La ringrazio ancora per l'intervento. Buona giornata, Provetta. |