Profilazione e GDPR: serve il consenso?
La profilazione e i processi decisionali automatizzati mediante la raccolta e l’elaborazione di dati personali sono strumenti estremamente utili. Il loro campo di applicazione spazia dalla valutazione del rischio finanziario e assicurativo, alla selezione del personale, alla prevenzione dei crimini, alla politica e molto altro.
Oggi, l’utilizzo più comune della profilazione è senza dubbio quello commerciale. Essa consente di suddividere i potenziali clienti in segmenti di mercato, inviare pubblicità personalizzata in base ai loro interessi e raccogliere dati statistici volti a migliorare l’efficacia delle campagne marketing.
Profilazione e processi decisionali automatizzati però portano con sé anche numerosi rischi per i diritti e le libertà delle persone fisiche. Un utilizzo scorretto di questi strumenti può portare a casi di discriminazione, segregazione sociale e perpetuazione di stereotipi. Ecco perchè il GDPR ha concentrato una particolare attenzione alla profilazione ed alle decisioni automatizzate, imponendo regole e limiti ben precisi.
Cosa vuol dire profilazione
Il significato di profilazione è definito nel GDPR all’articolo 4. Per profilazione si intende qualsiasi trattamento in forma automatizzata di dati personali finalizzato a valutare alcuni aspetti relativi ad una persona fisica; in particolare, ad analizzare e prevedere aspetti riguardanti le performance lavorative, la situazione economica, lo stato di salute, gli interessi personali, i comportamenti, gli spostamenti, l’affidabilità etc.
Affinchè si possa parlare di profilazione sono quindi necessari tre elementi:
- deve trattarsi di un trattamento automatizzato
- deve riguardare dati personali
- l’obiettivo deve essere quello di valutare aspetti personali relativi ad una persona fisica
Il primo requisito esclude che si possa parlare di profilazione quando il trattamento di dati avviene interamente mediante l’intervento umano. Si pensi ad esempio alla suddivisione di clienti in categorie fatta direttamente dall’imprenditore in base alle proprie valutazioni personali.
L’ultimo dei suddetti requisiti invece implica l’esistenza di una “valutazione”, ovvero di un qualche tipo di giudizio. Se un imprenditore intende classificare i propri clienti in categorie, suddividendoli per sesso ed età senza cercare di prevedere i loro comportamenti ma al solo fine di ottenere dati statistici sul suo business, non siamo in presenza di una profilazione.
In sintesi, profilare significa raccogliere informazioni su persone fisiche, analizzare le loro caratteristiche ed i loro schemi di comportamento al fine di classificarle in categorie e fare previsioni sui loro interessi o comportamenti.
Cosa sono i processi decisionali automatizzati
Si parla di processo decisionale automatizzato quando una decisione basata sull’elaborazione di dati personali viene presa ricorrendo all’intelligenza artificiale, senza l’intervento umano.
Possono farsi due ipotesi:
- decisioni prese sulla base di una profilazione ma con intervento umano
- decisioni interamente automatizzate
Ci troviamo nel primo caso quando un funzionario di banca decide se concedere o meno un mutuo dopo aver profilato il candidato. Nel secondo caso, invece, la decisione sarà effettuata direttamente da un software, senza alcun intervento umano.
In base al GDPR, le regole da applicare sono diverse a seconda che si rientri nel primo o nel secondo caso.
È sempre necessario il consenso alla profilazione?
Ogni trattamento di dati personali, per essere legittimo, necessita di una valida base giuridica. La profilazione, in questo senso, non fa eccezione.
La più ovvia fra le basi giuridiche utilizzabili per la profilare è il consenso dell’interessato. Affinché questo sia valido, l’interessato deve essere messo in condizione di conoscere esattamente cosa sta accettando. Pertanto, sarà necessario fornire una informativa privacy chiara ed esaustiva riguardante l’attività di profilazione.
Il consenso però non è l’unica base giuridica utilizzabile. Quando non si ricorre a processi decisionali completamente automatizzati, si possono utilizzare le altre basi giuridiche elencate dall’art. 6 GDPR: necessità per l’esecuzione di un contratto, obbligo di legge, salvaguardia di interessi vitali, interesse pubblico e legittimo interesse del titolare.
É possibile profilare sulla base del legittimo interesse?
Fra le basi giuridiche ulteriori rispetto al consenso, quella più interessante per effettuare una profilazione a scopi commerciali è il legittimo interesse del titolare del trattamento. Affinchè sia possibile profilare sulla base del legittimo interesse, occorre effettuare un Legitimate Interest Assessment (LIA), ovvero una valutazione che metta sul piatto della bilancia l’interesse del titolare da una parte e la lesione dei diritti e delle libertà degli interessati dall’altra. I fattori da tenere in considerazione quando si effettua questa valutazione sono i seguenti:
- il livello di dettaglio dei profili (più è granulare e dettagliato, maggiore sarà la lesione dei diritti degli interessati);
- l’estensione del profilo (più aspetti sono compresi, maggiore sarà la lesione dei diritti degli interessati);
- gli effetti che la profilazione produce per l’interessato (es. mancata assunzione, diniego di un finanziamento, price discrimination etc.);
- l’applicazione di misure di salvaguardia a garanzia della correttezza e accuratezza dei profili.
All’esito di questa valutazione, soltanto se la lesione dei diritti delle persone fisiche è minima e la bilancia pende in favore dell’interesse legittimo del titolare si potrà ricorrere a questa base giuridica e fare a meno del consenso.
Il diritto di opposizione dell’interessato
L’art. 21 del GDPR prevede un diritto di opposizione incondizionato degli interessati ad essere profilati per finalità di marketing. Ciò significa che, anche quando la profilazione avviene sulla base del legittimo interesse del titolare, l’interessato potrà sempre pretenderne la cessazione, senza che la sua richiesta possa essere messa in discussione.
Il titolare del trattamento è obbligato a comunicare all’interessato l’esistenza del diritto di opposizione, in modo chiaro e specifico.
E quando invece si ricorre a decisioni completamente automatizzate?
L’art. 22 del GDPR pone un divieto generalizzato di sottoporre gli interessati a decisioni basate unicamente su trattamenti automatizzati di dati personali, inclusa la profilazione, quando ciò possa produrre effetti giuridici che li riguardano o incidere in modo significativo sulla loro persona.
Affinchè trovi applicazione questo divieto sono necessari:
- l’assenza di intervento umano nel processo decisionale e
- la produzione di effetti giuridici su una persona (es. risoluzione di un contratto, diniego di benefit previsti dalla legge etc.) o
- la produzione di effetti significativi sulla persona (es. accesso ad un’opportunità lavorativa, accesso al credito, accesso all’educazione etc.).
Si applica il divieto di cui all’articolo 22 alla pubblicità basata sugli interessi?
La profilazione effettuata al fine di promuovere pubblicità personalizzata comporta valutazioni interamente basate su algoritmi di intelligenza artificiale, senza alcun intervento umano. Essa, tuttavia, non produce effetti giuridici per gli interessati.
Pertanto, per determinare l’applicazione o meno dell’art. 22 GDPR occorre chiedersi se la pubblicità comportamentale possa produrre effetti significativi per le persone fisiche.
Nelle linee guida sulle decisioni automatizzate e la profilazione, il WP29 ha provato a rispondere a questa domanda:
In molti casi tipici, la decisione di presentare pubblicità personalizzata basata sulla profilazione non avrà effetti significativi sugli individui, ad esempio una pubblicità per un importante venditore di moda online basata su un semplice profilo demografico: “donna nella regione di Bruxelles, età fra i 25 e i 35, che potrebbe essere interessata alla moda e a determinati capi di abbigliamento”.
Tuttavia, il WP29 ha precisato che ciò non vale in tutti i casi di pubblicità comportamentale. Anche in questo caso, occorrerà quindi valutare diversi fattori, fra cui:
- l’invadenza del trattamento di profilazione, incluso il tracciamento di individui fra diversi siti, applicazioni e dispositivi
- ciò che gli interessati possono aspettarsi dal trattamento
- ciò che ci si aspetta che gli interessati vogliano (si presume che il trattamento sia sgradito?)
- le modalità con cui la pubblicità è mostrata (es. banner, chiamata telefonica, e-mail etc.)
- lo sfruttamento di vulnerabilità dell’individuo (es. patologie, dipendenze, minore età etc.)
Le eccezioni al divieto di ricorrere a processi decisionali interamente automatizzati
Nei casi in cui l’articolo 22 del GDPR risulti applicabile, il trattamento basato interamente su decisioni automatizzate, sarà legittimo solo in presenza di una di queste tre eccezioni:
- necessità per l’esecuzione o la conclusione di un contratto
- autorizzazione da parte di una legge
- consenso esplicito dell’interessato
In tutti i casi, il titolare del trattamento dovrà applicare delle speciali misure di salvaguardia, in particolare:
- informare l’utente sul particolare trattamento di dati effettuato
- spiegare in parole semplici la logica del processo decisionale automatizzato
- spiegare le conseguenze di questo processo
Quando la profilazione fa parte delle attività principali del titolare del trattamento e viene effettuata su larga scala, sarà necessaria anche la nomina di un DPO.
Profilare mediante Cookie
La profilazione effettuata mediante Cookie, Pixel, Beacon ed altri strumenti di tracciamento installati sui dispositivi degli utenti è disciplinata dalla direttiva e-Privacy. Per l’installazione di questi strumenti al fine di inviare pubblicità personalizzata è sempre richiesto il consenso degli utenti.
Per maggiori informazioni relative ai Cookie vi invito a leggere l’articolo Normativa Cookies per Siti Web e e-Commerce.
In conclusione, serve il consenso per inviare pubblicità personalizzata?
La profilazione degli utenti al fine di promuovere pubblicità basata sui loro interessi richiederà il consenso quando risulti particolarmente invasiva e produca effetti significativi per le persone profilate. Diversamente, potrà basarsi sul legittimo interesse quando non incida in maniera significativa sui diritti e le libertà delle persone fisiche.
Come spesso avviene in materia di trattamento di dati personali, non è possibile fornire una risposta valida sempre e comunque. Occorrerà quindi effettuare una valutazione caso per caso.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.