18/11/2019
GDPR, profilazione e decisioni automatizzate

Il GDPR interviene anche su quelle che sono le operazioni di profilazione e decisioni automatizzate relative al trattamento dati in quanto operazioni che possono influenzare i diritti e le libertà dei singoli in maniera rilevante. Il Data Protection Working Party Art. 29 è intervenuto in tal senso rilasciando delle linee guida adottate il 3 ottobre 2017 (v. allegato).

 

Innanzitutto, è opportuno definire cosa il GDPR intende per profilazione e per decisione automatizzata:

  • la prima definita come qualsiasi processo automatizzato di trattamento dati che consiste nell’uso di dati personali per valutare certi aspetti dei singoli, in particolare per analizzare o prevedere le performance (ad es. lavoro, consumo, salute, ecc…);
  • la seconda viene in luce come decisioni relative al trattamento dati automatizzate senza alcun intervento umano e che produce effetti legali o similari verso il singolo (ad es. intelligenza artificiale che decide la possibilità di concedere un mutuo senza possibilità di revisione dai dipendenti della banca).

Vi è da aggiungere, inoltre, che non tutti i processi di profilazione sono decisioni automatizzate e viceversa, mentre entrambi gli aspetti possono coincidere in diversi casi.

 

Relativamente ai processi effettuati mediante decisioni automatizzate vi è un generale divieto in tal senso da parte del GDPR, a meno che non sussistano le seguenti eccezioni:

  • vi sia da dare esecuzione ad un contratto;
  • sia autorizzato da una specifica disposizione legislativa;
  • vi sia il consenso da parte dell’interessato.

Con riferimento al consenso da parte dell’interessato è importante notare come non basta che vi sia un generico consenso, ma è fondamentale che l’interessato sia correttamente informato sulle modalità automatizzate di trattamento dati, quali siano gli effetti e quali dati vengano trattati. In aggiunta, egli deve essere messo al corrente della possibilità di esercitare i propri diritti così come stabiliti dal GDPR.

In ogni caso, il trattamento profilante e le decisioni automatizzate devono rispettare i principi relativi al trattamento dei dati personali quali, ad esempio, trasparenza, necessità del trattamento, accuratezza dei dati trattati.

 

Infine, vi è un obbligo di redigere il Data Protection Impact Assessment (DPIA) qualora, incluso il caso della profilazione, vi sia una sistematica valutazione di aspetti personali riguardanti i singoli basata su processi automatizzati e sulle quali decisioni si producono effetti legali, o similari, che influiscono sui singoli.

SEI INTERESSATO AI NOSTRI SERVIZI?
Contattaci!
SCRIVICI E TI CONTATTEREMO NOI!