La profilazione richiede tutele rafforzate

A poco più di due mesi dall’entrata in vigore del Dlgs 101/2018, che disciplina l’adeguamento della normativa nazionale alle disposizioni del regolamento Ue 2016/679, il cosiddetto Gdpr (General data protection regulation), si è svolto a Milano, presso la sede di Sorgenia, il convegno sul «Cliente e l’impresa digitale: rischi e opportunità del trattamento dei dati personali», il primo di un ciclo di incontri dedicati alla business community. Nel corso dell’evevento è stato anche presnetato un decalogo sulla privacy.

Nel corso dell’evento ha destato particolare interesse il tema del processo decisionale automatizzato, basato sulla profilazione dei dati personali. Il regolamento, all’articolo 4, punto 4, la individua in qualsiasi forma di trattamento automatizzato di dati personali consistente nel loro utilizzo per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Dunque, la profilazione deve prevedere una forma di trattamento automatizzato, anche se non unicamente automatizzato, deve essere effettuata su dati personali e deve avere la finalità di valutare determinati aspetti personali relativi a una persona fisica. Il tutto avviene mediante una raccolta di dati personali che, successivamente, vengono poi analizzati in modo automatizzato affinché si individuino delle correlazioni da applicare a una persona fisica per individuare caratteristiche di comportamento presenti o future. Praticamente, partendo dai dati raccolti e forniti più o meno direttamente dagli interessati, vengono creati dei dati nuovi.

Chiaramente, vista l’invasività di tale procedura, è fondamentale che vi sia trasparenza del trattamento, così come disciplinato anche dall’articolo 12, paragrafo 1 del Gdpr, il quale prevede che il titolare del trattamento debba fornire agli interessati informazioni concise, trasparenti, intelligibili e facilmente accessibili sul trattamento dei dati. Il titolare del trattamento, quindi, deve spiegare in maniera chiara e semplice alle persone interessate che il trattamento avviene per finalità di profilazione e di conseguente adozione di decisioni basate sul profilo generato e, soprattutto, deve spiegare come funzionano la profilazione e il processo automatizzato.

Per arginare l’acquisizione indiscriminata di dati, inoltre, il regolamento prevede che il titolare del trattamento debba assicurarsi di rispettare il principio di minimizzazione dei dati e le prescrizioni dei principi di limitazione della finalità e limitazione della conservazione. Particolare attenzione va data al fenomeno del dynamic pricing, ovvero l’individuazione del prezzo massimo che i consumatori sono disposti a pagare attraverso la profilazione degli utenti. Ovviamente, si tratta di un campo minato, ma con una precisa regolamentazione potranno avvantaggiarsene sia l’impresa che il consumatore.