Processi decisionali automatizzati: nuove tutele con il GDPR


Il diritto riconosciuto dall’art. 22 del GDPR

Il Regolamento Europeo in materia di protezione dei dati personali introduce il tema dei processi decisionali automatizzati all’art. 22, nel capo – il terzo – dedicato ai diritti degli interessati. L’interessato, infatti, “ha diritto di NON essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Sebbene il tema della “collezione automatizzata di dati” e del conseguente “trattamento automatizzato” fossero ampiamente trattati già all’interno della Convenzione di Strasburgo (n. 108/1981), solo con la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, la tutela verso le decisioni automatizzate si trasforma in un diritto riconosciuto.

In particolare la Direttiva riportava, fra i considerando, che “le persone devono avere inoltre il diritto di conoscere la logica su cui si basa il trattamento automatizzato dei dati che le riguardano, perlomeno nel caso delle decisioni automatizzate”. Da qui si evince anche come, già nella sua concezione originaria, il diritto in questione derivasse strettamente dal diritto di accesso ai dati che riguardano una persona e che sono oggetto di trattamento (art. 12 par.1 lett. a della Direttiva), diritto riconosciuto al fine di poter verificare, in particolare, l’esattezza dei dati stessi e la liceità del trattamento. Conoscere la logica alla base del trattamento automatizzato significa poter accedere ad informazioni fondamentali per avere effettiva contezza del trattamento operato.

I rischi intrinseci ai processi automatizzati

L’attuale art. 22 del GDPR in parte ricalca il contenuto dell’art. 15 della Direttiva, ma è interessante notare come nella Direttiva non si parlasse ancora di “profilazione”. Il ricorso alla profilazione come processo decisionale automatizzato, infatti, si è diffuso in particolar modo negli ultimi anni, di pari passo con l’evoluzione tecnologica. Il progresso ha reso i trattamenti automatizzati molto più efficienti ed economici rispetto al passato. Tuttavia, come spesso accade, l’evoluzione porta con sé sacrifici e nuovi rischi.

  • In primo luogo gli algoritmi alla base dei processi automatizzati sono diventati sempre più complessi e di difficile comprensione. Questo certamente non favorisce il rispetto dei principi di trasparenza, anzi: i trattamenti basati su processi automatizzati spesso sono opachi e questo porta l’interessato a non essere realmente consapevole dell’attività di profilazione che viene svolta sulla sua persona;
  • In secondo luogo l’utilizzo di meccanismi automatizzati di trattamento spesso genera nuovi dati, ovvero nuove informazioni che, pur abbinate all’interessato, potrebbero non essere corrette. Il risultato di questo processo può evolvere in negativo, nell’inserimento dell’interessato in una categoria che non gli appartiene, orientando le sue scelte, anche in modo discriminatorio.

Le forme di tutela previste dal GDPR

Al fine di contenere i suddetti rischi, il GDPR prevede una serie di requisiti necessari per rendere i trattamenti automatizzati conformi alla normativa e tali da garantire la tutela delle persone fisiche coinvolte. Si tratta in particolare:

  • Delle prescrizioni in materia di trasparenza, comunicazione ed informazione
  • Degli obblighi di accountability imposti al Titolare del trattamento
  • Della previsione di specifiche basi giuridiche volte a garantire il principio di liceità
  • Delle nuove garanzie per gli individui, fra cui il diritto di opporsi alla profilazione
  • Della valutazione di impatto sulla protezione dei dati (DPIA), fondamentale per bilanciare gli interessi perseguiti dal Titolare con i rischi per i diritti e le libertà degli interessati

Processi decisionali automatizzati VS profilazione

Non è detto che un processo automatizzato comporti anche la profilazione: può succedere infatti che una decisione automatizzata venga presa senza aver creato un profilo dell’interessato. Nelle linee guida del 03/10/2017 (WP251), il Gruppo di lavoro articolo 29 (oggi EDPB), ha chiarito il concetto con alcuni esempi.

Comminare una multa per eccesso di velocità esclusivamente sulla base delle riprese effettuate dalle telecamere (tutor, autovelox, etc.), è un processo automatizzato ma che non comporta profilazione.

Se, invece, l’ammontare della multa venisse calcolato abbinando alla rilevazione dell’illecito la valutazione di molteplici fattori quali, ad es., le abitudini di guida, e/o altre violazioni del codice della strada, si tratterebbe di profilazione.

In quest’ultimo caso il trattamento automatizzato avviene su informazioni strettamente correlate alla persona e persegue il suo fine studiando le abitudini, il comportamento, lo stile di vita, etc. Attraverso la profilazione si raccolgono informazioni sull’individuo, si analizzano le sue caratteristiche per creare profili, poi inseriti in cluster (gruppi più ampi) per eseguire, successivamente, valutazioni, previsioni, analisi etc.

Nel primo caso (processo decisionale automatizzato) gli elementi chiave sono due: la presenza di un trattamento automatizzato e la successiva decisione basata unicamente su di esso. Il sopracitato art. 22 del GDPR riconosce all’individuo il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

L’espressione “unicamente” ricomprende quei processi automatizzati nei quali gli esseri umani non influiscono sulla decisione (quindi potrebbe anche esserci un intervento umano, ma quello che rileva ai fini del diritto in esame è la capacità soggettiva di influire sulla decisione automatizzata).

Per essere riconosciuto, inoltre, il diritto di cui all’art. 22 GDPR richiede la presenza di conseguenze giuridiche o effetti negativi analoghi sulla persona. Si pensi, ad es., al diniego di una richiesta di finanziamento basata unicamente su un processo automatizzato. Tale diniego può sicuramente comportare effetti negativi per l’interessato.

Dalla parte degli interessati

Alle condizioni sopra esposte, agli interessati è quindi riconosciuto dal GDPR un importante diritto, quello di cui all’art. 22 e che si traduce nel concreto nella facoltà di opporsi al trattamento. Il Titolare dovrà quindi rispettare le regole generali di cui all’art. 12 GDPR (il quale prevede le indicazioni rivolte al Titolare per ottemperare le richieste, in termini di tempo e modalità). In caso di inottemperanza, restano ferme per l’interessato le ordinarie forme di tutela, fra cui la possibilità di rivolgere reclamo all’Autorità di controllo competente ovvero ricorrere all’Autorità giudiziaria ordinaria.

Articolo a cura di Federico Corti | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: