I sistemi di profilazione e i processi decisionali automatizzati trovano impiego in una gamma sempre più ampia di settori pubblici e privati – dalle banche alla sanità, dal fisco alle assicurazioni, dalla pubblicità al marketing – e possono risultare utili per gli individui come pure per la società e l’economia nel suo complesso in termini di incremento di efficienza e risparmio delle risorse.
Per questo i Garanti Privacy dell’Unione Europea chiedono una profilazione più trasparente e no a decisioni completamente automatizzate che possono produrre effetti giuridici per la persona. Questi in sintesi i principi che ispirano le Linee guida su profilazione e decisioni automatizzate adottate di recente dalle Autorità di protezione dati europee alla luce del Regolamento europeo in materia di protezione dei dati personali.
Nelle Linee guida le Autorità europee chiariscono le previsioni normative introdotte dal Regolamento in materia di profilazione e decisioni automatizzate, fornendo indicazioni a chi tratta i dati per mettersi in regola con la nuova normativa.
I sistemi di profilazione possono comportare rischi significativi per i diritti e le libertà delle persone: oltre ad essere spesso poco trasparenti, questi trattamenti di dati possono confinare una persona all’interno di una determinata categoria limitandone le scelte o suggerendone altre sulla base di quelle già espresse, perpetuare stereotipi, dar luogo a previsioni inesatte, impedire l’accesso a servizi o prodotti e, in taluni casi, causare forme ingiustificate di discriminazione.
Le società dovranno innanzitutto improntare il trattamento dei dati ai principi di privacy by design e privacy by default e minimizzare il loro uso. Dovranno poi porre particolare attenzione agli obblighi di trasparenza che il Regolamento Ue attribuisce loro nell’ambito delle decisioni automatizzate. Ciò significa che dovranno informare chiaramente gli utenti sull’attività di profilazione e garantire loro il diritto di conoscere quali dati e quali categorie di dati personali sono stati utilizzati. Per quanto riguarda le decisioni automatizzate i titolari dovranno informare gli utenti sull’esistenza e sulle conseguenze di processi decisionali totalmente automatizzati che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo, come, ad esempio, l’eventuale esclusione dal credito sancita da un algoritmo. Alla persona interessata non occorrerà conoscere le formule alla base dell’algoritmo, quanto piuttosto, individuare, in maniera comprensibile i criteri e le modalità di aggregazione dei dati che hanno portato alla sua collocazione in una categoria predeterminata. Ma soprattutto, all’interessato dovrà essere sempre garantito il diritto di ottenere l’intervento umano nella valutazione e di poter contestare la decisione.
Una particolare attenzione è stata richiesta dalle Autorità europee per i trattamenti di dati che riguardano i minori a fronte della loro maggiore vulnerabilità rispetto a trattamenti particolarmente invasivi. Alle Linee guida, infine, sono allegate alcune raccomandazioni basate sulle “migliori prassi” raccolte negli Stati Membri.
