Tra gli adempimenti del GDPR che stanno mettendo in maggiore difficoltà le aziende ci sono quelli legati alla profilazione e ai processi decisionali automatizzati relativi alle persone fisiche, ex art 22 del GDPR.
Tali profili, indubbiamente complessi, non necessariamente costituiscono i temi più critici in ambito privacy, ma di certo suscitano un particolare interesse e richiedono maggior impegno, essendo sicuramente quelli più vicini al business delle aziende.
Indice degli argomenti
Lo scenario attuale e gli obblighi per le aziende
Il 2018 ha consacrato, con la piena efficacia del GDPR, l’obbligo per tutte le aziende, sia pubbliche sia private, di prendere consapevolezza della privacy e della sicurezza dei dati quali temi regolamentari imperativi che, in quanto tali, non possono più essere sottovalutati. Se, da un lato, questo ha portato un immediato effetto positivo nell’ambito delle organizzazioni più valide, che hanno rigenerato e sensibilizzato la cultura interna facendo emergere risorse professionali adeguate e pronte a un cambiamento efficace, dall’altro lato, in molti casi, ha anche prodotto, all’esito del cosiddetto “adeguamento al GDPR”, dei risultati mediocri e pericolosamente approssimativi. In parte, ciò è conseguenza diretta del colpevole ritardo con cui sono state percepite sia la centralità del tema privacy & sicurezza sia la complessità delle disposizioni comunitarie, da cui è scaturita una vera e propria corsa di pochi mesi all’adeguamento.
Poco prima del 25 maggio 2018, data di definitiva applicazione del GDPR, le aziende private e le PA -fatta eccezione per poche organizzazioni virtuose che già anni prima avevano iniziato il percorso di adeguamento- hanno di fatto intrapreso una corsa ad ostacoli per sistemare, integrare o costruire ex novo il modello di adeguamento al GDPR utile a dimostrare la compliance dell’organizzazione. All’esito di questa frenetica prima fase e conseguentemente, alla aumentata consapevolezza dei temi Privacy che ne è man mano scaturita, le organizzazioni hanno iniziato a porsi una serie di interrogativi su come calare in pratica i nuovi processi di compliance e si è fatta strada la necessità di approfondire quei temi giuridici e di sicurezza a cui, inevitabilmente, in relazione sia alla singola fattispecie sia al contesto, spesso nella prima fase si è potuto dare solo soluzioni tampone.
Nella fase attuale, la maggior parte delle aziende si trova a dover ulteriormente rivedere le proprie policy con un diverso e più consapevole approccio. Una volta compresa la necessità di avviare processi personalizzati e di abbandonare per sempre la logica del one size for all che la previgente disciplina in qualche modo consentiva, le aziende si sono via via rese conto che anche adempimenti un tempo semplici, gestiti con formulazioni fumose e generaliste, devono ora rispettare stringenti requisiti normativi e richiedono una profonda conoscenza dei trattamenti effettuati e un’attenta selezione degli strumenti e delle tutele da approntare. Dopo questa presa di coscienza, il più delle volte, la documentazione predisposta e, in particolare le informative, non passa il vaglio della seconda lettura, ci si rende conto che non è poi tutto così trasparente, che il trattamento o la base giuridica non sono evidenziati, che, forse, i consensi raccolti dovevano essere articolati diversamente quanto alle finalità, oppure che il processo di privacy by design è racchiuso in un documento complesso che nessuno si è letto e che la nomina a responsabile esterno ex art 28 non è stata accettata dal Fornitore che sostiene di essere invece un titolare autonomo.
La profilazione nel GDPR e i problemi per le aziende
Il Regolamento europeo definisce, e questo è sicuramente un elemento di novità, la profilazione all’art. 4, paragrafo 4 come “Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
In estrema sintesi, perché si configuri la fattispecie della profilazione devono quindi ricorrere trattamenti di dati personali automatizzati, ma non esclusivamente, e la finalità deve consistere nella valutazione di aspetti personali di una persona fisica. La semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione, in quanto quest’ultima dipende, infatti, dalla finalità della classificazione (cfr. WP29 251).
Ciò posto, per coloro che non ne colgono la differenza basti sapere che per poter utilizzare i dati personali per finalità di profilazione occorre avere riguardo ad una serie di presupposti giuridici e tecnici previsti dalla normativa in tema di data protection, anche attraverso i provvedimenti che la nostra Autorità ha emanato, diversamente che nel caso della semplice analisi dei dati stessi. Ebbene la linea di demarcazione fra profilazione/e processo di analisi tout court, se appare chiara nei provvedimenti dell’Autorità italiana che si sono succeduti negli anni, non è sempre così netta e definita e ciò soprattutto negli uffici marketing delle aziende, in ambito sales o in ambito finance. Gli uses cases infatti sono tantissimi e la disamina deve prendere in considerazione una serie di fattori.
Tanto basta per spiegare che, nella pratica, le aziende considerano come trattamenti di semplice analisi trattamenti che invece sono riconducibili a profilazione e viceversa e, in entrambi i casi, è facile immaginare le perniciose ricadute a livello di business: nel primo caso il rischio di una sanzione e nel secondo la perdita di utilizzabilità del dato e quindi del valore generato o generabile.
Il trattamento automatizzato dei dati
Altra importante novità introdotta dal GDPR riguarda le decisioni basate, questa volta, unicamente sul trattamento automatizzato, che possono, ma non sempre, ricomprendere la profilazione. Queste decisioni sono di norma vietate se hanno un effetto giuridico o incidono in modo analogo su di una persona fisica. Ma esistono eccezioni alla regola:
- quando la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- quando la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- quando la decisione si basa sul consenso esplicito dell’interessato.
La prima disamina che quindi andrebbe fatta è se la valutazione in ordine allo scenario di trattamento rientri o meno nell’ambito di un processo che non coinvolge minimamente l’intervento umano. Inoltre perché sia riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato è necessario che tale decisione “produca effetti giuridici o incida in modo analogo significativamente sulla sua persona”.
Il Considerando 71 del GDPR cita, come esempi di decisioni automatizzate che possono incidere in maniera rilevante sui diritti e le libertà degli individui, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. L’analisi dovrà quindi avere riguardo agli “effetti giuridici” e alle circostanze che in modo analogo”possono produrre sulla sfera giuridica dell’individuo frutto della decisione automatizzata (ad es. limitando la libertà contrattuale o il diritto di scelta). Il risultato di detta analisi renderà l’utilizzabilità dei dati tanto più corretta e lecita quanto più corrette saranno le informative, compiutamente individuate le basi giuridiche, e coerenti le misure tecniche ed organizzative che il titolare dovrà avere cura di porre in essere. Quanto al presupposto di liceità, poi, sarà opportuno non soffermarsi solo su quelli tipici, ma valutare, ad esempio nel caso di scenari di big data, se il trattamento sia effettuato per una finalità diversa da quella iniziale, se sia compatibile con un’altra finalità in base ai parametri elencati nell’articolo 6 paragrafo 4.
Si pensi quanto tutti i suddetti presupposti possano incidere, tra l’altro, sulla user experience di un utente/cliente in un sito di e-commerce ove si debbano raccogliere più consensi (per singola finalità) e predisporre informative adeguate e trasparenti (ove ad esempio non possano essere rese in modalità solo testuale) o alla organizzazione interna con riguardo ai sistemi di Datawarhouse o ai CRM per i quali rileva moltissimo l’impostazione corretta dei dati in essi storicizzati.
I sistemi data scientist
Altro tema è quello della corretta acquisizione dei dati nell’ambito degli strumenti utili allo sviluppo delle professionalità impegnate, ad esempio, sui sistemi di “data scientist” ovvero su metodologie che sfruttano la scienza dei dati. La possibilità di scoprire modelli o altre informazioni utili può determinare un aumento del vantaggio competitivo di un’azienda, un aumento dell’efficienza o l’identificazione di opportunità di mercato. L’utilizzabilità dei dati raccolti dalle aziende e la conoscenza prodotta dalla scienza dei dati dipenderanno da una analisi giuridica attenta che tenga conto delle sfumature sottese ai passaggi della norma e, quindi, in ultima analisi dall’adeguatezza delle misure di protezione apposte.
Tutto ciò deve avvenire ex ante e, in tal senso, il GDPR offre sicuramente strumenti di valutazione chiari ed applicabili prima che i trattamenti vengano posti in essere. Non resta che studiarli, comprenderne approfonditamente i razionali ed attuarli. Il GDPR è una norma più elastica di quelle precedenti, molto basata sull’autovalutazione e sulla possibilità, anche grazie allo strumento della valutazione di impatto, di adottare scelte tecnologiche più moderne, una normativa fortemente impostata sull’analisi dei rischi ma che, a fronte di queste aperture, prevede più diritti in capo agli interessati e sanzioni molto più pesanti. La sanzione del CNIL a Google, rende perfettamente l’idea dei rischi che oggi corrono le aziende.
