Il Gruppo di lavoro ex Articolo 29 (nel prosieguo in sigla “WP29”, dall’acronimo inglese di “Working Party Article 29”), l’organismo consultivo e indipendente composto da un rappresentante delle autorità di protezione dei dati personali europee e da sempre attivo sul piano della data protection e in tematiche privacy ha rilasciato, in data 3 ottobre 2017, il documento inerente le Linee Guida in materia di profilazione.
Negli ultimi tempi, l’attività del WP29 si è incentrata sul dettato del nuovo Regolamento UE n. 2016/679 (il c.d. Gdpr), che regolamenta il tema della data protection in ambito europeo.
In particolare il WP 251 contenente le linee guida sulla profilazione, dopo aver inquadrato il contesto di riferimento, ne da una definizione. Questa viene individuata come “la raccolta di informazioni su un individuo, o un gruppo di individui, per analizzare le caratteristiche al fine di inserirli in categorie, gruppi o poterne fare delle valutazioni o delle previsioni”.
Seguendo il dettato del Gdpr, la profilazione si compone di tre elementi base: il trattamento deve essere automatizzato, deve inoltre essere condotto su dati personali e deve perseguire l’obiettivo studiando il comportamento delle persone fisiche.
Esistono differenti metodologie di utilizzo della profilazione. La prima, generica, prevede la raccolta dei dati attraverso modalità non necessariamente automatizzate; la seconda, una serie di decisioni basate sulla profilazione e, infine, le decisioni totalmente automatizzate. Mentre la prima non pone in essere particolari criticità, le ultime due meritano particolare attenzione.
La differenza tra queste viene spiegata, nel documento, attraverso due esempi. Una decisione basata sulla profilazione si ha quando, ad esempio, un utente decide se richiedere un prestito basandosi su un risultato automatizzato; si tratta invece di decisioni totalmente automatizzate quando un algoritmo decide quali utenti possono essere destinatari di un prestito, senza l’interazione umana.
Pare chiaro che il focus debba essere incentrato sul concetto di “decisione automatizzata”, rilevando come per essa si intenda “la capacità di prendere decisioni tramite l’utilizzo di strumenti tecnologici, senza l’intervento umano”. Viene specificato come la profilazione non è condizione base per l’assunzione di decisioni automatizzate, ma come queste non siano necessariamente due attività distinte: ciò che inizia come un semplice processo decisionale automatizzato potrebbe basarsi in futuro sulla profilazione, tutto dipende dall’utilizzo che viene fatto dei dati raccolti.
Alla luce di tutto questo, le linee guida vanno a delineare quelle che sono le attività che, attraverso modalità automatizzate di profilazione (anche generica), il Titolare del trattamento andrà ad effettuare.
Proprio perché la profilazione viene realizzata attraverso sistemi di raccolta dati che operano in background, senza che l’utente ne abbia piena percezione, il Titolare deve fornire una informativa chiara, completa ed esaustiva all’interessato. Il consenso infatti, è la base giuridica fondamentale per poter perseguire finalità di profilazione. Questo, è bene ricordarlo, deve essere inequivocabile e specifico e, come stabilito dall’articolo 4 del Gdpr, “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato”.
La finalità di profilazione è tra quelle considerate maggiormente critiche, poiché tra le più pervasive dell’esperienza digitale dell’interessato. Viene infatti inibita qualsiasi possibilità di utilizzare, per tali finalità, dati originariamente raccolti per altre finalità se non previo esplicito consenso da parte dell’interessato. Il Titolare deve inoltre mettere in atto misure di sicurezza adeguate per proteggere i dati oggetto della profilazione.
Infine, con riferimento specifico ai minori, le linee guida fissano il principio secondo cui questi ultimi, non disponendo delle risorse necessarie per rendersi conto dei rischi e delle conseguenze che si celano dietro il trattamento dei loro dati personali vengono considerati come soggetti maggiormente vulnerabili. In tal senso dovranno essere implementate ulteriori cautele (eventualmente integrate direttamente all’interno di codici di condotta) da parte del Titolare.
Tali linee guida, si trovano al momento aperte alla pubblica consultazione. Non ci resta quindi che aspettare la c.d. “rev01” e la conseguente adozione definitiva da parte del Gruppo di lavoro ex Articolo 29.