Processo decisionale automatizzato e profilazione

“L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamen- to automatizzato, compresa la profilazione [...]”. Così l’articolo 22 del GDPR esplicita la stretta

237 _{Data Protection Act 1998, s 12.1.} 238 _{Data Protection Act 2018, s 12bis.1.}

239 _{MENDOZA,BYGRAVE, The Right Not to be Subject to Automated Decisions Based on Profiling, cit.}

240 _{WACHTER,MITTELSTADT,FLORIDI, Why a Right to Explanation of Automated Decision-Making Does Not Exist}

in the General Data Protection Regulation, cit., 94-95.

241 _{MENDOZA,BYGRAVE, The Right Not to be Subject to Automated Decisions Based on Profiling, cit., 87; PIERUCCI,}

Elaborazione dei dati e profilazione delle persone, cit., 437.

242 _{Art. 29 WP, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profila-}

zione ai fini del regolamento 2016/679, adottate il 3 ottobre 2017, emendate in data 6 febbraio 2018, WP 251 rev.01.

52

relazione che intercorre tra il processo decisionale automatizzato e la profilazione, renden- do necessaria la definizione dei due termini per comprenderne, alla luce di questa, i punti di contatto. Se infatti tali fenomeni appaiono indubbiamente connessi, questi non sono obbli- gatoriamente compresenti, potendo la decisione automatizzata includere o meno la profila- zione.

L’articolo 4.4 del GDPR definisce la profilazione244 _{come “qualsiasi forma di trattamento}

automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabili- tà, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.”. Tre sono gli aspetti più significativi che necessitano approfondimento245_{. La profilazione:}

•è una forma di trattamento automatizzato: ciò implica per un verso l’esclusione dei trattamenti manuali, per l’altro l’inclusione di quei trattamenti anche solo parzialmente au- tomatizzati. Il Working Party precisa che è sufficiente che la profilazione implichi “una qual- che forma di trattamento automatizzato”, mentre il coinvolgimento umano di per sé non com- porta necessariamente l’assenza della stessa246. Muovendo da tali presupposti, emerge come il trattamento unicamente automatizzato sia condizione necessaria solo per l’applicazione del- la disciplina ex articolo 22. Si nota, dunque, un primo sfasamento tra il concetto di profila- zione e quello di processo decisionale automatizzato: per la prima è sufficiente che il trat- tamento automatizzato sia una delle componenti, per il secondo deve rappresentare l’unica forma di trattamento247;

•è effettuata su dati personali: il Regolamento adotta un’impostazione comprensi- bilmente legata al dato personale, elemento imprescindibile per l’applicazione dei suoi prin- cipi248_{, tuttavia si pone in discontinuità rispetto alla Raccomandazione CM/Rec(2010)13}

che fa riferimento in generale al concetto di “dati” sancendo l’applicazione delle disposi- zioni contenute al suo interno anche ai casi di profilazione che nella fase iniziale riguardino

244 _{Ad anticipare il Regolamento, seppur con delle differenze che emergeranno parzialmente nel prosieguo}

della trattazione, è l’articolo 1.e) della Raccomandazione CM/Rec(2010)13 del Consiglio d’Europa: ““Profiling”

means an automatic data processing technique that consists of applying a “profile” to an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes”.

Invece, sia la Direttiva 95/46 che il Codice Privacy non definiscono la profilazione, pur prevedendo in en- trambi i casi una specifica norma sulle decisioni automatizzate che richiama più o meno esplicitamente tecni- che di profilazione. Cfr. PIERUCCI, Elaborazione dei dati e profilazione delle persone, cit., 420.

245 _{Linee Guida, 7.} 246 _{Linee Guida, 7.}

247 _{A.RICCI, I diritti dell’interessato, inFINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla pro-}

tezione dei dati personali, cit., 242.

dati anonimi;

•è volta a valutare determinati aspetti personali relativi a una persona fisica: il Wor- king Party traduce l’utilizzo del verbo “valutare” nelle azioni di analizzare249 _{o prevedere}

aspetti riguardanti le persone fisiche, così l’inferenza statistica è elemento sufficiente per configurare la profilazione, ma non necessario250. Si riscontra anche in questo caso una di- vergenza rispetto alla Raccomandazione CM/Rec(2010)13, che esclude da tale concetto il trattamento che non include la deduzione.

Questi aspetti, insieme con la nozione di processo decisionale automatizzato, portano alla luce una duplice anima della profilazione: si ha da un lato il processo di creazione del profilo sulla base di un’analisi dei dati alla ricerca di pattern e relazioni, dall’altro l’applicazione del profilo utilizzandolo per assumere decisioni nei confronti di un indivi- duo251_{. È in questo secondo momento (solo eventuale) che si verifica la decisione basata}

sulla profilazione. Non sempre, però, risulta facile distinguere i due momenti, anzi, il confi- ne tende spesso a sfumare portando alla sovrapposizione dei due regimi (quello della profi- lazione e quello delle decisioni automatizzate)252_.

Riassumendo, dunque, si possono distinguere quattro dinamiche che vedono l’interazione tra le due nozioni (compresi i casi in cui solo una delle due sia presente): (i) so- la profilazione quale riconoscimento di relazioni tra i dati e creazione di profili; (ii) processo decisionale basato sulla profilazione, in questo caso un essere umano assume una determi- nazione253 _{sulla base di un profilo prodotto con mezzi automatizzati}254_{; (iii) decisione basata}

unicamente sulla profilazione (nel caso in cui sussistano anche le altre condizioni si appli- cherà la disciplina ex articolo 22 GDPR); (iv) processo decisionale basato su un trattamento automatizzato diverso dalla profilazione (ad esempio nel caso in cui sia inflitta una multa per eccesso di velocità esclusivamente sulla base delle prove fotografiche fornite dall’autovelox)255_.

Infine, a catturare l’attenzione dell’interprete è l’adozione, nel contesto del processo

249 _{Il Working Party precisa che la semplice classificazione di persone basata su caratteristiche note quali età,}

sesso e altezza non determina automaticamente una profilazione, bensì dipenderà dalla finalità della classifica- zione. Cfr. Linee Guida, 7.

250 _{Linee Guida, 7.}

251 _{BYGRAVE,Minding the Machine: Article 15 of the EC Data Protection Directive and Automated Profiling, cit., 17.} 252 _Ibidem.

253 _{Nel paragrafo successivo si approfondiranno le caratteristiche necessarie affinché la componente umana}

non sia da ritenersi meramente formale e dunque fittizia.

254 _{Linee Guida, 9.} 255 _{Linee Guida, 9.}

54

decisionale automatizzato, di una prospettiva basata sull’individuo256, tanto che la rubrica dell’articolo 22 del GDPR nella versione inglese recita: “Automated individual decision-making, including profiling”. Tale approccio non modifica i rapporti tra profilazione e decisione auto- matizzata fin qui descritti in quanto nessuna limitazione è posta alla prima (non si richiede una “profilazione individuale”), purché la decisione basata su di essa sia diretta ad un indi- viduo257_{. In questo caso, il profilo di criticità emerge se si considera il rischio di una discri-}

minazione collettiva - scenario non inusuale nel contesto dei Big Data analytics258 - contro il quale sarebbero apprestate solo tutele tipicamente individuali in forza dell’articolo 22 del GDPR.