Profilazione e Decisioni Automatizzate

Profilazione e Decisioni Automatizzate

Indice

Introduzione ...1

Capitolo I - Il Contributo del Regolamento 2016/679 in Materia di Profilazione e di Decisioni Automatizzate ...5

I.1. Nozione di profilazione e di processo decisionale automatizzato ...5

I.2. Requisiti necessari da rispettare durante il processo di profilazione ...14

I.3. Le eccezioni al divieto di processo decisionale automatizzato sancito dall’art. 22 ...20

I.4. I diritti dell’interessato nel contesto della profilazione e il controverso right to explanation ...22

I.5. Strumenti di tutela a favore dell’interessato: data protection by design e by default ...27

Capitolo II - La Profilazione tramite l’uso dei Cookies a seguito della Cookie Law Italiana ...33

II.1. I cookie di profilazione ...33

II.2. L’obbligo d’informativa estesa ...42

Capitolo III - L’algoritmo alla luce delle tecniche

di profilazione e delle decisioni automatizzate ...57

III.1. Il ruolo cruciale dei big data e l’insita opacità dei processi decisionali automatizzati ...57

III.2. Benefici e rischi nell’uso degli algoritmi per l’elaborazione dei dati personali ...65

III.3. Machine learning e il fenomeno del filter bubble ...74

III.4. L’algoritmo al servizio della giustizia………...85

Conclusioni………109

INTRODUZIONE

Con l'avvento di internet e con la fruizione dei servizi da esso proposti e accessibili da parte di un numero sempre crescente di utenti (ad es. reperimento di informazioni, acquisti on line, trading, accesso al credito, fruizione di servizi sanitari, etc.) si è avvertita, a livello giuridico e non solo, sempre più la stringente necessità di definire, regolare e proteggere tutte quelle informazioni e caratteristiche che ineriscono l'utente della rete (c.d.cibernauta) in quanto soggetto necessariamente “profilato”.

Per profilazione deve intendersi, secondo quanto indicato nell’art. 4, par. 4, del Regolamento Generale sulla Protezione dei Dati “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

In questo lavoro saranno analizzate le nuove linee guida sulla profilazione degli utenti e sul processo decisionale automatizzato ad essa, legato anche sulla scia dei recenti dibattiti accademici circa la novità del suddetto trattamento dei dati e sulla loro protezione, soprattutto in relazione alle novità e specificità della materia che potrebbe essere foriera di criticità allo stato ancora non previste e non prevedibili.

La normativa relativa alla profilazione e al processo decisionale automatizzato si rinviene, allo stato, nell’art. 22 GDPR e, prima ancora, nella Direttiva europea 2009/136/CE in materia di privacy recepita in Italia il 28 maggio 2012 i cui testi forniscono indicazioni circa le modalità di profilazione, conservazione e trattamento dei dati personali dell'utente. Vengono peraltro stabilite anche le sanzioni specifiche in caso di violazione delle prescrizioni normative poste a carico del soggetto titolare del trattamento dei dati.

Invero, la criticità maggiore da affrontare era quella di evitare che la profilazione dell'interessato si basasse solo, ed esclusivamente, su di un trattamento puramente

automatizzato di dati personali e sensibili che, una volta raccolti, trattati e conservati con meccanismi spesso non trasparenti, potessero di fatto creare e categorizzare gli interessati in maniera poco chiara e velatamente discriminatoria ad esempio impedendo, di fatto, l'accesso a determinate categorie profilate di vitale importanza (l'accesso al credito, al welfare, alla fiscalità, etc).

Alla luce di questo è intuibile, che l'art. 22 GDPR appaia come una norma non semplice da interpretare, poiché, come meglio sarà analizzato nel corso dello scritto, si compone di numerose eccezioni e complicazioni.

Basti considerare il fatto che Il diritto dell'interessato di non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, è escluso se tale decisione è necessaria per la stipula di un contratto, autorizzata dalla legislazione degli Stati membri o basato sul consenso esplicito dell'interessato medesimo.

Appare pacifico che, qualora venissero applicate alcune eccezioni, debbano essere necessariamente introdotte garanzie minime esplicitamente prescritte; consideriamo ad esempio, oltre a quelle indicate sopra, decisioni che si basano su categorie speciali di dati personali, come quelli relativi alla salute, razza e religione, per le quali il processo decisionale automatizzato sarà consentito solo sulla base del consenso esplicito dell'interessato o quando sia presente un interesse pubblico prevalente che oltrepassa quello del singolo.

Dopo l’analisi normativa sia nazionale che sovranazionale in materia di profilazione, trattamento e processo decisionale automatico dei dati, appare doveroso affrontare, nella trattazione, le tecniche di profilazione al fine di comprendere lo stato dell'arte attuale di questa nuova materia che, al di là di luci ed ombre comprensibilmente oggi presenti, dovrà impegnare il legislatore a confrontarsi con una tematica nuova ed in costante evoluzione per la tutela dei diritti degli interessati .

Capitolo I

Il Contributo del Regolamento n. 2016/679 in Materia

di Profilazione e di Decisioni Automatizzate

I.1. Nozione di profilazione e di processo decisionale automatizzato.

Preliminarmente, ai fini dell'esegesi del tema che s'intende sviluppare, occorre individuare la nozione di processo decisionale individuale automatizzato la quale, nel corso dell'ultimo ventennio, è stata protagonista di un virtuoso evoluzionismo. Infatti, al netto delle posizioni meno accreditate in dottrina, è possibile definire il processo decisionale automatizzato come quella decisione presa esclusivamente con mezzi automatizzati, senza che possa individuarsi alcuna forma di coinvolgimento umano. Basti pensare, ad esempio, alla decisione di concedere un mutuo oppure ad un test attitudinale per il reclutamento, in entrambi i casi vengono utilizzati algoritmi e criteri pre-programmati e capaci di generare una scelta compiuta1_.

Il processo decisionale si considera, quindi, automatizzato quando le decisioni si basano esclusivamente e perentoriamente sul trattamento automatizzato dei dati personali producendo, di conseguenza, effetti giuridici sull'interessato. Il trattamento, così considerato, include anche la fase di profilazione definita nel Regolamento Generale sulla Protezione dei Dati (da ora in poi GDPR) nella misura in cui produce effetti legali sull'interessato o, eventualmente, lo influenza in modo corrispondente e significativo.

Invero, il processo decisionale automatizzato è possibile senza profilazione e viceversa. Una singola attività di elaborazione può coinvolgere entrambi, a seconda di fattori come

i dati utilizzati. Le decisioni che non si basano esclusivamente sull'elaborazione automatizzata possono comportare la profilazione. Questo potrebbe essere il caso, ad esempio, di una banca che elabora i dati di rating del credito del richiedente un mutuo e, pertanto, quando prende una decisione in merito svolge nei confronti della persona fisica interessata un ruolo significativo nel processo decisionale.

Il processo decisionale automatizzato può basarsi su qualsiasi tipo di dati. La decisione può fondarsi su dati ottenuti direttamente dall'interessato, e quindi raccolti attraverso l'osservazione o la deduzione, i quali sono derivati a sua volta da altri dati come il profilo personale creato dell'interessato in cui convergono tutti i suoi interessi positivi e negativi2_.

Come menzionato sopra, il processo decisionale individuale automatizzato non deve comportare necessariamente la profilazione. Come si vedrà in modo più dettagliato nel corso del presente lavoro all’art. 4, par. 4, GDPR la profilazione viene definita come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

Il testo normativo, pertanto, appare in grado di rilevare tre elementi strutturali della profilazione che possono essere individuati in:

➢ automatizzazione, almeno parziale del trattamento; ➢ analisi di dati personali;

➢ valutazione degli aspetti personali.

L'Art. 22 del Regolamento Generale sulla Protezione dei Dati (G.D.P.R. dall’Inglese

General Data Protection Regulation) vieta, con alcune eccezioni, che l’interessato sia

2 B. SAETTA, Profilazione e processi decisionali automatizzati, in Protezione Dati Personali – Data Protection, 2019.

sottoposto a qualsiasi “decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Invero, questo diritto era già previsto agli artt. 12, lett. a), e 15 Direttiva europea 95/46/CE (D.P.D. dall’Inglese Data Protection Directive). La ratio di fondo del legislatore europeo, a metà degli anni Novanta del secolo scorso, era quella di tentare di dare una risposta a quei primi timori e scetticismi che emergevano all'alba di una prima forma di digitalizzazione.

Si cercava di arginare, per quello che si poteva, che decisioni automatizzate e quindi apparentemente imperscrutabili e non contestabili potessero pregiudicare l'accesso a servizi in settori di rilievo fondamentale quali il credito, l’alloggio o le assicurazioni.

Tuttavia, la previsione rimaneva pressoché sconosciuta a tutti gli addetti ai lavori, cadendo facilmente nell'oblio della sua stessa inapplicazione3_.

Il diritto ad opporsi a processi decisionali automatizzati è stato poi recuperato con l'art. 22 G.D.P.R. che, con alcune ma significative modifiche, è diventato oggetto di consistenti attenzioni per la sua possibile utilità nel frenare il potere degli algoritmi di apprendimento automatico che possono risultare molto complessi e poco trasparenti4_.

Tali sistemi comunemente assumono o supportano l’assunzione di decisioni di enorme importanza per cittadini e consumatori in settori sia pubblici che privati, gli studiosi hanno da tempo posto in luce il rischio che le decisioni assunte sulla base o con l’ausilio di tali sistemi possano produrre risultati discriminatori, distorti o ingiusti.

L'art. 22 in esame non deve considerarsi una norma di agile ricostruzione, poiché il suo contenuto risulta ricco di eccezioni e complicazioni. In primis, il diritto alla non

3 G. DI CIOLLO, L'ambito di applicazione della normativa privacy: analisi comparata tra GDPR e Direttiva 95/46/CE, Roma, 2019.

sottoposizione al processo decisionale automatizzato è escluso se la decisione è necessaria per la stipulazione di un contratto, autorizzato dalla legislazione degli Stati membri o basato sul consenso esplicito. Se trovano quindi applicazione le eccezioni previste, dovranno essere istituite conseguentemente garanzie minime esplicitamente prescritte.

Inoltre, se la decisione si basa su categorie speciali di dati personali definiti nell'art. 9 G.D.P.R. (gli ex dati sensibili del codice privacy quali salute, razza e religione), il processo decisionale automatizzato è consentito solo sulla base del consenso esplicito o sostanziale interesse pubblico5_.

L'art. 22 non è l'unica disposizione del GDPR ad essere stata implementata per regolare l'ascesa del processo decisionale algoritmico. I diritti di informazione e accesso, di cui agli artt.i 13, co. 2, lett. f)6 _{e 15, co. 1, lett. h)}7_{, anch’essi già presenti} nella D.P.D., ed ora opportunamente ottimizzati, prevedono che gli interessati debbano essere informati dell'esistenza stessa del processo decisionale automatizzato, compresa la profilazione, in aggiunta a ricevere “informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”8_.

Sullo sfondo di questo rinnovato interesse globale per l'art. 22 e altre parti del G.D.P.R. come rimedi con cui ridurre i rischi correlati all'impiego degli algoritmi, il rilascio da parte del gruppo di lavoro (WP dall’Inglese Working Party) sulla protezione dei dati e delle linee guida elaborate in materia di trasparenza è stato definito in base alle previsioni del Regolamento (UE) 2016/679 9_.

5 Art. 9 EU RGPD “Trattamento di categorie particolari di dati personali”.

6 Art. 13 EU RGPD “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”. 7 Art. 15 EU RGPD “Diritto di accesso dell’interessato”.

8 _{FIORIGLIO – CROARI, GDPR e il diritto d’accesso, su dirittodellinformatica.it, 2018.}

9 MANTEALERO – POLETTI, Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa University Press, 2018.

Il documento in questione, sicuramente di ampio respiro dal momento che ha ad oggetto le definizioni sia del processo decisionale automatizzato sia della profilazione, l’elaborazione e analisi delle specifiche disposizioni di cui all'art. 22, che le disposizioni più generali sulla profilazione e il processo decisionale automatizzato10_.

Inoltre, vengono esplorati temi specifici relativi alla protezione dei minori e la valutazione d'impatto sulla protezione dei dati (DPIA dall’Inglese Data Protection Impact Assessment). La profilazione analizza così gli aspetti della personalità, del comportamento, degli interessi e delle abitudini di un individuo per formulare previsioni o decisioni al riguardo11_.

Le organizzazioni ottengono informazioni personali sugli individui da una varietà di fonti diverse. Ricerche su internet, abitudini di acquisto, stile di vita e dati comportamentali raccolti da telefoni cellulari, social network, sistemi di videosorveglianza e internet of Things (IoT). Questi sono esempi dei tipi di dati che le organizzazioni potrebbero raccogliere. Questi dati vengono poi analizzati per classificare le persone in diversi gruppi o settori ed identificare le correlazioni tra diversi comportamenti e caratteristiche per creare profili per gli individui che a loro volta potranno essere considerati come dati aggiuntivi per quelle persone12_.

Le organizzazioni utilizzano la profilazione per13_: ➢ scoprire le preferenze degli individui; ➢ prevedere il loro comportamento futuro;

➢ effettuare delle scelte e prendere delle decisioni rilevanti sugli individui.

La profilazione può utilizzare algoritmi. Un algoritmo, per definizione, è una sequenza di istruzioni o un insieme di regole progettate per completare un'attività o risolvere un

10 GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, WP n.251, 6 febbraio 2018.

11 _{D. PADOVAN, DPIA e GDPR una corretta valutazione dei rischi privacy, CyberSecurity, 2019.} 12 BARRACO – SITZIA, La tutela della privacy nei rapporti di lavoro, Ipsoa, 2018, Milano.

problema14_{. La creazione di profili utilizza algoritmi per trovare correlazioni tra set di dati} separati e possono essere utilizzati per prendere una vasta gamma di decisioni, ad esempio per prevedere il comportamento o controllare l'accesso a un servizio.

I sistemi di intelligenza artificiale (AI dall’Inglese Artificial Intelligence) e l'apprendimento automatico sono sempre più utilizzati per creare e applicare algoritmi.

La profilazione viene eseguita ogni volta che15_:

➢ Si raccolgono e analizzano dati personali su larga scala, utilizzando algoritmi, intelligenza artificiale o apprendimento automatico;

➢ Si identificano le associazioni per costruire collegamenti tra comportamenti e attributi diversi;

➢ Si creano profili da applicare alle persone;

➢ Si prevede il comportamento delle persone in base ai profili assegnati.

Forme meno esplicite di profilazione implicano il trarre inferenze da aspetti apparentemente non correlati del comportamento degli individui16_.

Il processo decisionale automatizzato consiste nel prendere una decisione tramite mezzi automatizzati che non prevedono nessun coinvolgimento umano. Queste decisioni possono essere basate su dati fattuali, nonché su profili creati digitalmente o dati dedotti. Il processo decisionale automatizzato spesso comporta la profilazione, ma cio non è sempre necessario17_.

La creazione di profili e il processo decisionale automatizzato possono essere molto utili per le organizzazioni e anche per le persone in molti settori, tra cui assistenza sanitaria, istruzione, servizi finanziari e marketing. Questi processi possono portare a decisioni

14 LUCCIO, La struttura degli algoritmi, 2010.

15 PELLECCHIA, Profilazione e decisioni automatizzate al tempo della black box society: qualità dei dati e leggibilità dell’algoritmo nella cornice della responsible research and innovation, in Le Nuove Leggi Civili Commentate, n. 5/2018, 2018, Università di Pisa, pagg. 1210-1235.

16 Ibid.

più rapide e coerenti, in particolare nei casi in cui è necessario analizzare un volume molto grande di dati e prendere decisioni molto rapidamente.

Sebbene queste tecniche possano apparire strumentali ed utili al caso di specie, devono individuarsi anche i potenziali rischi:

➢ la profilazione è spesso invisibile agli individui;

➢ gli utenti potrebbero non essere a conoscenza che le proprie informazioni vengano utilizzate per tali finalità;

➢ gli utenti potrebbero non comprendere il funzionamento e le relative finalità; ➢ le decisioni prese possono condurre, anche, ad effetti negativi nei confronti degli

utenti.

Solo perché l'analisi dei dati trova una correlazione non significa che questo debba considerarsi allusivo in quanto, poiché il processo può solo supporre il comportamento o le caratteristiche di qualcuno, emergerà sempre un margine di errore ed è necessario un esercizio di bilanciamento per valutare i rischi dell'utilizzo degli altri risultati.

Le disposizioni del GDPR sono infatti state progettate per affrontare i rischi sopra evidenziati. Viene attribuito alle parti interessate il diritto di non essere soggetti a decisioni esclusivamente automatizzate, compresa la profilazione, che hanno un effetto giuridico o altrettanto significativo su di esse18_.

In questo caso, l’inciso “unicamente sul trattamento automatizzato” significa solo un processo decisionale totalmente automatizzato ed esclude qualsiasi influenza umana sul risultato.

Un processo potrebbe ancora essere considerato esclusivamente automatizzato se un essere umano inserisce i dati da elaborare e quindi il processo decisionale viene eseguito da un sistema automatizzato.

18 CAZZANTI, Open data e nativi digitali: Per un uso intelligente delle tecnologie, 2018, Padova, Libreria Universitaria.

Un processo non sarà considerato esclusivamente automatizzato se qualcuno valuta e interpreta il risultato di una decisione automatizzata prima di applicarla all'individuo.

Molte decisioni che sono comunemente considerate automatizzate coinvolgono effettivamente l'intervento umano. Questo deve essere attivo e non meramente un gesto simbolico.

Occorre chiedersi, però, se un essere umano quando riesamina la decisione prima che venga applicata o se sta semplicemente applicando la decisione presa dal sistema automatizzato.

Una decisione che produce un effetto giuridico è qualcosa che influisce sullo status giuridico di un soggetto o sui suoi diritti, ad. es. l’ipotesi in cui una persona fisica, in considerazione del suo profilo, ha diritto a un determinato beneficio sul piano sociale conferito dalla legge.

Una decisione che ha un effetto altrettanto significativo è qualcosa che ha un impatto equivalente sulle circostanze, sul comportamento o sulle scelte di un individuo19_.

In casi estremi, queste decisioni potrebbero escludere o discriminare le persone. Le decisioni che potrebbero avere scarso impatto in generale potrebbero avere un effetto significativo per gli individui più vulnerabili, come per i minori.

Le linee guida prodotte dal Gruppo di lavoro art. 29, quindi, includono ulteriori consigli sull'identificazione di effetti giuridici o similmente significativi.

I sistemi decisionali automatizzati sono una parte fondamentale delle operazioni aziendali: se utilizzato correttamente, il processo decisionale automatizzato è fortemente utile per gli operatori economici in quanto può aiutare a interpretare le politiche correttamente e prendere decisioni in modo equo e coerente.

Il GDPR di fatto riconosce tutto ciò e non impedisce di effettuare la profilazione o l'utilizzo di sistemi automatizzati per prendere decisioni sulle persone, salvo che il trattamento non soddisfi la definizione di cui al successivo art. 22, nel cui caso ci si deve assicurare che sia coperto da una delle eccezioni disciplinate nella medesima norma20_.

La creazione o l'applicazione di un profilo ad un individuo, al fine di personalizzare il marketing, è una decisione al riguardo ma, affinché la profilazione o il processo decisionale automatizzato siano limitati dall'art. 22 GDPR, è necessario che21_:

➢ non vi sia alcun coinvolgimento umano;

➢ si produca un effetto giuridico significativo sull'individuo destinatario.

Il GDPR non è stato progettato per impedire di gestire un’attività o promuovere prodotti e servizi.

Invero, potrebbero benissimo verificarsi situazioni in cui il marketing può avere un effetto significativo sui destinatari con particolar riguardo al mercato di riferimento e può essere costituito da gruppi vulnerabili di individui che possono essere più facilmente influenzati dalla pubblicità comportamentale22_.

Il GDPR evidenzia che i minori, in particolare, meritano una protezione ulteriore ed aggiuntiva laddove le loro informazioni personali vengano utilizzate a fini di marketing e creazione di profili online di cui al Considerando n. 38: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati 20 Art. 22 EU RGPD “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”. 22 _{SAETTA, Pubblicità comportamentale e privacy, su Protezione Dati Personali, 2018.}

personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”23

I.2. Requisiti necessari da rispettare durante il processo di profilazione

Il processo decisionale e la profilazione individuali automatizzati potrebbero portare a decisioni rapide e coerenti. D’alro canto se vengono utilizzati in modo irresponsabile ci potrebbero essere rischi significativi per gli individui.

Le disposizioni del GDPR sono state concepite per affrontare questi rischi ed impedire di prendere decisioni esclusivamente automatizzate, comprese quelle basate sulla profilazione, che hanno un effetto giuridico altrettanto significativo sugli interessati.

Affinché qualcosa sia esclusivamente automatizzato non ci deve essere alcun coinvolgimento umano nel processo decisionale. La restrizione deve riguardare esclusivamente il processo decisionale individuale automatizzato che produce effetti giuridici o, altrettanto, significativi.

Questi tipi di effetti non sono però definiti nel GDPR, ma la decisione deve avere un grave impatto negativo su un individuo per rientrare nella previsione di questa disposizione.

“Un effetto giuridico richiede che la decisione, basata unicamente su un trattamento automatico incida sui diritti giuridici di una persona, quali la liberta di associarsi ad altre persone di votare nel contesto di un’elezione o di intraprendere azioni legali. Tuttavia può essere qualcosa che influisca sullo status giuridico di una persona o sui suoi diritti ai sensi di un contratto”.24

23 Considerando n. 38, EU RGPD.

24 GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, WP n.251, 6 febbraio 2018.

Allo stesso modo, gli effetti significativi sono più difficili da definire, ma secondo le linee guida del Gruppo di lavoro di cui all’art. 29 GDPR si hanno anche quando le ripercussioni subite dall’interessato non ledono i suoi diritti od obblighi giuridici ma sono sufficienti da richiedere l’applicazione dell’art 22 GDPR.

Il Considerando n. 71, dal canto suo, prevede alcuni esempi tipici che possono essere il rifiuto automatico di una domanda di credito o le pratiche di assunzione elettronica senza intervento umano.

Il processo decisionale individuale esclusivamente automatizzato, compresa la profilazione, con effetti legali o di rilevanza analoga è limitato, sebbene questa restrizione possa essere revocata in determinate circostanze.

L'art. 22 del GDPR prevede regole aggiuntive al fine di protezione degli interessati ogni qualvolta che si svolgono esclusivamente processi decisionali automatizzati che hanno effetti giuridici o altrettanto significativi su di essi.

È possibile eseguire questo processo solo se la decisione è:

➢ necessaria per la conclusione o l'esecuzione di un contratto;

➢ autorizzata dalla normativa dell'Unione o degli Stati membri applicabile al responsabile del trattamento;

➢ basata sul consenso esplicito dell'interessato.

Bisogna innanzitutto identificare se uno di questi processi rientra nell'art. 22 GDPR e in tal caso assicurarsi di:

➢ fornire ai singoli individui informazioni sul trattamento;

➢ adoperare modalità semplici per richiedere l'intervento umano o contestare una decisione;

Riguardo alle categorie speciali di dati personali l'articolo in esame prevede poi un ulteriore livello di protezione per questo tipo di diritti25_.

Si può eseguire il trattamento descritto nell'art. 22 GDPR solo se si applica una delle eccezioni di cui sopra e quindi se:

➢ si ha il consenso esplicito dell'interessato;

➢ il trattamento è necessario per motivi di rilevante interesse pubblico.

Questo tipo di trattamento è considerato ad alto rischio in quanto il GDPR richiede di effettuare una valutazione dell'impatto sulla protezione dei dati per dimostrare di aver identificato e valutato quali sono tali rischi e come saranno affrontati.

Oltre a limitare le circostanze in cui è possibile eseguire esclusivamente singoli processi decisionali automatizzati di cui all’art. 22, il GDPR26_:

➢ richiede al titolare di fornire informazioni specifiche sull'elaborazione;

➢ obbliga a prendere provvedimenti per prevenire errori, pregiudizi e discriminazioni;

➢ conferisce il diritto agli interessati di contestare e richiedere una revisione della decisione.

Queste disposizioni sono progettate per aumentare la comprensione delle persone su come potrebbero essere utilizzati i loro dati personali.

Inoltre, bisogna27_:

➢ fornire informazioni significative sulla logica coinvolta nel processo decisionale, nonché sul significato e sulle conseguenze previste per l'interessato;

➢ utilizzare appropriate procedure matematiche o statistiche; ➢ assicurare che gli interessati possano:

25 P. VOIGHT, The EU General Data Protection Regulation (GDPR): A Practical Guide, 2018.

26 Art. 22 EU RGPD, Op. cit. 27 Ibid.

o ottenere l'intervento umano; o esprimere il loro punto di vista;

o ottenere una spiegazione della decisione e contestarla;

➢ mettere in atto adeguate misure tecniche e organizzative, in modo da poter correggere le imprecisioni e ridurre al minimo il rischio di errori;

➢ proteggere i dati personali in modo proporzionato al rischio per gli interessi e i diritti dell'interessato e prevenire effetti discriminatori.

In primo luogo, il Gruppo di lavoro art. 29 si orienta fortemente a favore della lettura dell'art. 22 come un divieto generale piuttosto che un diritto di esclusione.

Il linguaggio poco chiaro di questa disposizione è stato a lungo motivo di confusione ed incertezze interpretative che ha dato luogo ad interpretazioni del DPD come un obbligo scritto per attivare questo diritto.

Dato che il linguaggio della disposizione principale è rimasto sostanzialmente invariato, ciò potrebbe essere visto come un processo legislativo non autorizzato.

Tuttavia, che si tratti di un diritto o di un divieto, l'art. 22 GDPR viene limitato dalle decisioni basate unicamente sui trattamenti automatizzati i quali, a loro volta, producono effetti legali o ugualmente significativi28_.

Nell'art. 22 GDPR, la locuzione di "unicamente" è cruciale nella misura pratica dei diritti offerti agli interessati. Molti sistemi automatizzati producono risultati significativi sugli individui, ad esempio in relazione alla cauzione criminale, alle prestazioni sociali o al potenziale di impiego, ossia fungono da sistemi di supporto alle decisioni, piuttosto che prendere autonomamente decisioni29_.

Appare abbastanza difficile pensare a sistemi automatizzati in cui le decisioni significative vengano prese esclusivamente attraverso algoritmi: il targeting comportamentale degli annunci pubblicitari è un possibile esempio, mentre i prodotti

28 Art. 22 EU RGPD, Op. cit. 29 Ibid.

finanziari, che esistono già in un dominio altamente regolamentato, inoltre sono comunemente indicati come illustrazione30_.

Tuttavia, se a qualsiasi coinvolgimento umano è consentito, attraverso l'interpretazione letterale, di escludere un sistema dall'ambito operativo dell'art. 22 GDPR, la sua portata sarà effettivamente ridotta.

Vi sono prove del fatto che, anche laddove i sistemi sono esplicitamente destinati a supportare un decisore umano per motivi di fiducia nella logica automatizzata, mancanza di tempo, convenienza o altro, il sistema tende di fatto a funzionare come completamente automatizzato31_.

Vi è quindi una forte argomentazione secondo cui i diritti di controllare il processo decisionale automatizzato debbano applicarsi anche alle decisioni prese con un certo grado di coinvolgimento umano, sebbene l'entità di tale grado sia difficile da stabilire32_.

Il Gruppo di lavoro art. 29 fornisce due dichiarazioni interessanti a tal proposito.

In primis che se vengono applicati abitualmente profili generati automaticamente agli individui senza alcuna influenza sul risultato, questa sarebbe comunque una decisione basata esclusivamente sull'elaborazione automatizzata33_.

Ciò implica che quando si considera se "unicamente" si applica a un sistema automatizzato l’accordo sulla protezione dei dati (DPA dall’Inglese Data Protection Act) dovrebbe considerare la frequenza con cui l'operatore del sistema non è d'accordo con gli output e le modifiche del sistema o li aumenta in altro modo34_.

30 _{FABRIS, IP targeting a confronto con il nuovo GDPR, in WebMarketing, n. 7/2018.} 31 Ibid.

32 Ibid.

33 Art. 29 EU RGPD, Op. cit. 34 Ibid.

In prospettiva, simili conclusioni potrebbero avere conseguenze interessanti in proposito35_{. Infatti, se si afferma che la macchina ha prestazioni migliori di quelle umane} e viene trattata come tale, allora il coinvolgimento di qualsiasi essere umano nel processo progettato per evitare l'applicazione dell'art. 22 GDPR dovrebbe essere necessariamente ed efficacemente nominale.

Significherebbe che il sistema dovrebbe essere considerato "unicamente" automatizzato e, dove anche il criterio di significatività è soddisfatto, richiedere che un sistema umano esista quanto meno in parallelo36_.

Il Gruppo di lavoro articolo 29 GDPR, aggiunge inoltre che è richiesto un controllo umano significativo affinché il sistema sia classificato come non "unicamente" automatizzato.

Questa seconda prospettiva si concentra, invece, sull'assicurare all'uomo l’autorità e competenza per cambiare la decisione37_.

È stato notato che laddove gli esseri umani sono coinvolti nel processo decisionale, sono spesso socialmente e culturalmente responsabili degli errori di sistemi complessi, anche se su un'attenta analisi risulta che la colpa è molto più difficile da assegnare.

Di fatto, se i sistemi di macchine migliorano in determinati compiti, possiamo aspettarci che il mantenimento di autorità e competenza non simboliche costituisca una sfida sociale e organizzativa significativa, riducendo ulteriormente la portata di evitare gli obblighi previsti dall'art. 22 GDPR38_.

La seconda limitazione principale sui diritti degli utenti rispetto al processo decisionale automatizzato e alla profilazione verte nell’ipotesi in cui una decisione abbia effetti giuridici o, in caso contrario, sia significativa.

35 _{BOCCHI, Il DPA con il GDPR: le regole di accountability per il trattamento dei dati, in CyberSecurity, n. 3/2019.} 36 Ibid.

37 Ibid.

Mentre gli effetti giuridici sono abbastanza chiaramente limitati ai casi in cui lo stato giuridico viene modificato o vengono creati doveri giuridici gli effetti significativi sono molto più vaghi.

Il Gruppo di lavoro articolo 29, suggerisce che le decisioni significative includono quelle che possono potenzialmente influenzare in modo significativo le circostanze, i comportamenti o le opzioni degli individui interessati nonché quelle che possono portare all'esclusione o alla discriminazione degli individui.

L'uso del termine “influenzare” suggerisce in modo interessante come i sistemi possano modificare le scelte degli individui tramite il modo in cui vengono presentate le scelte disponibili, anche se la decisione finale viene lasciata, almeno apparentemente, all'individuo39_.

I.3. Le eccezioni al divieto di processo decisionale automatizzato sancito dall’art. 22 GDPR.

A questo punto della disamina del tema sin qui condotta è ormai possibile affermare che possono essere eseguiti questo tipo processi solo se si può fare affidamento su una delle tre eccezioni di cui all'art. 22 GDPR. Queste eccezioni, tuttavia, non coincidono con le basi legali per il trattamento di cui all'art.6 GDPR40

La prima eccezione si rileva quando la decisione è necessaria per la conclusione di un contratto. Infatti, è necessario considerare se la decisione è effettivamente necessaria per l'esecuzione di un contratto con l'individuo. Ciò significa che non deve essere essenziale, ma dovrebbe essere un modo mirato e ragionevole per soddisfare gli obblighi contrattuali. Dovrebbe anche essere il modo meno invasivo per la privacy per raggiungere ragionevolmente l’obiettivo41_.

39 Art. 29 EU R.G.P.D., Op. cit.

40 Art. 6 EU R.G.P.D. “Liceità del trattamento” 41 Art. 22 EU R.G.P.D., Op. cit.

La formulazione di questa eccezione implica che il processo decisionale definito all'art. 22 GDPR potrebbe potenzialmente essere eseguito da un responsabile del trattamento diverso da quello che è parte del contratto con la persona fisica.

L’art. 22, lett. a), GDPR, rileva come il par. n. 1 non trova applicazione nel caso in cui la decisione “sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento”42_.

La proposta per stipula di un contratto di mutuo potrebbe rappresentare un contratto tra un'organizzazione finanziaria/bancaria e un potenziale mutuatario. L'organizzazione finanziaria in questione basa la propria scelta di concessione del mutuo sulla base di un punteggio di credito generato automaticamente da un'agenzia di riferimento del credito per valutare la sua solvibilità e la convenienza a stipulare un contratto43_.

Anche se il contratto non è tra l'interessato, potenziale mutuatario, e l'agenzia di riferimento del credito, la decisione è coperta dall’operatività dell'art. 22, lett. a), GDPR, purché si possa dimostrare che è necessario che il contratto sia concluso.

La seconda eccezione rileva quando la decisione è autorizzata dalla legge, ma ciò non significa che ci debba essere una legge che stabilisce esplicitamente che il processo decisionale esclusivamente automatizzato è autorizzato per uno scopo particolare e si riferisce solo a una decisione richiesta o autorizzata dalla legge44_.

Qualora si sia titolari di un potere legale o di diritto comune e il processo di profilazione o decisionale automatizzato è il modo più appropriato per raggiungere lo scopo, allora si potrebbe essere in grado di giustificare questo tipo di trattamento come autorizzato dalla legge e fare affidamento sull'operatività dell’art. 22, lett. b), GDPR45_.

42 Ibid.

43 _{FINOCCHIARO, Fintech, GDPR e contratto di mutuo, 2018.} 44 Ibid.

Nel settore dei servizi finanziari un'organizzazione potrebbe utilizzare processi decisionali automatizzati, compresa la profilazione, per identificare le frodi al fine di soddisfare un requisito normativo di alto livello per individuare e prevenire episodi di criminalità.

L’organizzazione identifica i casi di potenziale frode confrontando i dati provenienti da agenzie di riferimento del credito, conti bancari, catasto, vendite di carte di credito, mercati online e social media46_.

La terza, ed ultima, eccezione in esame si ravvisa quando la decisione si basa sul consenso esplicito dell'individuo. Anzitutto, occorre capire come viene a formarsi il consenso esplicito che generalmente, ai sensi del GDPR, deve essere un'indicazione affermativa liberamente fornita, specifica, informata e inequivocabile dei desideri dell'individuo.

Il consenso esplicito significa che l'individuo deve manifestarlo espressamente ad esempio mediante una dichiarazione scritta, compilando un modulo elettronico o attraverso l’invio di una mail.

Nel contesto dell'art. 22 GDPR, al fine di essere specifico e informato, la richiesta di consenso deve spiegare che la decisione sarà interamente automatizzata.

I.4. Il diritto dell’interessato nel contesto della profilazione e il controverso Right

to Explanation.

Il presunto Right to Explanation (diritto a una spiegazione) di cui all'art. 22 GDPR è stato oggetto sia di significative speranze che di contese riguardo al suo status giuridicamente ambiguo e uso pratico come rimedio47_.

46 NENZIONI, I processi decisionali automatizzati e la profilazione, su Quotidiano Giuridico, 2017. 47 Art. 22 EU RGPD, Op. cit.

Molte delle questioni riguardano l'inclusione di questo diritto nei Motivi del GDPR, scritto in un linguaggio obbligatorio, e al tempo stesso la sua esclusione dall'articolo principale dove viene fornito un elenco simile, ma più breve, di garanzie48_.

Il Gruppo di lavoro, art. 29 GDPR, non affronta direttamente questo diritto generando quindi solo una gran confusione. In una sola pagina, viene persino fornito un elenco di garanzie basate sull'art. 22 GDPR (omettendo un diritto a una spiegazione) con la’ltro l'elenco, contraddittorio, basato sul Motivo 71 (compreso un diritto a una spiegazione)49_.

La seconda serie di questioni, relative ai tipi pratici di informazioni che possono essere fornite mediante una spiegazione basata sull'art. 22 GDPR, non è affatto affrontata nel testo.

Tutti i riferimenti che elaborano spiegazioni algoritmiche si riferiscono alle disposizioni informative della Sez. 2 del GDPR piuttosto che alle garanzie di cui all'art. 22 dello stesso testo che hanno una portata più generale50_.

Inoltre, due criteri sono usati per classificare i possibili tipi di spiegazioni: contenuto e tempistica51_.

In primo luogo, riguardo al contenuto, si possono dare due diversi tipi di spiegazione: 1. funzionalità del sistema, ovvero la logica, il significato, le conseguenze previste e

la funzionalità generale di un sistema decisionale automatizzato;

2. decisioni specifiche: la logica, le ragioni e le circostanze individuali di una decisione automatizzata specifica.

In termini di tempistica52_:

48 AA.VV., I dati personali nel diritto europeo, Giappichelli, 2017. 49 Considerando 71 EU RGPD;

50 Cap. III, Sez. 2, GDPR “Informazione e accesso ai dati personali”

51 WATCHER – MITTESTANDL – FLORIDI, Why a right to explanation of automated decision-making does not exist in the general data protection regulation, in International Data Privacy Law, Vol. 7, pagg. 76-99.

1. spiegazione ex ante: si verifica prima che abbia luogo un processo decisionale automatizzato e può logicamente riguardare solo la funzionalità del sistema, poiché la logica di una decisione specifica non può essere conosciuta prima che la decisione venga presa;

2. spiegazione ex post: si verifica dopo che è stata presa una decisione automatizzato e può riguardare sia la funzionalità del sistema sia la logica di una decisione specifica.

Quindi, ci potrebbe essere una struttura tripartita di un diritto a una spiegazione53_: 1. spiegazione ex ante sulla funzionalità del sistema;

2. spiegazione ex post sulla funzionalità del sistema; 3. spiegazione ex post su una decisione specifica.

Come dimostrato da autorevole dottrina sul tema, gli articoli pertinenti del GDPR mirano principalmente a regolamentare le imprese affinché queste agiscano in determinati modi prima del momento della raccolta, del controllo e del trattamento dei dati personali di cui agli artt. 13, lett. f) e 14 lett. g), GDPR54_.

Di conseguenza, per soddisfare i requisiti del GDPR, qualsiasi società ha il dovere di informare gli interessati sulla funzionalità del sistema prima di raccogliere e/o trattare i loro dati personali. Pertanto, si può affermare che il GDPR concede il diritto a una spiegazione ex ante sulla funzionalità del sistema55_.

Un diritto alla spiegazione generica ex ante equivale a un diritto tradizionalmente ben accettato, vale a dire un diritto di essere informato o diritto di consenso informato. Inoltre, buona parte della dottrina sostiene che nessun articolo rilevante nel GDPR contiene dichiarazioni che affermano (o confermano) chiaramente un diritto a una spiegazione ex post, sia essa generica o specifica56_.

53 Ibid.

54 WACHTER 2017, op. cit. 55 Ibid.

In ogni caso, un’analisi più flessibile del G.D.P.R. che include anche la legge sui diritti umani, potrebbe garantire un diritto alla spiegazione ex post.

In ogni caso, non si vuole discutere o giudicare se l’interpretazione legale sia valida ma solamente verificare se esiste e se abbia un senso un diritto alla spiegazione nel GDPR.

Lo scetticismo nasce non solo dall’effettivo valore di un diritto alla spiegazione ex post in sé ma anche dall’assenza di un'espressione chiaramente a sostegno di tale diritto nel GDPR.57_.

Infatti, ci si chiede perché gli interessati dovrebbero avere il diritto alla spiegazione ex post. Ad esempio, i social media forniscono dati per un vasto numero di studi e algoritmi decisionali che spaziano da sondaggi sulla fiducia dei consumatori, a quelli politici, passando per usi e preferenze riguardo a prodotti e servizi.

Tutti questi usi futuri dei dati sono difficili da prevedere, quindi un diritto a una spiegazione su come i dati potrebbero essere utilizzati in futuro potrebbe essere impossibile da un punto di vista logistico.

I soggetti interessati dovrebbero avere il diritto di essere aggiornati quando i loro dati sono utilizzati per scopi che non erano originariamente contemplati.

Tuttavia, anche questo diritto futuro include molte sfide che sono molto simili, se non addirittura identiche, alla spiegazione ex ante di un algoritmo. Inoltre, come sarà discusso più approfonditamente nei capitoli successivi, l'avvento dei cosiddetti Big Data ha implicato che i dati di un singolo individuo debbano essere considerati minuscoli quando raffrontati a quelli della quasi totalità della popolazione mondiale ed hanno un impatto trascurabile sul modello basato su dati globali58_.

57 Ibid.

Oltremodo, in settori correlati agli aspetti finanziari la divulgazione di pagamenti di modifica potenzialmente incentivanti è un requisito, e non solo un diritto, a una spiegazione59_.

La società deve spiegare come l'algoritmo opera ma questa è più che altro una parte della relazione commerciale siccome convincere a effettuare un pagamento monetario richiede una spiegazione valida e credibile60_.

Ciò che è meno chiaro, e che spesso non può essere chiaramente definito, è se il diritto alla spiegazione, come argomento morale, richieda che la spiegazione alla persona interessata sia equivalente o identica. In ogni caso, bisogna chiedersi che diritto ha il pubblico in generale di avere una spiegazione. Le impostazioni legali e regolamentari esistenti hanno già giurisdizione su alcuni aspetti e gli algoritmi che prendono specifiche decisioni non possono violare le regole in materia di non discriminazione.

Invero, occorrendo a un'interpretazione contestuale del GDPR può dimostrarsi come effettivamente il regolamento imponga ai titolari del trattamento di dimostrare la conformità agli obblighi previsti, in particolare ai requisiti di liceità, correttezza e trasparenza.

Per cui, fornire informazioni sul processo decisionale automatizzato e la logica soggiacente è solo una parte del problema. Il GDPR prevede che i titolari dimostrino che le correlazioni applicate nell'algoritmo siano imparziali, cioè non discriminatorie e ci sia una legittima giustificazione alla decisione automatizzata. Gli individui soggetti alla decisione automatizzata, infatti, hanno una pluralità di diritti, quali l'opposizione alla profilazione, art. 21, la richiesta di cancellazione o la rettifica del loro profilo, art.17, la contestazione alle decisioni automatizzate, art. 22, par. 3.

Tale diritto, inoltre, va evidentemente inquadrato tra i diritti degli interessati, per cui la "spiegazione" deve essere rapportata all'interessato, deve essere significativa per lui, in

59 _{SARZANA, IPPOLITO, NICOTRA, Diritto della Blockchain, Intelligenza Artificiale e IoT, IPSOA, 2018} 60 AA.VV., Data Protection e big data: i profili giuridici del fenomeno, su dirittodellinformatica.it, 2018.

modo da consentirgli di esercitare gli altri suoi diritti. E quindi la spiegazione deve essere tale da porlo in condizioni di comprendere se ha subito una discriminazione61_.

Nei capitoli successive verrà sostenuto come la capacità di prendere decisioni informate di ordine pubblico richieda una spiegazione del funzionamento degli algoritmi considerando che una spiegazione significativa del funzionamento di un algoritmo può facilitare l'utilità dell'algoritmo stesso.

I.5. Strumenti di tutela a favore dell’interessato: Data Protection by Design e by

Default

Il GDPR richiede che vengano attuate misure tecniche e organizzative adeguate a implementare i principi di protezione dei dati e salvaguardare i diritti individuali. Questa è la “protezione dei dati in base alla progettazione e per impostazione predefinita”62_. In sostanza, ciò significa che è necessario integrare la protezione dei dati nelle attività di elaborazione e nelle pratiche aziendali, dalla fase di progettazione fino al ciclo di vita.

Questo concetto non è nuovo nel panorama in esame. Precedentemente, anche noto come privacy by design, ha sempre fatto parte della legge sulla protezione dei dati. Il cambiamento chiave con il GDPR è che ora è un requisito legale63_.

La protezione dei dati in base alla progettazione consiste nel considerare anticipatamente la protezione dei dati e i problemi di privacy in tutto ciò che compie un individuo. Può aiutare a garantire la conformità ai principi e ai requisiti fondamentali del GDPR e fa parte del focus sulla responsabilità64_.

61 _{SAETTA, Profilazione e processi automatizzati, in Protezione Dati Personali, 2019.}

62 Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

63MANTALERO – POLETTI, 2018, Op. cit. 64 Ibid.

Come visto in precedenza, il GDPR introduce nuovi obblighi che richiedono di integrare i problemi di protezione dei dati in ogni aspetto delle attività di elaborazione. Questo approccio viene definito protezione dei dati in base alla progettazione (by design) e per impostazione predefinita (by default). Questi sono elementi chiave dell'approccio basato sul rischio del GDPR e la sua attenzione alla responsabilità inerente al rispetto dei requisiti legislativi65_.

Tuttavia, bisogna specificare che la data protection by design e by default può essere considerata la versione del GDPR della privacy by design nonostante ci siano delle piccole differenze strutturali inerenti ai processi e le procedure per assicurarsi di soddisfare gli obblighi a norma di legge.

Infatti, mentre la privacy by design era una buona pratica ai sensi dell’accordo sulla protezione dei dati, la protezione dei dati in base alla progettazione e per impostazione predefinita sono requisiti legali ai sensi del GDPR66_.

L'art. 25, cc 1 e 2, GDPR, delineano rispettivamente gli obblighi in materia di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita come di seguito: “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” e “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del

65 Ibid. 66 Ibid.

trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica67_.

Mentre l’art. 25, co. 3, stabilisce che se si aderisce a una certificazione approvata ai sensi dell'art. 42, è possibile utilizzarlo come un modo per dimostrare la propria conformità a tali requisiti68_.

Più specificatamente, la protezione dei dati in base alla progettazione è in definitiva un approccio inteso a considerare i problemi di privacy e protezione dei dati in fase di progettazione di qualsiasi sistema, servizio, prodotto o processo e quindi per tutto il ciclo di vita69_.

Questo approccio richiede di mettere in atto adeguate misure tecniche e organizzative progettate per attuare i principi di protezione dei dati, e in aggiunta integrare salvaguardie nell'elaborazione in modo da soddisfare i requisiti del GDPR e proteggere i diritti individuali. In sostanza, ciò significa che è necessario integrare la protezione dei dati nelle attività di elaborazione e nelle pratiche aziendali70_.

Similarmente, la data protection by default richiede di assicurarsi di elaborare solo i dati necessari per raggiungere lo scopo specifico. Si collega ai principi fondamentali di protezione dei dati relativi alla minimizzazione dei dati e alla limitazione delle finalità.

Di conseguenza, questo approccio significa che è necessario specificare alcuni dati personali utilizzati prima dell'inizio dell’intero processo informando adeguatamente le persone ed elaborando solo i dati necessari per il proprio scopo. In ogni caso, questo approccio dipende dalle circostanze e dai rischi posti alle persone.

67 Art. 25 EU GRPD “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” 68 Art. 42 EU GRPD “Certificazione”

69 Cfr. Le Guidelines on Automated individual decision-making and Profiling for purposes of Regulation 2016/679, formulate dal Data Protection Working Party costituito in base all’art. 29 dir. 1995/46/CE e più volte aggiornate (ultima versione in data 6 febbraio 2018), di recente sostituito dallo European Data Protection Board (Comitato europeo per la protezione dei dati) come gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati.

Riguardo i concetti alla base della protezione e tutela dei dati personali dell’interessato, la data protection by design e by default assumono che sia adottato un approccio proattivo alla protezione dei dati in maniera tale da anticipare i problemi di privacy e i rischi prima che si verifichino. Ciò si applica non solo nel contesto della progettazione di sistemi, ma implica lo sviluppo di una cultura di consapevolezza della privacy in un’organizzazione71_.

Un’organizzazione deve progettare qualsiasi sistema, servizio, prodotto e pratica aziendale per proteggere automaticamente i dati personali. Con la privacy integrata nel sistema, l'individuo non deve prendere alcuna misura per proteggere i propri dati essendo la loro privacy intatta senza che essi debbano intervenire per tutelare I propri diritti72_.

Di conseguenza, è necessario assicurarsi che la protezione dei dati faccia parte delle funzioni principali di qualsiasi sistema o servizio, ovvero che diventi parte integrante di tali sistemi e servizi durante il loro intero ciclo di vita73_.

In questa maniera si possono mettere in atto forti misure di sicurezza sin dall'inizio ed estenderli durante l’intera “esistenza” dei dati elaborandoli in modo sicuro e poi eliminandoli in modo altrettanto sicuro quando essi non sono più necessari allo scopo iniziale74_.

In ogni caso, affinché qualsiasi pratica commerciale o tecnologia che utilizza dati personali e sensibili possa mantenere le sue premesse riguardanti la tutela (dei dati) dell’interessato, bisogna assicurarsi che essa sia verificabile in modo indipendente dall’interessato stesso. Questo si può ottenere garantendo visibilità e trasparenza alle persone durante tutto il ciclo di vita dei loro dati tramite informazione bilaterale Intesa a comunicare quali dati e perché vengono elaborati75_.

71 Ibid.

72 SCHERMER 2011, Op. cit 73 Ibid.

74 Ibid. 75 Ibid.

Tuttavia, tutti questi approcci devono tenere in conto che il rispetto della privacy dell’interessato deve essere sempre posto come uno dei fattori di primaria importanza nella progettazione e nell'implementazione di qualsiasi sistema o servizio fornendo alle persone controlli e assicurando che venga data adeguata comunicazione76_.

Per ottenere gli scopi inerenti alla data protection by design e by default, bisogna adottare un approccio organizzativo che sia in grado di raggiungere determinati risultati tramite77_:

➢ considerazione dei problemi di protezione dei dati come parte della progettazione e implementazione di sistemi, servizi, prodotti e pratiche aziendali;

➢ implementazione della protezione dei dati come componente essenziale della funzionalità principale dei sistemi e servizi di elaborazione;

➢ trattamento di dati personali che sono ritenuti necessari in relazione ai vari scopi aziendali e che sono utilizzati solo ed esclusivamente per tali scopi;

➢ protezione automatica dei dati personal in qualsiasi sistema IT, servizio, prodotto e pratica aziendale, in modo che gli individui non debbano intraprendere alcuna azione specifica per proteggere la loro privacy;

➢ disponibilità dell'identità e informazioni di contatto dei responsabili della protezione dei dati sia all'interno dell'organizzazione che alle persone esterne interessate;

➢ adozione di una politica di linguaggio semplice per qualsiasi documento pubblico in modo tale che tutte le persone interessate siano in grado di capire cosa un’azienda sta facendo con i loro dati personali;

➢ fornitura di strumenti a tutte le persone interessate in modo che essi possano determinare in che modo I dati personali sono utilizzati e se questi processi rispecchiano le correnti leggi sulla privacy e tutela dei dati personali.

76 Ibid.

Molti di questi aspetti chiave riguardano gli obblighi previsti dal GDPR come requisiti di trasparenza, documentazione, responsabili della protezione dei dati e DPIA. Ciò dimostra l'ampia natura della protezione dei dati in base alla progettazione e come si applica a tutti gli aspetti dell'elaborazione.

Capitolo II

La Profilazione tramite l’uso dei Cookies

a seguito della Cookie Law Italiana

II.1. Cookie tecnici, cookie di profilazione e privacy dell’utente.

In uno studio condotto da ENISA 2010 è emerso che l'80% di tutti i fornitori di servizi online intervistati stava raccogliendo dati dai c.d. cookie78_.

Più precisamente, con tale terminologia, si fa riferimento a file di informazioni che i siti web memorizzano sul computer dell'utente di internet durante la navigazione allo scopo di identificare chi ha già visitato il sito in precedenza79_.

Nonostante sia passato quasi un decennio fa l'uso dei cookie non è per nulla diminuito. Molte aziende in diversi settori utilizzano i cookie come strumento sui loro siti web per, come sostengono, migliorare la praticità per gli utenti.

I cookie sono file di testo o di protocollo di trasferimento ipertestuale (HTTP dall’Inglese Hypertext Transfer Protocol). Quando si visita un qualsiasi sito Web, il browser richiede ad esso una pagina dal server il quale a sua volta rinvia la pagina e allega un dato. La pagina che il browser riceve dal server è quella mostrata all'utente. I dati inviati a fianco della pagina sono un cookie.

Questi dati verranno archiviati sul computer dell'utente e verranno utilizzati ogni volta che rivisitano la stessa pagina web, a meno che non si eliminino i vari cookie dopo ogni visita. I dati memorizzati nei file di testo possono differire dai siti web, le informazioni specifiche archiviate dipendono da ciò che il proprietario del sito web desidera salvare.

78 TIRTEA – CASTELUCCI – IKONOMOU, Bittersweet cookies. Some security and privacy considerations

https://www.enisa.europa.eu/publications/copy_of_cookies, 2019.

Il cookie funziona come un identificatore, ricorda l'utente ma non con i nomi della vita reale, invece li ricorda come "utente = XXXX" dove le varie “X” sono numeri80_.

Le informazioni memorizzate nell'identificatore potrebbero essere il paese di residenza, le preferenze linguistiche e i layout personalizzati. Quando si tratta di acquisti online, è possibile che vengano archiviate informazioni come gli articoli nel carrello o le dimensioni selezionate e altri filtri forniti sul sito Web del negozio online81_.

L’attività online quotidiana diventa molto più semplice e conveniente memorizzando informazioni. Invece di applicare sempre le stesse impostazioni ogni volta che si visita un sito web, le informazioni vengono recuperate dai cookie sul dispositivo82_.

Quando si torna alla pagina principale, è necessario ripetere l'accesso. Questo perché il sito web non ha memoria, non ricorda ciò che è stato detto o fatto, quindi per il sito web non è stato effettuato l'accesso, pertanto chiederà all'utente di farlo di nuovo. Il cookie in questo caso funziona come memoria della pagina Web: una volta effettuato l'accesso ricorda alla pagina Web quando si cambia pagina che l'utente è già stato verificato83_.

È stato detto che cookie hanno la capacità, e dunque grande responsabilità, di memorizzare informazioni personali sugli utenti. Quando si ha questa capacità, è inevitabile che ci siano persone che cercano di utilizzarli per azioni non proprio lecite che generino vantaggi a loro favore. Di conseguenza, si potrebbe sostenere che i cookie rappresentino una minaccia84_.

80 AA.VV., Cookies Lack Integrity: Real-World Implications. Proceedings of the 24th USENIX Security Symposium, Washington, D.C., United States of America 12-14 August, pp. 707-721. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-zhengupdated.pdf

81 TIRTEA et al. 2011, Op. cit. 82 Ibid.

83NOTEMBOOM, How do I delete cookies? And just what are cookies, anyway?, https://askleo.com/how_do_i_delete_cookies_and_just_what_are_cookies_anyway/

Secondo Notenboom non lo sono, essendo i cookie solo file di testo che non contengono e non possono contenere codice. Il cookie stesso non ha alcun potere di eseguire i propri atti dannosi85_.

Detto questo, i cookie possono ancora essere utilizzati come strumento per ottenere informazioni personali e per aprire una cosiddetta Back Door (letteralmente Porta sul Retro ma comunemente interpretata come via di accesso) nel computer dell'utente. Tuttavia, solo essere un file di testo rende i cookie vulnerabili e un'arma perfetta per le persone che sanno esattamente come sfruttarli86_.

Un esempio di come un cookie può essere utilizzato come arma nemica in un piano di Hacker (Pirata Informatico) per entrare in un computer è inviando un Trojan (letteralmente Cavallo di Troia ma in questo caso un tipo di virus informatico) a un server che danneggerà e posizionerà un cookie dannoso nell'area cookie del browser dell’utente.

Quando l'utente apre un browser dopo l'attacco al proprio computer, questo si connetterà automaticamente a una nuova Homepage (Pagina Principale), che è di fatto il sito web dell'hacker.

Dopo essere stato collegato a questa nuova Homepage, il cookie dannoso invia informazioni all'hacker che l'attacco è stato eseguito con successo.

Quando il computer dell'utente è infetto, diventa una preda facile per gli Hacker che non avranno alcun problema a sfruttare l'infezione e avranno accesso al computer dell'utente e alle informazioni archiviate sul computer87_.

Se l'utente è stato abbastanza prudente da installare un programma antivirus sul computer, c'è una grande possibilità che questo programma possa individuare le infezioni prima che divampi, cancellando la minaccia prima che accada qualcosa di cruciale88_.

85 Ibid. 86 Ibid. 87 Ibid. 88 Ibid.

Ciò consentirà di salvare il computer per ora, ma è necessario eseguire un ulteriore passaggio prima che l'utente sia al sicuro dall'attacco: l'utente deve eliminare il cookie dannoso. Se l'utente non lo elimina dal computer, riavvierà l'attacco ogni volta che viene aperto il browser. Questo perché è così che i cookie sono progettati per comportarsi. Quando vengono chiamati, leggono le informazioni che hanno archiviato, in questo caso le informazioni sono codice dannoso e lo faranno fino a quando non vengono eliminate89_.

Tuttavia, quando c'è una minaccia c'è sempre spazio per una soluzione. Molti tipi diversi di protezioni contro virus, spyware e malware sono stati sviluppati con lo stesso ritmo con cui emergono nuove minacce. L'installazione di questo tipo di programmi e la scansione di attacchi e infezioni è una parte della sicurezza online90_.

In aggiunta, non si dovrebbero mai visitare siti web con avvisi di malware e non scaricare mai nulla di cui non ci si può fidare.

Un'azione intrapresa da molte aziende per rendere i cookie più sicuri è quella di crittografarli e se qualcuno manomette un cookie crittografato, si rompe. La reazione del sistema è quella di negare o meno l'accesso al cookie91_.

Ci sono diversi tipi cookie. Essi sono normalmente innocui, ma nulla è mai completamente perfetto. I cookie hanno molti più aspetti positivi che negativi e sono utilizzati nella vita online quotidiana di ogni utente di internet.

I vantaggi dei cookie per l'utente sono praticità, navigazione più semplice e risparmio di tempo. Il modo in cui le organizzazioni sfruttano i cookie è utilizzando le informazioni sui cookie nella pubblicità e inviando notizie solo a un gruppo target specifico.

Il motivo più comune per utilizzare i cookie è la raccolta di statistiche che, ad esempio, in un secondo momento possono essere utilizzate in diverse versioni di un sito web o in

89 Ibid. 90 Ibid. 91 Ibid.