venerdì, Marzo 29, 2024
Uncategorized

Profilazione e decisioni automatizzate: lo stato dell’arte

a cura di Marianna Ciullo

Sommario: 1. Cenni introduttivi – 2. Attività di profilazione nell’ambito del GDPR – 3. La base giuridica – 4. Diritti dell’interessato – 5. Profili problematici – 6. Conclusioni

 

1. Cenni introduttivi

Navigando in internet e ancor più scorrendo le bacheche dei social, soprattutto negli ultimi anni, si può assistere ad un fenomeno a tratti sorprendente: la comparsa di pubblicità che rispondono al bisogno (o al desiderio, nella maggior parte dei casi) che in quel determinato frangente si avverte e che, per questo motivo, offrono suadentemente il prodotto più opportuno al momento giusto. Il realizzarsi di questo fenomeno prescinde da oscure vie di predizione, ma si basa più “semplicemente” su calcoli di tipo statistico e sull’utilizzo di intelligenze artificiali: si tratta della cd. pubblicità comportamentale online. Questa si configura come una modalità di utilizzare le informazioni raccolte sulla attività di navigazione online da parte di un utente, per poi raggruppare lo stesso in categorie di interesse specifiche e sottoporgli annunci pubblicitari basati su questi stessi interessi. Uno degli strumenti che consente di dedurre i profili di interesse del navigante è il cookie, che viene salvato sul computer per identificare l’utente come interessato ad una determinata categoria. La pubblicità comportamentale è un chiaro esempio dell’attività di profilazione, attività da ultimo regolata dal GDPR.

2. Attività di profilazione nell’ambito del GDPR

L’attività di profilazione non è mai stata oggetto di normativa organica e unitaria, al contrario il quadro normativo si è sempre presentato assai frammentato e frastagliato. La direttiva 95/46[1], ad esempio, all’art. 15 tiene in gran conto i trattamenti decisionali automatizzati, tuttavia solo all’interno degli stessi può includersi una qualche traccia del concetto di profilazione. Nel 2002 interviene, in veste di lex specialis rispetto alla succitata fonte europea, la cd. Direttiva e-privacy (2002/58/CE)[2] che introduce regole più specifiche sulle tecnologie di tracciamento online (come i cookies), nonché il consenso informato dell’utente per il loro utilizzo a fini di profilazione. Il Codice Privacy (Dlgs. 196/2003)[3], invece, connota l’attività di profilazione in senso negativo: la stessa deve, infatti, essere notificata al Garante della Privacy in quanto inclusa tra i cc.dd. trattamenti a rischio. Infine, l’avvento di tecnologie sempre più complesse, innovative e capaci di una interconnessione tra gli utenti senza precedenti è stato foriero di nuove e più opportune strategie di tutela: soprattutto per questi motivi in sede di progettazione e redazione del GDPR si avverte l’esigenza di innovare la disciplina della profilazione[4].

L’art.4 § 4 del GDPR offre, per la prima volta, una definizione sistematica di “profilazione”, intendendo con il termine “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”[5].  All’interno dell’assunto normativo vengono in rilievo taluni riferimenti, quali la valutazione di aspetti della persona fisica, nonché l’analisi e la previsione di altri aspetti personali, che si rivelano fondamentali per comprendere la portata della norma e il suo funzionamento nel contesto del GDPR. Pertanto, è necessario leggere detta definizione giuridica in combinato disposto con il Considerando 24 e con il Considerando 30. Il primo, dopo aver fatto leva sull’ambito territoriale di applicazione, pone l’accento sul “controllo del comportamento dell’interessato”, per cui è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali (in primis proprio le tecniche di profilazione della persona), in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali[6].

Il secondo, invece, esplica ancor meglio la nozione dell’essere tracciati in rete affermando “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle[7].” Ecco a questo punto spiegati i riferimenti all’attività di valutazione, nonché a quelle di analisi e previsione presenti all’art. 4.

3. La base giuridica

A livello generale, con la norma di cui all’articolo 22 par. 1, il Regolamento sulla protezione dei dati personali sancisce un divieto di sottoporre un individuo a processi decisionali automatizzati, ivi compresa l’attività di profilazione.

L’origine di detta norma è da rinvenirsi nella ricerca di un punto di equilibrio tra le prospettive di efficienza aperte dall’applicazione dell’intelligenza artificiale ed i timori di una spersonificazione dell’entità che, di fatto, decide[8]. Per quanto concerne, invece, l’iter che ha portato alla stesura definitiva della norma in questione, il punto di partenza va riscontrato nella Direttiva 95/46 e, in particolare, nell’articolo 15 rubricato “decisioni individuali automatizzate, non privo della preoccupazione del legislatore europeo che la macchina potesse in qualche modo inficiare o sostituire il soggetto umano nell’assunzione di decisioni con conseguenze significative per il destinatario delle stesse. Preoccupazione evidente, che si riscontra anche in documenti successivi come il Regolamento (CE) n.45/2001[9] oppure la Raccomandazione CM/Rec(2010)13 del Consiglio d’Europa[10], entrambi fondamentali per la genesi e lo sviluppo dell’art. 22 GDPR[11].

In generale, l’art. 22 GDPR prescrive che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”[12] .

Tuttavia, detta regola viene derogata quando la decisione automatizzata 1) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; 2) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; 3) si basi sul consenso esplicito dell’interessato. Soltanto nei casi di cui ai punti 1) e 3), il titolare del trattamento è tenuto ad attuare finalizzate a tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. Un’altra garanzia è prevista dalla limitazione al trattamento di particolari categorie di dati previste dal GDPR, fatti salvi i casi del consenso esplicito dell’interessato e qualora il trattamento sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato d’applicazione. Comunque, anche nei suddetti casi, è necessario che siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato[13].

4. I diritti dell’interessato

Guardando l’art. 22 GDPR dal punto di vista dei diritti dell’interessato, questi ha il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato, tra cui la profilazione, che produce effetti giuridici che lo riguardano. In questi casi l’interessato può opporsi a tale elaborazione. Pertanto, in siffatta ipotesi,il titolare dovrà immediatamente interrompere il trattamento finché non dimostri all’interessato che detto trattamento automatizzato e non violi i suoi diritti e le sue libertà.

Inoltre, l’interessato può espressamente chiedere che ogni decisione automatizzata che lo riguardi sia condizionata da un intervento umano, di poter esprimere il proprio punto di vista e contestare la decisione, con adeguate motivazioni. In breve, l’interessato ha il diritto di ricevere una giustificazione della decisione automatizzata.

Strettamente connesso all’art. 22 GDPR  è l’art. 15 GDPR – concernente il cd. marketing diretto –  il quale, al primo paragrafo, fa menzione del diritto di accesso per cui “L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano”. In questo caso il titolare potrà richiedere di ottenere l’accesso ai dati personali e ad una serie di informazioni, tra cui, su tutte, “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”[14].

Inoltre, dal combinato disposto dell’art. 22 GDPR e Considerando 71[15] si legge che all’interessato spetta il diritto all’informazione.. Il titolare del trattamento deve essere trasparente, cioè deve informare gli interessati dell’esistenza di una decisione basata sul trattamento di dati automatizzato comprendente profilazione). Nell’informativa devono, quindi, essere esplicitate le modalità e le finalità della profilazione. Deve, poi, essere chiarita la logica inerente il trattamento e le conseguenze previste per l’interessato a seguito di tale tipo di trattamento, intendendo in tal senso i criteri utilizzati per giungere alla decisione (senza necessariamente dover fornire una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo).

5. Profili problematici

Benchè, come si è visto, l’articolo 22 GDPR sia frutto di un lavoro attento e certosino, nonché basato su normative previgenti, non poche sono le questioni problematiche che soprattutto la dottrina si è trovata ad affrontare.

Anzitutto, da un punto di vista tecnico e normativo, parte della dottrina discute se nonostante la lettera della norma che parla di “diritto di non essere sottoposto a …”, il Regolamento abbia inteso effettivamente attribuire un “diritto soggettivo” (right) in capo al titolare dei dati o, invece, come si ritiene per lo più, fissare un divieto (prohibition) cui il titolare del trattamento sia tenuto, a prescindere da ogni iniziativa specifica dell’interessato. In particolare, questa scuola di pensiero ritiene la la configurabilità di un divieto generale più in linea sia con la ratio generale del Regolamento di aumentare la protezione degli interessati, sia con il principio di accountability che richiede al titolare del trattamento di rendersi parte attiva e diligente nell’organizzazione dei processi di trattamento dei dati in modo che siano dimostrabilmente rispettosi dei diritti e delle libertà degli interessati. Infatti, far dipendere l’efficacia del principio restrittivo dall’iniziativa di questi ultimi che si attivino per esercitare il proprio supposto diritto, rischierebbe, data la velocità, complessità e scala dei processi per i quali si ritiene più significativa questa disciplina, di depotenziare quello stesso principio fino a renderlo di fatto non operativo, se non in casi eccezionali[16].

Ancora, con riguardo all’espressione “una decisione […] che incida in modo analogo significativamente sulla sua persona”, si pongono problematiche non solo di natura tecnica[17] ma anche e soprattutto di natura etica. Infatti, la vaghezza e la genericità dell’espressione potrebbe fungere da clausola aperta attraverso cui far rientrare tutte le preoccupazioni sulla potenziale discriminatorietà degli algoritmi, offrendo, paradossalmente, le garanzie e le tutele previste dalla norma in questione. Vero è che numerose  decisioni sono escludenti, nel senso che possono essere idonee ad incidere significativamente sulla vita del destinatario, privandolo di talune opportunità (gli esempi sono diversi, su tutti si può far riferimento all’accesso all’istruzione, ai servizi sanitari, al beneficio di un credito); tuttavia, proprio per questi motivi, il GDPR richiede una presenza umana significativa. In tal modo, “l’intervento umano dovrebbe in questi casi preoccuparsi anche di valutare questioni legate al potenziale discriminatorio o comunque unfair dei processi algoritmici così come tutelare la dignità dei destinatari[18].

Altro profilo di particolare interesse è quello relativo al cd. nudging. Con questo termine si intendono “quelle modalità di condizionamento verso determinate scelte che però non escludano la possibilità di opzioni diverse, seppur queste siano in qualche modo scoraggiate, per esempio, per il modo in cui sono presentate[19]”. A tal proposito, si può affermare che tali tecniche non sono comprese nel divieto di cui all’art. 22 GDPR, tuttavia una lettura più restrittiva dovrebbe ammettere la possibilità di includere quei casi in cui le stesse siano origine di conseguenze significative “analoghe” a effetti giuridici per i soggetti[20].

Per quanto concerne la profilazione, invece, una delle problematiche più insidiose potrebbe essere la creazione di clusters, ossia di classi o gruppi di individui creati dall’algoritmo sulla base di pattern o aspetti in comune tra i soggetti analizzati. Chiaramente, l’essere inserito in un gruppo per via di determinate abitudini risulta essere un fenomeno rilevante quando la categorizzazione dell’individuo in un gruppo piuttosto che in un altro comporta una decisione che influisce sul godimento dei propri diritti[21]. Naturalmente, come sottolinea parte della dottrina, tali processi decisionali automatizzati pongono diverse sfide per le libertà degli individui, specialmente per i rischi derivanti dalla discriminazione dovuta alla categorizzazione dei soggetti in gruppi più o meno omogenei. La profilazione e le decisioni automatizzate basate su quest’ultima costituiscono processi la cui portata discriminatoria è implicita visto che tendono a raggruppare gruppi di individui in categorie in base a caratteristiche comuni e prendere decisioni sulla base dell’appartenenza ad un gruppo specifico[22]. In ogni caso, sul punto, il gruppo di lavoro “Articolo 29” ha precisato nel suo parere sulla profilazione che “tale finalità del trattamento non può essere sottovalutata a causa dell’avvento dei Big Data e, di conseguenza, è necessario che i rischi di tale trattamento siano mitigati[23]”.

6. Conclusioni

Il quadro di insieme fornito ha messo in luce la normativa e alcune delle principali questioni dibattute relativamente alla profilazione e alle decisioni automatizzate. In sede di conclusioni, si evince che le problematiche esaminate non sono affatto marginali: da un lato toccano aspetti puramente tecnici della normativa europea in materia di privacy, dall’altro sono il fulcro ed il condensamento di questioni con cui il giurista più accorto è necessariamente chiamato a confrontarsi. Inevitabilmente il diritto alla non discriminazione emerge come uno degli elementi di maggiore rilevanza nella lettura delle norme prese in esame. Il GDPR si muove nella direzione della sua più alta tutela, tuttavia lo studioso ed il pratico del diritto sono chiamati, in tal senso, ad uno studio approfondito e sfaccettato della realtà che vivono e che vede l’emergere fenomeni di nuovi e complessi (su tutti i Big Data e l’intelligenza artificiale). Solo con questo approccio, i diritti dell’individuo e dell’uomo possono essere pienamente garantiti e tutelati.

 

[1] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/432175

[2] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/35284

[3] https://www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm

[4] Più diffusamente, si veda Francesco Banterle, Pubblicità comportamentale, GDPR e rischi di discriminazione in Società delle tecnologie esponenziali e General Data Protection Regulation: Profili critici nella protezione dei dati, Bonavita, 2018, pp. 14-15.

[5] Regolamento generale sui dati (GDPR, secondo l’acronimo inglese, Regolamento europeo n. 2016/679), articolo 4.

[6] A tal proposito, alcuni spunti sono stati tratti dalle lezioni del corso di “Data Protection Officer” svoltosi nel 2019 presso la Scuola Sant’Anna di Pisa.

[7] Regolamento generale sui dati (GDPR, secondo l’acronimo inglese, Regolamento europeo n. 2016/679), Considerando 30.

[8] Livia Petrucci, Assistente vocale e dati sanitari. Le sfide dell’intelligenza artificiale alla luce del regolamento (UE) n. 2016/679, Trento Law and Technology Research Group Student, Paper n. 56, p.46.

[9] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32001R0045&from=SL

[10]https://www.garanteprivacy.it/documents/10160/10704/1799182.pdf/00029f25-0442-4966-9775-19e729d3e7bf?version=1.0

[11] Ibidem, pp. 47-48.

[12] Regolamento generale sui dati (GDPR, secondo l’acronimo inglese, Regolamento europeo n. 2016/679), articolo 22.

[13] G. De Gregorio, R. Torino, Privacy, tutela dei dati personali e Big Data, 2019, p. 25.

[14] Regolamento generale sui dati (GDPR, secondo l’acronimo inglese, Regolamento europeo n. 2016/679), articolo 15.

[15] Il testo reca: “L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona. Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore.

Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni.”

[16] Claudio Sarra, Il diritto di contestazione delle decisioni automatizzate nel GDPR, XII 2019, 2019, 33, p. 23.

[17] Sul punto più diffusamente, ibidem, p. 46.

[18] Ibidem, p.47.

[19] Ibidem, p.47.

[20] Ibidem, p.47.

[21]B. Mittelstadt, L. Floridi, The Ethics of Big Data: Current and Foreseeable Issues in Biomedical Contexts in Science and Engineering Ethics 2016, 22, pp. 303 ss.

[22] G. De Gregorio, R. Torino, Privacy, tutela dei dati personali e Big Data, 2019, p. 24.

[23] Gruppo di lavoro “Articolo 29”, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation, maggio 2013.

Lascia un commento