[INTRODUZIONE]
Il 25 maggio 2018 entra in vigore in tutti gli stati membri dell'Unione Europea il nuovo "Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati".
Il 25 maggio 2018 entra in vigore in tutti gli stati membri dell'Unione Europea il nuovo "Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati".
A distanza, ormai, di pochi giorni dall'entrata in vigore ancora parecchi sono i dubbi interpretativi.
Ci occuperemo qui di un aspetto in particolare: quello relativo alla profilazione dell'utente finalizzata alla erogazione di annunci pubblicitari selezionati in base al suo "identikit".
Le norme del nuovo regolamento privacy europeo che rilevano ai fini della nostra indagine sono essenzialmente due: l'art. 4 e l'art. 22.
[COSA E' LA PROFILAZIONE]
L'art. 4 è rubricato "definizioni".
A noi interessa la definizione di "profilazione". Ecco dunque cosa dice il regolamento sull'attività di profilazione:
qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
Cosa è dunque la "profilazione"? In quali attività consiste?
Cercando di semplificare al massimo potremmo dire che essa è costituita dall'uso di informazione personali relative a un determinato soggetto con il fine di creare una "immagine", un "identikit" del soggetto medesimo, volta a stabilire determinati aspetti della sua vita, e precisamente:
- il rendimento professionale, le preferenze personali, gli interessi
- la sua situazione economica
- il suo stato di salute
- le sue preferenze personali e gli interessi (p.e. prodotti o servizi che gradisce o di cui si serve abitualmente)
- l'affidabilità (perlopiù in relazione, evidentemente, alla concessione di credito)
- il comportamento (molto generico e già rappresentato, in quale modo, dei precedenti due punti)
- il luogo in cui si trova e gli spostamenti che fa
Detto questo occorre precisare però che una parola che è vistosamente assente dalla definizione di "profilazione" è "decisione".
Questo aspetto non è stato notato dalla maggior parte dei commentatori del nuovo regolamento. "Profilazione" e "processo decisionale automatizzato" sono cose distinte, e vanno tenute distinte. Dall'aver confuso le due cose è nata la convinzione, errata, che è sempre necessario il previo consenso per le attività di profilazione a meri fini pubblicitari.
È peraltro doveroso sottolineare che il GDPR (General Data Protection Regulation), all'art. 22, sfuma la netta linea di demarcazione tra i due concetti sopraccitati, e non è quindi così strano che si sia fatta confusione da parte degli interpreti meno attenti. Si legge infatti:
- il luogo in cui si trova e gli spostamenti che fa
Detto questo occorre precisare però che una parola che è vistosamente assente dalla definizione di "profilazione" è "decisione".
Questo aspetto non è stato notato dalla maggior parte dei commentatori del nuovo regolamento. "Profilazione" e "processo decisionale automatizzato" sono cose distinte, e vanno tenute distinte. Dall'aver confuso le due cose è nata la convinzione, errata, che è sempre necessario il previo consenso per le attività di profilazione a meri fini pubblicitari.
È peraltro doveroso sottolineare che il GDPR (General Data Protection Regulation), all'art. 22, sfuma la netta linea di demarcazione tra i due concetti sopraccitati, e non è quindi così strano che si sia fatta confusione da parte degli interpreti meno attenti. Si legge infatti:
1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
L'articolo 22 prosegue dicendo che questa restrizione contro le decisioni automatizzate non si applica se l'individuo ha dato "consenso esplicito" (oltre a un paio di altri motivi che qui non ci interessano).
Facciamo un pò di interpretazione letterale della norma.
L'espressione "compresa la profilazione" è una incidentale. Si riferisce, precisandolo, al "trattamento automatizzato", testo immediatamente precedente.
Non si riferisce a "decisione".
Fosse stato questo il caso avremmo dovuto leggere:
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, e neppure a una profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
L'art. 22, il divieto che contiene (che è superabile solo con il consenso dell'interessato), si applica solo ed esclusivamente al processo decisionale automatico, non alla profilazione di per sé.
Un controllore potrebbe utilizzare il dato profilato (l'identikit) di una persona per prendere una decisione automatica, ma questo non significa che la profilazione sia già di per sé una decisione automatica. Facciamo un semplice esempio: una società finanziaria potrebbe voler guardare al profilo (somma dei dati ottenuti dalla profilazione) relativo alla situazione economica di Mario Rossi per poi decidere se concedergli o meno un prestito. Qui abbiamo da una parte la "decisione", che consiste nel determinare se fare o meno il prestito; dall'altra il "profilo" dell'individuo, che è lo strumento, la base dati strutturata, che viene utilizzata per prendere la "decisione".
L'articolo 22, quindi, lo si ribadisce, pone dei limiti solo al cosiddetto "processo decisionale automatico" ovvero a quella decisione che risulti "basata esclusivamente sull'elaborazione automatizzata", di cui fa parte, come sua particolare modalità esecutiva, anche la profilazione".
La profilazione precede, viene prima, sia temporalmente che logicamente, rispetto al processo decisionale. E' cosa altra rispetto al processo decisionale automatizzato, che è l'unico che vieta l'art. 22.
Ci aiuta a meglio comprendere questo fondamentale distinguo il considerando n. 71 del regolamento che dice:
"L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione [n.d.r.: ecco l'oggetto del divieto], che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata [n.d.r.: ecco l' indicazione dello strumento utilizzato per prendere la decisione] unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione».
Ancora una volta ecco allora chiara la distinzione tra "decisione" e "profilazione". La profilazione non è decisione. La profilazione è semplicemente una modalità di trattamento dei dati. "Tale trattamento comprende la profilazione" può essere parafrasato in "La profilazione deve essere considerata una modalità di trattamento dei dati".
La profilazione precede, viene prima, sia temporalmente che logicamente, rispetto al processo decisionale. E' cosa altra rispetto al processo decisionale automatizzato, che è l'unico che vieta l'art. 22.
Ci aiuta a meglio comprendere questo fondamentale distinguo il considerando n. 71 del regolamento che dice:
"L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione [n.d.r.: ecco l'oggetto del divieto], che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata [n.d.r.: ecco l' indicazione dello strumento utilizzato per prendere la decisione] unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione».
Ancora una volta ecco allora chiara la distinzione tra "decisione" e "profilazione". La profilazione non è decisione. La profilazione è semplicemente una modalità di trattamento dei dati. "Tale trattamento comprende la profilazione" può essere parafrasato in "La profilazione deve essere considerata una modalità di trattamento dei dati".
[LA GENESI DELLA NORMA]
Andiamo ora a vedere la genesi e lo sviluppo nel tempo del testo dell'art. 22 del nuovo regolamento, così come si è delineato nel corso del processo legislativo che lo ha portato alla versione definitiva odierna.
Nella proposta originale della Commissione del 2012, (l'allora articolo 20) si leggeva:
"Ogni persona fisica ha il diritto di non essere soggetta a una misura [n.d.r.: diventerà nel testo vigente una "decisione"] che produce effetti giuridici nei confronti di questa persona fisica o che colpisce in modo significativo questa persona fisica e che si basa unicamente su un trattamento automatizzato [n.d.r.: non si fa le precisazione della "profilazione", che è, lo ricordiamo, solo un modo di fare un trattamento automatizzato] destinato a valutare determinati aspetti personali relativi a tale persona fisica o analizzare o prevedere in particolare le prestazioni della persona fisica al lavoro, la situazione economica, la posizione, la salute, le preferenze personali, l'affidabilità o il comportamento. "
L'attenzione era concentrata sulle "misure" prodotte dal trattamento dei dati raccolti, non sul trattamento in sé (profilazione).
In Europa, tuttavia, c'era anche chi voleva il consenso per tutti i trattamenti, compreso il Parlamento europeo che, nella sua revisione del progetto di GDPR, aveva proposto questa formulazione:
"Il trattamento di dati personali ai fini della profilazione, anche in relazione all'offerta di servizi di informazione e comunicazione elettronica, è legale solo se basato sul consenso (o su uno degli altri presupposti previsti dalla normativa)".
In questo progetto, il Parlamento europeo aveva chiaramente mirato a limitare tutte le forme di profilazione. Qui, l'attività per la quale era necessario chiedere ed ottenere il previo consenso esplicito dell'utente, non era (come è oggi, in base all'attuale formulazione dell'art. 22) l'attività di decisione automatizzata basata sui dati raccolti mediante la profilazione ma la profilazione stessa.
Questa versione proposta dal Parlamento europeo è quella oggi in vigore? E' scritto questo nel testo dell'art. 22 del Regolamento? E' scritto che il trattamento di dati con finalità di profilazione deve essere sempre basato sul previo consenso? Non è scritto questo. L'art. 22 richiede il consenso per lo step successivo rispetto a quello della raccolta dati con profilazione, quello relativo alle decisioni automatizzate che, per essere assunte, utilizzano i dati della profilazione.
Sono due cose diverse.
L'impostazione restrittiva del Parlamento, dunque, non ha prevalso. E' rimasta lettera morta.
La versione finale del GDPR risulta, in definitiva, più vicina a quella che era stata la proposta iniziale della Commissione: non è la profilazione, di per sé, ad essere limitata, ma sono le decisioni automatiche basate sull'elaborazione automatizzata dei dati (compresa la profilazione) ad essere vietate.
Ancora non si fosse d'accordo, si consideri in aggiunta quanto segue.
Le decisioni automatizzate non sono in ogni caso tutte vietate. Lo sono solo quelle che producono "effetti legali [n.d.r.: producono una qualche modificazione rilevante nella sfera giuridica del soggetto]" o che hanno "effetti altrettanto significativi" sull'individuo. Ora, dal punto di vista legale, e per quel che a noi ora qui interessa, è molto difficile dimostrare che la profilazione nel contesto dei "consigli per gli acquisti", per dirla con nota espressione nostrana, possa avere un effetto "legale" o "significativo" sull'individuo profilato.
Sono due cose diverse.
L'impostazione restrittiva del Parlamento, dunque, non ha prevalso. E' rimasta lettera morta.
La versione finale del GDPR risulta, in definitiva, più vicina a quella che era stata la proposta iniziale della Commissione: non è la profilazione, di per sé, ad essere limitata, ma sono le decisioni automatiche basate sull'elaborazione automatizzata dei dati (compresa la profilazione) ad essere vietate.
Ancora non si fosse d'accordo, si consideri in aggiunta quanto segue.
Le decisioni automatizzate non sono in ogni caso tutte vietate. Lo sono solo quelle che producono "effetti legali [n.d.r.: producono una qualche modificazione rilevante nella sfera giuridica del soggetto]" o che hanno "effetti altrettanto significativi" sull'individuo. Ora, dal punto di vista legale, e per quel che a noi ora qui interessa, è molto difficile dimostrare che la profilazione nel contesto dei "consigli per gli acquisti", per dirla con nota espressione nostrana, possa avere un effetto "legale" o "significativo" sull'individuo profilato.
Ancora un ultimo elemento a sostegno della nostra tesi.
Si legga l'art. 21 del GDPR, che recita come segue:
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) [n.d.r. interesse pubblico] o f) [n.d.r. interessi legittimi], compresa la profilazione sulla base di tali disposizioni.
Leggendo a contrario la norma, si ricava facilmente che il GDPR non richiede l'esplicito consenso per tutte le profilazioni.
Si legga l'art. 21 del GDPR, che recita come segue:
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) [n.d.r. interesse pubblico] o f) [n.d.r. interessi legittimi], compresa la profilazione sulla base di tali disposizioni.
Leggendo a contrario la norma, si ricava facilmente che il GDPR non richiede l'esplicito consenso per tutte le profilazioni.
[CONCLUSIONI]
Per tutto quanto sopra, ci pare di aver dimostrato che, in definitiva, se si compiono attività di profilazione, non si dovrebbe sempre preoccuparsi di raccogliere da parte dell'utente un previo, esplicito consenso. Il consenso sarà generalmente dovuto solo se:
- viene condotta una profilazione che si traduce in un processo decisionale automatizzato (cioè nessun elemento di revisione umana nel processo decisionale)
e tale decisione ha come conseguenza un effetto "legale" o comunque "significativo" sull'individuo (il considerando 71 del GDPR espone come esempi: "il rifiuto automatico di una domanda di credito online o pratiche di e-recruiting senza alcun intervento umano");
- viene condotta la profilazione utilizzando dati personali sensibili di una persona (come salute, razza, religione o altri);
e tale decisione ha come conseguenza un effetto "legale" o comunque "significativo" sull'individuo (il considerando 71 del GDPR espone come esempi: "il rifiuto automatico di una domanda di credito online o pratiche di e-recruiting senza alcun intervento umano");
- viene condotta la profilazione utilizzando dati personali sensibili di una persona (come salute, razza, religione o altri);
In tutti gli altri casi, i responsabili del trattamento dei dati possono potenzialmente giustificare le loro attività di profilazione su basi che non poggiano sul consenso dell'utente profilato, come gli interessi legittimi di cui all'articolo 6, paragrafo 1, lettera f), del GDPR.
Non si vede, infatti, come il trattamento dei dati mediante profilazione per meri fini pubblicitari, possa
1) non essere riconosciuto un interesse non illecito (che equivale a dire "legittimo") del titolare di un sito internet che la pratica al fine di ottenere un giusto guadagno pubblicitario dalla sua attività di editore
2) vada ad intaccare i diritti e le libertà fondamentali (fondamentali) dell'interessato.
1) non essere riconosciuto un interesse non illecito (che equivale a dire "legittimo") del titolare di un sito internet che la pratica al fine di ottenere un giusto guadagno pubblicitario dalla sua attività di editore
2) vada ad intaccare i diritti e le libertà fondamentali (fondamentali) dell'interessato.
Suggerire a Mario Rossi - che peraltro neppure so che si chiama così perché quello che conosco di lui è solo l'ip della macchina (pc) dal quale si è collegato al mio sito - sulla base di dati presenti nei cookie del suo browser, l'acquisto dell'ultima Bmw piuttosto che dell'ultima crema di bellezza ad effetto snellente (tralasciamo ora le dinamiche di genere) non ci pare che vada ad intaccare i suoi diritti e libertà fondamentali. Al contrario, gli si rende un utile servizio: dovendo comunque visualizzarsi le pubblicità presenti nel sito, ne vedrà di consone alla sua persona.
Vengo "disturbato", ma almeno c'è il caso che mi venga segnalato un prodotto o un servizio di cui ho realmente bisogno.
Vengo "disturbato", ma almeno c'è il caso che mi venga segnalato un prodotto o un servizio di cui ho realmente bisogno.
L'art. 22 del regolamento non lo vieta. Vieta solo di prendere decisioni automatizzate sulla base di dati profilati. Mostrare una pubblicità affine all'identikit dell'utente del sito non è una decisione nel senso inteso dall'art. 22 del regolamento, e non ha nulla a che fare, per ogni persona di buon senso, con gli eloquenti esempi espressi dal considerando n. 71 del regolamento.
[per info o approfondimenti info@brocardi.it]
[per info o approfondimenti info@brocardi.it]
