Risposta

La profilazione viene eseguita quando i tuoi aspetti personali vengono valutati al fine di fare previsioni su di te, anche se non viene presa alcuna decisione. Ad esempio, se una società o un’organizzazione valuta le tue caratteristiche (come età, sesso, altezza) o ti classifica in una categoria, significa che ti sta profilando.

Il processo decisionale basato unicamente su mezzi automatizzati avviene quando vengono prese decisioni su di te con mezzi elettronici e senza alcun coinvolgimento umano: ciò può avvenire anche senza profilazione.

La normativa sulla protezione dei dati stabilisce che l’interessato ha il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato se tali decisioni producono effetti giuridici che lo riguardano o, analogamente, incidono sulla sua persona in modo significativo. Una decisione produce effetti giuridici quando tocca i tuoi diritti legali (come il diritto di voto). Inoltre il trattamento può influire in modo significativo se influenza le circostanze, il comportamento o le scelte. Ad esempio, il trattamento automatizzato può portare al rifiuto della tua richiesta di credito online.

La profilazione e il processo decisionale automatizzato sono prassi comuni in diversi settori, come quello bancario e finanziario, fiscale e sanitario. Possono essere metodi più efficienti, ma sono meno trasparenti e possono limitare la tua scelta.

Anche se, in generale, l’interessato non può essere oggetto di una decisione basata unicamente sul trattamento automatizzato, questo tipo di processo decisionale può eccezionalmente essere consentito se l’uso di algoritmi è consentito dalla legge e sono previste garanzie adeguate.

Le decisioni basate unicamente su mezzi automatizzati sono lecite altresì laddove:

  • la decisione sia necessaria, ciò significa che non ci deve essere altro modo per raggiungere lo stesso obiettivo per stipulare o eseguire un contratto con l’interessato;
  • l’interessato abbia fornito il suo esplicito consenso.

In questi due casi, la decisione presa deve salvaguardare i tuoi diritti e le tue libertà, attuando adeguate misure di salvaguardia. La società o l’organizzazione deve almeno informarti del tuo diritto di ottenere un intervento umano e adottare le necessarie disposizioni procedurali; inoltre, la società o l’organizzazione dovrebbe consentirti di esprimere il tuo punto di vista e informarti che è possibile contestare la decisione.

Le decisioni basate sugli algoritmi non possono fare uso di speciali categorie di dati, a meno che tu non abbia dato il tuo consenso o il trattamento sia consentito dalla legislazione nazionale o unionale (cfr. sopra).

Esempio

Utilizzi una banca online per un prestito. Ti viene chiesto di inserire i tuoi dati e l’algoritmo della banca ti dice se la banca ti concederà il prestito o meno e fornirà il tasso di interesse suggerito. Devi essere informato che puoi esprimere la tua opinione, contestare la decisione e chiedere che la decisione presa tramite l’algoritmo sia rivista da una persona.

Riferimenti

  • Articoli 21 e 22; considerando 71 e 72 del regolamento
  • Gruppo di lavoro ex articolo 29 — Linee guida sul processo decisionale individuale automatizzato e sulla profilazione, ai fini del regolamento (UE) 2016/679 (WP 251)