L’attività di profilazione all’interno del GDPR

  • Home
  • Magazine
  • L’attività di profilazione all’interno del GDPR
L’attività di profilazione all’interno del GDPR
18/11/2019 | a cura dell'Avv. Gabriele Borghi | gdpr| privacy-e-sicurezza

Con il termine “profilazione” si fa riferimento, in via generale, a quell’attività mediante la quale, a partire da informazioni relative ad un determinato soggetto, si elabora un profilo di un individuo al fine di venire a conoscenza dei suoi particolari interessi ovvero delle sue personali caratteristiche.

Con il termine “profilazione” si fa riferimento, in via generale, a quell’attività mediante la quale, a partire da informazioni relative ad un determinato soggetto, si elabora un profilo di un individuo al fine di venire a conoscenza dei suoi particolari interessi ovvero delle sue personali caratteristiche: a tal riguardo, si precisa che si tratta di un’attività la cui rilevanza (e potenziale invasività) è emersa, in particolar modo, di recente in ragione dell’avvento di sofisticate tecnologie di analisi (idonee alla raccolta ed elaborazione di un enorme quantitativo di informazioni neppure paragonabile a quello eseguibile per mezzo di modalità cd. manuali), al punto che è emersa la necessità di considerare la profilazione (ed i relativi effetti) dal punto di vista della tutela dei dati personali delle persone fisiche.

Definizione e obiettivo della profilazione

La definizione di “profilazione”, nell’ambito della normativa sulla privacy, ha subito una forte e significativa evoluzione: infatti, se all’interno del precedente (oggi novellato ad opera del D.Lgs. n. 101/2018) Codice della Privacy non era dato rinvenirne una specifica definizione seppur si faceva riferimento, in taluni passaggi, a tale attività in relazione alle ipotesi in cui era necessaria, da parte del Titolare del trattamento, la notifica al Garante della Privacy (cfr. art. 37 comma 1 lettera d) del Codice della Privacy), una prima compiuta (e formale) definizione si è rinvenuta soltanto con l’entrata in vigore del Regolamento UE n. 679/2016 (cd. GDPR), il quale – ispirandosi alla definizione fornita, in tal senso, dalla Raccomandazione CM/Rec (2010)13 del Consiglio d’Europa sulla protezione delle persone fisiche (dalla quale, tuttavia, si discostala definizione rilasciata dal Garante della Privacy nelle “Linee guida in materia di trattamento di dati personali per profilazione online” del 19.3.2015) – definisce, all’art. 4 n. 4), la “profilazione” come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Dunque, l’attività di profilazione rilevante dal punto di vista della privacy è quella che si caratterizza per la presenza di tre elementi fondamentali, cosi come individuati dall’Article 29 WP (cd. Gruppo di Lavoro Art. 29) nelle “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione” del 6.2.2018:

  • Deve essere una forma di trattamento automatizzata;
  • Deve essere effettuata su dati personali;

Il suo obiettivo deve essere quello di valutare aspetti personali relativi ad una persona fisica.

Quanto al primo elemento di cui alla lettera a), è stato precisato che non deve unicamente riguardare un trattamento in forma automatizzata, risultando infatti necessario che tale modalità sia parte del trattamento stesso: pertanto, se da un lato sono escluse le operazioni meramente manuali, dall’altro lato i trattamenti in parte automatizzati ed in parte attuati mediante il coinvolgimento dell’attività umana sono, di certo, ricompresi all’interno dell’alveo di cui al GDPR.

Altresì, degno di rilievo è l’elemento di cui alla lettera c), ovvero la valutazione di aspetti personali: in proposito, l’Article 29 WP ha precisato che la profilazione consiste nella raccolta di informazioni su una persona (ovvero un gruppo di persone) e nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito alla capacità di eseguire un compito, agli interessi o, infine, al probabile comportamento.

Libertà delle persone fisiche

Nel rispetto di quanto prescritto dal Considerando n. 72 del GDPR, l’attività di profilazione (ed i connessi processi decisionali automatizzati) deve rispettare i principi delineati nelle norme generali previste dal GDPR, tenendo conto, in particolar modo, delle potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche: innanzitutto, dato che il trattamento di dati per finalità di profilazione non è spesso evidente, nel rispetto del principio di trasparenza ex art. 5 comma 1 lettera a) del GDPR, dovranno essere rese disponibili al soggetto interessato informazioni che consentano allo stesso di valutare l’attività di profilazione che lo interessa, mediante l’utilizzo di informative concise, trasparenti, intellegibili e facilmente accessibili, da fornire al momento della raccolta dei dati presso dell’interessato ai sensi dell’art. 13 del GDPR ovvero secondo le modalità di cui al successivo art. 14, laddove i dati non siano stati raccolti presso il soggetto interessato medesimo, onde così ottenere l’obbligatorio consenso di quest’ultimo nel rispetto dell’art. 22 del GDPR. Oltre a ciò, tenuto sempre conto delle particolari implicazioni connesse alla profilazione dei dati personali, risulta, altresì, necessario prestare particolare attenzione alla minimizzazione dei dati utilizzati (i quali dovranno essere, inoltre, sempre mantenuti in modo accurato ed aggiornato), limitando, peraltro, la conservazione degli stessi per il tempo strettamente necessario al conseguimento delle finalità di trattamento comunicate al soggetto interessato, nel rispetto dell’art. 5, par. I, lett. e) del GDPR.

In proposito, si aggiunge che anche le categorie cd. particolari di dati personali possono essere oggetto di trattamento per finalità di profilazione laddove ricorra una delle condizioni di cui all’art. 9 paragrafo 2 del GDPR, ed una delle condizioni di cui all’art. 6 del medesimo GDPR: infatti, così come precisato dall’Article 29 WP all’interno delle citate Linee Guida, l’attività di profilazione può creare dati appartenenti a categorie cd. particolari desumendoli da dati che, di per sé, non appartengono a tali categorie ma che lo diventano se combinati con altri e differenti dati (es.: può essere possibile desumere lo stato di salute di una persona associando le registrazioni dei suoi acquisti di alimenti ai dati sulla qualità e sul contenuto energetico degli alimenti medesimi).

In relazione all’attività di profilazione (ed ai connessi processi di decisione automatizzata), l’art. 35, par. III, lettera a) del GDPR (“La valutazione d’impatto sulla protezione dei dati […] è richiesta in particolare nei seguenti casi: valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione…”) prevede, in modo espresso, che la valutazione d’impatto (cd. DPIA) sia obbligatoria in capo al Titolare del trattamento.

Profilazione minori

Da ultimo, l’attività di profilazione avente ad oggetto i dati dei minori presenta ovviamente maggiori rischi per i diritti e le libertà di questa specifica categoria di soggetti interessati, tenuto peraltro a mente quanto disposto dal Considerando n. 38 del GDPR il quale ricorda che i minori meritano una specifica protezione. Stante ciò, non si registra, all’interno del GDPR, alcuna previsione che proibisca, in modo espresso, il trattamento di tali dati per la finalità di profilazione, benché il Considerando n. 71 del GDPR abbia evidenziato che tale misura non dovrebbe riguardare i minori, disposizione che, tuttavia, non è stata poi recepita all’interno dell’art. 22 del GDPR, determinando così un evidente difetto di coordinamento. In ragione di ciò, l’Article 29 WP raccomanda, come regola generale, che il Titolare del trattamento non giustifichi questa tipologia di trattamento basandosi sulla sopra descritta asimmetria normativa che ha riguardato l’art. 22 del GDPR.

A proposito di privacy
Conosci Privacy in Cloud?

Privacy in Cloud è il Software in Cloud di TeamSystem, ricco di funzionalità e con un’interfaccia intuitiva, ti consente di aderire al nuovo Regolamento UE 2016/679. Scoprilo!

Richiedi Informazioni