AREA FORMAZIONE > DISPENSE FORMAZIONE > PRINCIPI e IMPIANTO SISTEMA
GDPR: Profiliamo la Profilazione!
La privacy europea è e sarà perennemente evolutiva!
Profilazione e decisioni automatizzate derivate dalle indicazioni dei Garanti Ue
DI COSA PARLIAMO
Prima di tutto dobbiamo capire che l'accezione negativa di senso da abbinare al termine "profilazione" è discriminazione. Quindi, non tutte le profilazioni sono perseguite!
In seconda istanza, ciò che si valuta "profilato o meno" non è l'individuo in sè e per sè, ma i suoi metadati. In altre parole, non la la identità fisiologica ma le sue attività e comportamenti deducibili dalla identità digitale!
SE ABBIAMO CAPITO PROCEDIAMO OLTRE
La profilazione deve essere più trasparente, non deve essere l'unico criterio che vincola decisioni automatizzate che causino discriminazioni per le persone fisiche e ne riconoscano i diritti e le libertà.
I sistemi di profilazione e i processi decisionali automatizzati sono molto più diffusi di come si può credere e riguardono antrambi i settori pubblici e privati. Pensiamo alle banche, alla sanità, al fisco, alle assicurazioni, alla pubblicità e al marketing.
I rischi sono significativi per i diritti e le libertà delle persone perchè incidono sulla trasparenza dei trattamenti dati e possono confinare una persona all'interno di una determinata categoria limitandone o condinzionandone le scelte. La categorizzazione automatica può perpetuare stereotipi, dar luogo a previsioni inesatte, impedire l'accesso a servizi o prodotti e, in taluni casi, causare forme ingiustificate di discriminazione sul lavoro (Pensiamo alla Selezione del Personale, collocamento lavoro, centrali di rischi per le banche che concedono mutui).
Nelle Linee guida delle Autorità europee le previsioni normative introdotte dal Regolamento in materia di profilazione e decisioni automatizzate, danno indicazioni a chi tratta i dati per mettersi in regola con la nuova normativa.
Le società dovranno innanzitutto improntare il trattamento dei dati ai principi di privacy by design e privacy by default minimizzando il loro uso sin dalle fasi iniziali di trattamento. Dovranno porre attenzione alla trasparenza che il Regolamento Ue attribuisce per i criteri di decisioni e valutazioni automatizzate informando chiaramente gli interessati circa le procedure di profilazione.
Gli interessati devono consocere a priori quali dati e quali categorie di dati personali sono stati utilizzati.
In sintesi, i titolari del Trattamento, devono informare gli utenti sull'esistenza e sulle conseguenze di processi decisionali totalmente automatizzati che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo. E lo devono fare prima del trattamento stesso.
Pensiamo ad esempio alla eventuale esclusione dal credito sancita da un algoritmo. Ovviamente, non occorre che si conoscano le formule euristiche dell'algoritmo, ma più semplicemente e in modo comprensibile i criteri e le modalità di aggregazione dei dati che hanno portato alla sua collocazione in una categoria predeterminata.
NOTA: in ogni caso l'interessato ha sempre garantito il diritto di ottenere l'intervento umano nella valutazione e di poter contestare la decisione!
Ricordiamo che in tema di profilazione, una particolare attenzione è stata richiesta dalle Autorità europee per i trattamenti di dati che riguardano i minori a fronte della loro maggiore vulnerabilità rispetto a trattamenti particolarmente invasivi. In quest'ambito tuttavia, l'introduzione di specifiche condizioni di coivolgimento degli adulti (genitori o tutori), rappresenta un forte elemento di controllo.