L’esperto | Articoli

La profilazione nel Gdpr

1 Maggio 2019 | Autore:
La profilazione nel Gdpr

Che cos’è la profilazione e quando possono essere raccolti i dati con procedimenti automatizzati? È sempre vietata la profilazione in ambito sanitario?

Con l’avvento della digitalizzazione dei dati è possibile raccogliere milioni di informazioni attraverso sistemi automatizzati. Ma questa pratica è sempre possibile? Quali dati possono essere raccolti con sistemi di profilazione e quali no? Quali oneri pendono in capo al titolare e al responsabile del trattamento? Analizzando il nuovo Regolamento Privacy (Gdpr) e il D.Lgs 101 del 2018 è possibile capire come il legislatore europeo è riuscito a tutelare gli utenti dalla raccolta automatizzata dei dati, ed in particolare dalla raccolta dei dati sanitari. In questo articolo, ti daremo maggiori informazioni sulla profilazione nel Gdpr.

Che cos’è la profilazione?

Per profilazione si intende il processo di automatizzazione del trattamento dei dati, ossia l’attività di raccolta ed elaborazione dei dati relativi agli utenti di un servizio, al fine di suddividerli in gruppi a seconda delle loro preferenze. Questi gruppi vengono chiamati tecnicamente “Cluster”.

E’ possibile imbattersi tutti i giorni nell’attività di profilazione navigando nel web. Ad esempio, siamo in presenza di un’attività di profilazione quando ci viene proposta una pubblicità comportamentale, ossia quando viene inserita una locandina pubblicitaria a margine di un sito web relativa ad un servizio che precedentemente avevamo ricercato. Cos’è successo in questo caso? Attraverso un’attività di profilazione, ossia di raccolta automatizzata del dato, è stato rilevato il bisogno espresso di un utente di ottenere un determinato servizio e, quindi, il dato è stato elaborato al fine di riproporre tale pubblicità in una successiva ricerca.

A livello normativo, l’art. 4 del Gdpr definisce la profilazione come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Quindi, per stabilire se si è in presenza di profilazione è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali [1].

Dunque, l’attività di profilazione si compone di:

  • trattamento automatizzato;
  • svolgimento su dati personali;
  • finalità valutativa degli aspetti personali di una persona fisica.

Attività di profilazione: è vietata dal Gdpr?

L’art. 22 del Gdpr indica al primo paragrafo il divieto generale di prendere decisioni che abbiano risvolti giuridici con con il sistema di raccolta ed elaborazione automatizzata dei dati.

Pertanto, l’attività di profilazione è vietata in via generale. In particolare, il cittadino ha il diritto di non subire conseguenze giuridiche sulla base di decisioni prese attraverso l’acquisizione dei dati automatizzati. Ciò significa che ogni conseguenza giuridica non può essere oggetto di valutazioni svolte unicamente da un sistema automatizzato.

Nonostante il divieto generale di profilazione, è possibile in certi casi raccogliere dati attraverso un sistema automatizzato. Il secondo paragrafo dell’art. 22 del Gdpr prevede tre ipotesi di deroga del divieto.

In particolare, i casi in cui la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, oppure è autorizzata dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, oppure si basa sul consenso esplicito dell’interessato.

Quali sono gli obblighi del titolare e del responsabile nei casi di profilazione?

Come abbiamo potuto constatare, l’attività di profilazione è particolarmente sensibile per il legislatore europeo, dunque, sono molteplici gli oneri previsti per il titolare e il responsabile del trattamento, così da tutelare l’utente-interessato.

In primis, il titolare del trattamento deve informare gli interessati dell’esistenza di una decisione basata sul trattamento di dati automatizzato comprendente profilazione [1]. Di conseguenza, nell’informativa devono essere esplicitate le modalità e le finalità della profilazione.

In secondo luogo, deve essere chiarita la ratio del trattamento e le conseguenze previste per l’interessato. L’attività di profilazione dovrà essere svolta per i soli dati di cui vi è lo stretto bisogno in virtù del principio di pertinenza e proporzionalità.

La natura invasiva dell’attività di profilazione può comportare danni e abusi a carico degli utenti, pertanto vi sono ulteriori adempimenti da suggerire ai titolari del trattamento.

Innanzitutto, è consigliabile ai titolari dare atto nel registro dei trattamenti dell’attività di profilazione o di pseudo-profilazione. Inoltre, i titolari del trattamento nello svolgere l’analisi dei rischi dovrebbero avere particolare riguardo alle misure di sicurezza e alla conservazione dei dati oggetto di profilazione. Tutto ciò al fine di garantire un trattamento corretto e trasparente nel rispetto dell’individuo.

È, quindi, opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione [2], tenendo in considerazione le circostanze e il contesto in cui i dati sono trattati. Inoltre, sarebbe utile che il titolare metta in atto misure tecniche e organizzative adeguate al fine di garantire la rettifica degli errori e delle inesattezze così da minimizzare il rischio [3]. A ulteriore riprova di ciò, il Comitato Europeo per la protezione dei dati, è stato istituito dal nuovo regolamento al fine di emanare diversi pareri in merito agli orientamenti da intraprendere [4].

Il Garante Italiano ha varato nel 2015 delle linee guida in materia di trattamento di dati personali per profilazione online [5] nelle quali stabiliva precise indicazioni da includere nell’informativa, la formalizzazione di un consenso preventivo separato e ben distinto per la finalità di profilazione, il rispetto del diritto di opposizione, l’adozione di una policy retention particolare per le finalità collegate.

E’ concessa la profilazione in ambito sanitario?

In precedenza ci siamo occupati di capire cos’è la profilazione e quando questa  attività può essere intrapresa nell’acquisizione ed elaborazione dei dati. Adesso, invece, ci occuperemo di analizzare la specifica disciplina della profilazione in ambito sanitario così come il nuovo regolamento regola espressamente [6]. A riguardo l’art. 22, par. 4, del Gdpr, come principio generale, vieta la profilazione dei dati sanitari.

Pertanto, anche nei casi in cui il divieto generale di profilazione viene derogato, come visto in precedenza, tale deroga non si applica all’acquisizione dei dati sanitari. Infatti, questi, essendo classificati come dati personali particolari ex art. 9 Gdpr, necessitano di una particolare tutela.

Tuttavia, anche in questo caso, il divieto di profilazione può essere derogato in specifici casi. in particolare, l’attività di profilazione di dati sanitari potrà avvenire eccezionalmente nell’ipotesi in cui: c’è un consenso esplicito dell’interessato; va perseguito un interesse pubblico rilevante nell’ambito della sanità pubblica;il titolare (o responsabile) abbia adottato idonee ed adeguate misure di sicurezza per tutelare i diritti, le libertà e i legittimi interessi del paziente.

Se un titolare (o responsabile) decide di usare i dati sanitari dei pazienti per attività di profilazione, allora questi deve concedere agli interessati il diritto di rinunciare all’attività (il cd. diritto di “opt-out”) e di revocare il consenso.

In ogni caso, il titolare (o responsabile) sarà onerato dell’obbligo di adottare idonee misure di sicurezza che garantiscano all’interessato la tutela dei propri diritti e delle libertà fondamentali[9].

note

[1] Considerando 71 Gdpr.

[2] L.A. Petrison – R.C. Blattberg – P. Wang, Database marketing. Past, present and future, in J. Direct Marketing, 1997, vol. 4, Issue 11, p. 115 ss.

[3] Considerando 72 Gdpr.

[4] Art. 64 Gdpr.

[5] Provvedimento n. 161 del 19.03. 2015, GUUE n. 103 del 6.05. 2015.

[6] Giorgia Crescentini – “Il network comunicazionale in sanità”, libreriauniversitaria.it Editore, 2012, p. 151

[7] Walter Gatti – “ Sanità e Web: Come Internet ha cambiato il modo di essere medico e malato in Italia”, Springer, Milano 2012, p. 156.

Autore immagine: Gdpr di Wright Studio


Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA