DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

Nel precedente articolo abbiamo parlato della DPIA, ossia della valutazione d’impatto sulla protezione dei dati personali. Abbiamo anche visto come questo tema si ricolleghi a quello di accountability.

Come anticipato, oggi parleremo di un argomento molto importante. Ossia dei 9 criteri che ci servono per valutare se eseguire un certo trattamento possa portare ad un rischio elevato per i diritti e le libertà delle persone fisiche.Abbiamo già visto che solo in presenza di questa tipologia di rischio vi è l’obbligo di effettuare il Data Protection Impact Assessment.

Tuttavia, è importante sottolineare che anche se riscontrassimo uno di questi criteri, questo non porterebbe ad affermare che si tratti di rischio elevato anche se è molto probabile. Infatti, per configurarsi con certezza la fattispecie “rischio elevato”, e sussistere l’obbligo di fare la DPIA in capo al titolare del trattamento, è necessaria la sussistenza di almeno 2 criteri su 9.

I 9 criteri di valutazione del rischio elevato

Diciamo subito una cosa: questi non sono criteri frutto della fantasia di qualcuno. È infatti stato il Gruppo di lavoro Art. 29 ad aver elaborato questi criteri all’interno del WP248. Partiamo adesso con analizzarli uno per uno:

  1. Profilazione: se la profilazione porta ad una valutazione o assegnazione di un punteggio, in particolare del rendimento professionale ma anche della salute, degli interessi personali ecc…
  2. Trattamento che prevede un processo decisionale automatizzato: quando ciò vada ad incidere in modo significativo sulle persone fisiche.
  3. Monitoraggio sistematico:  ossia monitorare gli interessati e raccogliere i loro dati senza che loro lo sappiano. Un esempio è il tracciamento attraverso l’utilizzo del GPS.
  4. Dati sensibili o altamente personali: cioè dati come ad esempio le informazioni sulle opinioni politiche.
  5. Trattamenti su larga scala: di base si potrebbe trattare di trattamenti che non rappresenterebbero un rischio elevato. Ma l’essere su larga scala determina questo rischio. Rientrano in questa fattispecie, la durata cioè la persistenza dell’attività di trattamento e la sua estensione geografica.
  6. Estrazione dell’informazione nascosta: attraverso l’utilizzo delle nuove tecnologie (come gli strumenti di business intelligence), dall’elaborazione dei dati è possibile estrapolare informazioni nascoste.
  7. Interessi vulnerabili: cioè uno squilibrio di potere nella relazione tra l’interessato ed il titolare del trattamento. Ad esempio: se l’interessato è un malato, un minore, un dipendente o un anziano.
  8. Nuove tecnologie.
  9. Trattamento che impedisce di esercitare un diritto.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Cos’è il processo decisionale automatizzato?

Il processo decisionale automatizzato è un meccanismo che assume decisioni in maniera automatica e quindi è riconducibile ad un software di assunzione delle decisioni. Quindi, come ha detto anche il GDPR in questi processi la decisione è assunta da un algoritmo, da un mezzo tecnologico, e non vi è l’intermediazione umana.

Collegamento tra processo decisionale automatizzato e trattamento dei dati

Come si può capire da quanto appena detto, si crea un collegamento tra questo processo ed il trattamento dei dati. Infatti i dati o sono:

  1. stati forniti dalle persone interessate;
  2. raccolti da programmi che monitorano i nostri comportamenti e spostamenti come i programmi di geo-localizzazione.
  3. stati raccolti basandosi su un trattamento di dati precedente che ha dato luogo ad una profilazione. Ad esempio possiamo parlare di un prestito che viene rilasciato sulla base del calcolo di un algoritmo, che si riferisce ad una precedente profilazione che è stata fatta dell’individuo, per capire ad esempio quale sia la sua affidabilità creditizia.

L’art. 22 par. 1 del GDPR

Questo articolo ci dice che:

l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla persona.

Perché questo articolo vieta le decisioni basate unicamente su trattamenti automatizzati?

Perché possono crearsi effetti sulla libertà di opinione e di espressione, come anche effetti discriminatori, quali ad esempio l’esclusione dall’accesso a certi benefici.

L’art. 22 par. 2 del GDPR

Questo articolo legittima delle eccezioni al divieto posto dall’art. 22, par. 1 sul processo decisionale automatizzato. Infatti qui si dice che:

Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;

c) si basi sul consenso esplicito dell’interessato.

La lettera c) nel far riferimento al consenso esplicito, si riferisce ad un consenso consapevole. Questo significa che il titolare deve poter mostrare una documentazione che dimostri tale consapevolezza.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

 

La profilazione nel GDPR e nelle Linee Guida

La profilazione nel GDPR e nelle Linee Guida

La profilazione nel GDPR e nelle Linee Guida

Il concetto di profilazione

Prima di trattare la profilazione nel GDPR e nelle Linee guida, poniamoci una domanda: Perché è importante parlare di questo argomento? Perché la profilazione è una tipologia di trattamento, che si sostanzia nel modo di raccogliere dati su una persona. I dati raccolti sono di varia natura, come ad esempio quelli sul comportamento e sulle abitudini delle persone. L’obiettivo della profilazione è di usare questi dati, che si trovano disseminati ovunque, per creare un profilo dei vari individui.

Ma quindi a cosa serve la profilazione? Il WP 251 ci dice: “a valutare gli aspetti personali di una persona fisica”. Detto ciò, partiamo da un assunto: i dati oggi hanno un valore importantissimo.

Giuseppe Busia sottolinea come tra i motivi per i quali i dati hanno valore, ci sia quello economico: “dopo l’oro giallo e l’oro nero…la profilazione.” Infatti i dati  e la profilazione che da essi deriva, possono dire a chi offre un determinato servizio, quanto l’utente X sia disposto a spendere per un bene. A tale utente potranno quindi essere fatte delle offerte su misura. Si crea quindi una asimmetria informativa. Infatti, chi offre il servizio conosce quanto l’utente possa pagare,  ma l’utente in questione non sa a quale offerta migliore potrebbe aspirare.

Ma come dice sempre Busia, la raccolta dei dati ha un valore anche politico. In questo senso gioca un ruolo importante la pubblicità. Questa infatti, può essere fatta per scopi commerciali per indirizzare l’utente a comprare un certo bene o servizio. Ma può essere fatta anche per scopi politici. Se attraverso i dati risulta palese l’orientamento politico di una persona, sarà semplice con la pubblicità influenzare il suo voto

La profilazione nel GDPR

L’art. 4 paragrafo 4 del GDPR definisce la profilazione come:

qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute,le preferenze personali, gli interessi ⌊…⌋

Dalla lettura di questo articolo possiamo vedere che la profilazione si compone di 3 elementi:

  • una qualsiasi forma di trattamento automatizzato: quindi da questa fattispecie non è ecluso che possa esserci anche il coinvolgimento umano. Questa è una concezione opposta rispetto a quella prevista dall’art. 22 del GDPR. In quest’ultimo caso infatti, il trattamento deve essere esclusivamente automatizzato. Senza quindi possibilità di intervento da parte di una persona fisica.
  • “deve essere effettuato su dati personali” come ci dice il WP 251.
  • si ha profilazione solo se si valutano gli aspetti personali di una persona fisica. Da ciò deriva che se lo scopo è diverso dalla valutazione, non si può parlare di profilazione.

La profilazione viene anche usata, come ci dice il WP 251: “per fare previsioni sulle persone, usando dati provenienti da varie fonti  per dedurre  qualcosa su un individuo, in base alle qualità di altri che appaiono statisticamente simili”.

La profilazione nelle Linee Guida: il WP 251

Queste Linee Guida hanno lo scopo di chiarire le disposizioni del GDPR relative ai rischi derivanti  dalla profilazione. 

Tali rischi possono derivare:

  •  dalla possibilità che “sia la profilazione  che i processi decisionali automatizzati possono incidere in modo significativo sui diritti e sulle libertà delle persone”.
  • “gli individui potrebbero non sapere di essere profilati“.
  • “la profilazione può portare a previsioni imprecise.”
  • “la profilazione può portare a negare servizi e beni e discriminazioni ingiustificate.”

Conclusioni

Come ogni norma giuridica che si rispetti, la necessità che si pone con riferimento al GDPR e quindi anche alla profilazione, è quella di un bilanciamento di interessi.

Se da un lato, le persone con la profilazione vengono assoggettate a tanti rischi, come contropartita il GDPR prevede garanzie a tutela delle persone.

Ad esempio l’art. 5 del GDPR afferma la necessità che l’elaborazione dei dati debba essere trasparente.

Abbiamo poi l’art. 12 del GDPR che riprende il principio di trasparenza ma questa volta con riferimento alle informazioni che il titolare del trattamento deve fornire agli interessati. In più questo articolo ci dice che le informazioni debbano essere anche concise ed intellegibili. Ciò vuol dire che “agli individui deve essere spiegato in modo chiaro e semplice come funzioni la profilazione.”

L’art. 15 del GDPR infine ci dice che “l’interessato ha diritto di ottenere informazioni dettagliate sui dati personali utilizzati per la profilazione”.

[vc_row full_width=”stretch_row” content_placement=”middle” css_animation=”appear”][vc_column][sell_button text=”CONTATTACI SUBITO” color_h=”#3beda3″ link=”/contatti-sl/” bgr_color=”#103089″ bgr_color_h=”#177c9b” border_style=”solid” border_style_h=”solid” border_color=”#000000″ border_color_h=”#bcbcbc” position=”tac”][/vc_column][/vc_row]

Call Now Button