A seguito di numerose richieste pervenute dagli utenti del servizio IusPrivacy forniamo di seguito una nota al fine di fornire dei criteri utili alla distinzione delle elaborazioni di profilazione rispetto a quelle semplici c.d. di segmentazione.
Il Regolamento 679/ 2016 definisce la profilazione all’articolo 4, punto 4, come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”
La profilazione è costituita da tre elementi:
- deve essere una forma di trattamento automatizzato;
- deve essere effettuata su dati personali;
- il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona fisica.
L’articolo 4, punto 4, fa riferimento a “qualsiasi forma di trattamento automatizzato” e non al trattamento “unicamente” automatizzato (di cui all’articolo 22). La profilazione deve implicare una qualche forma di trattamento automatizzato, sebbene il coinvolgimento umano non comporti necessariamente l’esclusione dell’attività dalla definizione.
La profilazione è una procedura che può implicare una serie di deduzioni statistiche. Spesso viene impiegata per effettuare previsioni su persone usando dati provenienti da varie fonti per dedurre qualcosa su una persona in base alle qualità di altre persone che sembrano statisticamente simili.
Il regolamento afferma che la profilazione è il trattamento automatizzato di dati personali per valutare determinati aspetti personali, in particolare per analizzare o prevedere aspetti riguardanti persone fisiche. L’uso del verbo “valutare” suggerisce che la profilazione implichi una qualche forma di valutazione o giudizio in merito a una persona.
La semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione. Quest’ultima dipende infatti dalla finalità della classificazione.
Il Regolamento 679/2016 si ispira alla definizione di profilazione di cui alla raccomandazione CM/Rec (2010)13 del Consiglio d’Europa ma non la riprende tale e quale, infatti la raccomandazione esclude il trattamento che non include la deduzione. Tuttavia, la raccomandazione spiega in maniera utile che la profilazione può comportare tre fasi distinte:
- raccolta dei dati;
- analisi automatizzata per individuare correlazioni;
- applicazione della correlazione a una persona fisica per individuare caratteristiche di comportamento presenti o future.
Le raccomandazioni del Consiglio d’Europa CM/Rec(2010)13, sopra citate, forniscono una definizione delle attività di profilazione così di seguito specificate:
“Rilevando che le tecnologie dell’informazione e della comunicazione (TCI) consentono la raccolta ed il trattamento su larga scala di dati, anche personali, in ambito pubblico e privato;
Rilevando che i dati raccolti nei modi di cui sopra sono trattati, in particolare, attraverso software di calcolo, raffronto e correlazione statistica al fine di generare profili che potrebbero essere utilizzati in molti modi per una pluralità di scopi e di utilizzi tramite il raffronto dei dati di più persone fisiche; rilevando che lo sviluppo delle TCI consente di svolgere tali operazioni a costi relativamente contenuti;
Considerando che, attraverso la costituzione di queste relazioni fra un ampio numero di osservazioni individuali, anche anonime, le tecniche di profilazione sono in grado di produrre effetti sulle persone interessate collocandole in categorie predefinite, molto spesso a loro insaputa;
Considerando che i profili, una volta attribuiti ad un interessato, permettono di generare nuovi dati personali che non sono quelli comunicati dall’interessato stesso al titolare né quelli che l’interessato può ragionevolmente ipotizzare siano noti al titolare; [RP2]
Considerando che la mancanza di trasparenza, o addirittura l’invisibilità, della profilazione e l’inesattezza potenzialmente conseguente all’applicazione automatica di regole inferenziali predefinite possono comportare rischi significativi per i diritti e le libertà individuali;”
In generale, la profilazione consiste nella raccolta di informazioni su una persona (o un gruppo di persone), nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito a:
- capacità di eseguire un compito;
- interessi, o
- comportamento probabile.
I sensi del wp251rev.01 del Gruppo art 29, nonché del GDPR, l’esecuzione di un trattamento di dati personali, risulta da classificare come profilazione solo quando le elaborazioni delle informazioni sono costituite da analisi/correlazione/raffronto o combinazione di diversi dati a disposizione del Titolare al fine di valutare, determinare o prevedere, secondo “modelli predeterminati”, aspetti personali, preferenze o comportamenti, compresa la propensione all’acquisto di prodotti o servizi, degli Interessati.
Le definizioni indicate dal GDPR, nonché dalle linee guida del WP29 per gli aspetti descritti relativi alle “raffronto e correlazione statistica”, stabiliscono un confine netto fra due categorie di elaborazioni:
- semplice o di segmentazione, costituita da interrogazioni (query) di database di dati personali di interessati le cui caratteristiche sono note in quanto le informazioni sono state conferite direttamente dall’interessato o prodotte a seguito dell’esecuzione del contratto;
- complesse o di profilazione, quando vengono eseguite elaborazioni che prevedono, prima la creazione di un modello basato sul rilevamento e confronto/correlazione di un campione statistico, dopo l’applicazione di questo modello ad uno o più interessati.
Un semplice esempio di elaborazione di profilazione potrebbe essere ad esempio l’applicazione di un modello statistico quale la retta di regressione per stimare il valore di una variabile quantitativa (Y) partendo dai valori di un’altra variabile quantitativa (X):
- La X è la variabile esplicativa (detta anche indipendente o covariata)
- La Y è la variabile risposta (detta anche dipendente)
Se mettessimo nella ascisse (riga orizzontale, X) il reddito di una persona, e sulle ordinate (riga verticale, y) il numero di giorni di vacanza fatte in un anno, potremmo stabilire un modello che misura l’incremento dei giorni di vacanza in funzione dell’incremento di reddito.
Senza voler scendere nei dettagli del funzionamento della c.d. “retta di regressione”, esaminato un certo numero di rilevazioni (campione statistico), potremmo stabilire un modello matematico per misurare la relazione fra reddito e numero di giorni di vacanza.
Ad esempio, se fossimo un’agenzia di viaggi che raccoglie anche i dati sul reddito dei propri interessati, potremmo, applicando la formula della retta di regressione (questa è la profilazione), stabilire che, ad esempio, per un reddito di un nostro cliente di 60.000 Euro è possibile proporre dei pacchetti vacanza della durata di 15 giorni.
L’applicazione di un modello matematico/statistico ad un certo numero di interessati che noi vogliamo classificare o meglio profilare, costituisce un chiaro esempio di attività di profilazione.
L’associazione fra il reddito e il numero dei giorni di vacanza è un semplice esempio di correlazione/raffronto citato dal WP 251 nonchè dalle raccomandazioni Consiglio d’Europa CM/Rec(2010)13
Quello sopra descritto è un semplice esempio. Oggi i modelli statistici, nonché l’intelligenza artificiale, consentono di elaborazione dei modelli ben più sofisticati.
I modelli di profilazione si possono applicare a diversi contesti: ad esempio nel credito potrebbero essere usati per determinare quali strumenti finanziari sono più adatti per un determinato target di clientela.
Capite che la “classificazione automatica” comporta dei rischi per le persone fisiche c.d. Interessati; per questo il legislatore nel corso degli anni ha sottoposto questo tipo di elaborazione ad una maggiore tutela.
Ricordiamo che il trattamento di profilazione è eseguibile, generalmente, previo raccolta del consenso.
All’interno dell’informativa, secondo le linee guida del WP, dovrebbero essere indicati e descritte, in sintesi, i metodi impiegati per la profilazione degli utenti.
La distinzione sopra descritta fra segmentazione e profilazione, può essere utilizzata come criterio per discriminare le elaborazioni semplici di estrazioni di un target di clientela con caratteristiche note da quelle complesse, come quelle di profilazione
Occorre naturalmente valutare i singoli casi, e l’approccio prudenziale, che si intende adottare nella classificazione di queste operazioni.