A Dicembre 2017, fu pubblicato su Youtube il famoso video “Google sa tutto” che ironizzava sul fatto che ormai in rete non esisteva più la privacy.
Il simpatico video, anticipava di qualche mese, molti dei quesiti che la commissione Europea in materia di privacy avrebbe affrontato rilasciando le linee guida denominate “WP251″ del 20/08/2018 (Gruppo di lavoro) affrontando il delicato problema della profilazione e sui processi di decisione individuale automatizzati da parte delle aziende soprattutto online. (scarica le linee guida del WP251 in Italiano)
Ma cerchiamo di capire cos’è la “profilazione”, Il regolamento definisce la profilazione all’articolo 4, punto 4, come:
qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Regolamento europeo 679/2016
Il processo decisionale automatizzato invece viene invece definito dallo stesso gruppo di lavoro come:
Il processo decisionale automatizzato ha una portata diversa da quella della profilazione, a cui può sovrapporsi parzialmente o da cui può derivare. Il processo decisionale esclusivamente automatizzato consiste nella capacità di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano.
WP251rev – Commissione Europea per la protezione dei dati personali
Questi processi, possono migliorare il mercato creando concorrenza e favorendo il consumatore che può godere di una migliore scelta di prodotti e servizi sulla base delle sue abitudini e di una migliore esperienza nei servizi offerti. Le aziende invece possono aumentare i loro profitti offrendo beni e servizi sempre più cuciti sulle reali esigenze del loro cliente.
I Rischi nell’utilizzo di questi processi risiedono sempre nell’abuso dello strumento e della legittimità del trattamento.
Il titolare del trattamento per trattare i dati attraverso metodologie elettroniche senza l’utilizzo dell’intervento umano utilizzando o meno la “profilazione”, dovrà essere in grado di dimostrare che l’interessato sia stato adeguatamente informato con un linguaggio semplice e che sia chiara la base di legittimità (consenso, rispetto di un contratto, rispetto di obblighi legali, un legittimo interesse, salvaguardia di interessi vitali o nell’interesse pubblico) – Art 6 del WP251
E’ bene ricordare che l’interessato può sempre e in qualsiasi momento opporsi al trattamento, può richiedere un intervento umano e può esprimere il proprio punto di vista e/o contestare la decisione.
La Privacy è un diritto fondamentale riconosciuto da tutti gli stati dell’unione Europea. E’ necessario sensibilizzare quanto più possibile non solo le “Big Data”, ma tutte le società private che oggi hanno fatto della profilazione e dell’elaborazione elettronica dei dati, il loro “Core Business” ad un utilizzo responsabile di questi strumenti.
Per comprendere quanto questi processi possano arrivare a violare i diritti fondamentali degli interessati basti pensare a come questi trattamenti automatici/elettronici possano indirizzare il voto nelle campagne pubblicitarie ( Provvedimento del garante 9105201 ) o come partendo dalla profilazione di semplici “mi piace” su Facebook, un gruppo di ricerca sia arrivato a predirre con precisione l’orientamento sessuale degli utenti maschili nell’88% dei casi, l’origine etnica nel 95% e se un utente era Crstiano o Mussulmano nel 82% Va sottolineato che tale attività è stata in grado di ricavare dei dati particolari (ex dati sensibili) tutelati dall’art. 9 del GDPR partendo da semplici dati comuni.
– “Michael Kosinski, David Stilwell e Thore Graepel ” https://www.pnas.org/content/pnas/110/15/5802.full.pdf
E’ quindi molto importante:
- leggere e comprendere le informative che troppo spesso vengono accettate velocemente e senza porre alcuna attenzione
- chiedere spiegazioni al Titolare del trattamento o al DPO se e quando qualcosa non è chiara, ricordando che la risposta non deve tardare ad arrivare essendo uno dei diritti riconosciuti all’interessato dal Reg Europeo 679/2016
- rivolgersi sempre al Garante della protezione dei dati personali se pensiamo che i nostri dati personali non sono stati trattati con le dovute tutele.
Si presti quindi attenzione per evitare come nel video “Google sa tutto!” che i tutti i nostri dati personali siano utilizzati per suggerirci non solo per suggerire velocemente la “pizza migliore per noi”, cosa che potrebbe far piacere, ma che addirittura che una “pizzeria” entri in questioni personali che vorremmo rimanessero nell’ambito della nostra sfera privata inviolabile!