Siete pronti per le normative GDPR sulla profilazione?

La normativa GDPR (General Data Protection Regulation) che disciplina la protezione dei dati nell'UE entrerà in vigore nel maggio 2018. Questo provvedimento avrà effetto sulla valutazione automatica dei clienti e stabilirà le regole per prendere decisioni automatiche sull'erogazione del credito. Cosa significa tutto questo per voi e i vostri clienti?

Il nuovo regolamento introdurrà nuovi requisiti operativi per le aziende e le organizzazioni che gestiscono dati personali e dovrà essere applicato a partire dal maggio 2018. Le misure estendono il modo in cui le persone, come clienti e datori di lavoro, possono essere valutati automaticamente tramite il trattamento dei dati, chiamato anche profilazione.

Cos'è la profilazione?
In generale, la profilazione è volta a prevedere il comportamento futuro di un individuo, ad esempio in base alle sue azioni precedenti. In ambito GDPR la profilazione è definita come qualsiasi trattamento automatico di dati personali effettuato per valutare aspetti personali quando ciò ha implicazioni legali che riguardano la persona. Ad esempio, la valutazione può riguardare le prestazioni lavorative, la situazione economica, le preferenze e gli interessi personali, l'affidabilità o il comportamento futuro della persona.

In ambito GDPR la profilazione è definita come qualsiasi trattamento automatico di dati personali effettuato per valutare aspetti personali quando ciò ha implicazioni legali che riguardano la persona.

Ciò che è importante per voi è sapere che GDPR consente di procedere alla profilazione delle personale senza il loro consenso.

Tuttavia, vi sono alcune eccezioni.
Il Regolamento contempla questa profilazione solamente quando il trattamento dei dati è completamente automatico. Se invece la valutazione comporta dei passaggi manuali, non si tratta più della profilazione descritta dal Regolamento. Oltre a questo, qualsiasi trattamento di dati che non possono essere ricondotti a un individuo specifico non è considerato profilazione.

Parte essenziale della definizione è anche il fatto che una decisione con implicazioni legali o di altro tipo riguardanti la persona deve essere basata sulla valutazione. Il Regolamento non specifica quali sarebbero effettivamente queste decisioni. In termini pratici, il GDPR regolamenterà comunque come profilazione i modelli di decisione automatica del credito per i consumatori che vengono utilizzati per valutare la posizione creditizia e il comportamento futuro in tema di pagamenti di un richiedente, oltre alla decisione di concedere o meno il credito.

La tutela dei diritti personali è importante
Il trattamento dei dati personali e la profilazione delle persone sono condizionati dalla soddisfazione dei requisiti del GDPR (Articolo 6). In pratica, le motivazioni tipiche per il trattamento dei dati comprendono il consenso di una persona o la sua stipulazione di un contratto. 

Il GDPR copre estesamente i diritti di una persona nel trattamento automatico dei dati personali.

  1. Le persone hanno il diritto di essere informate sull'utilizzo dei loro dati per la profilazione. Il GDPR (Articoli 13 e 14) obbliga le aziende a dichiarare le loro intenzioni e presentare dati pertinenti in merito alla logica, al significato e alle conseguenze potenziali di tale profilazione. Le persone hanno il diritto di ricevere le stesse informazioni sulla base del diritto di accesso del soggetto (Articolo 15). La logica e il significato della profilazione possono essere chiariti ai clienti utilizzando, ad esempio, degli esempi.
  2. Il trattamento dei dati personali, e quindi la profilazione, può essere obiettato (Articolo 21) quando viene effettuato nell'interesse pubblico o nell'esercizio della pubblica autorità (punto (e) dell'Articolo 6(1)) o per finalità di interesse legittimo perseguite dal controllore o da una terza parte (punto (f) dell'Articolo 6(1)). Di conseguenza, il diritto di opporsi alla profilazione non si estende alle situazioni il cui questa viene effettuata per la stipulazione di un contratto con la persona, come nel caso delle decisioni sul credito.

  3. Le persone hanno il diritto di non essere soggette a (Articolo 22) una decisione basata esclusivamente sul trattamento automatico, che produce effetti legali che le riguardano o che può avere implicazioni significativamente simili su di esse. Un'eccezione a questo diritto è anche qualsiasi situazione in cui la profilazione e il conseguente processo decisionale sono necessari per definire un contratto tra una persona e un'azienda, o se ciò viene fatto senza il consenso della persona stessa. Questo requisito non preclude la profilazione al fine di prendere una decisione sul credito.

Il qualsiasi caso, il fornitore del credito deve sempre tutelare i diritti della persona. Il requisito minimo è che chi richiede il credito ha il diritto di esigere che la propria domanda venga elaborata, ad esempio, da una persona fisica invece che da un sistema automatizzato. Una seconda elaborazione della domanda non significa che il risultato potrebbe essere automaticamente diverso.

Importanza delle linee guida del gruppo di lavoro dell'Articolo 29
Il gruppo di lavoro dell'Articolo 29 è un organismo di cooperazione composto dai rappresentanti delle autorità nazionali di supervisione negli Stati Membri dell'Unione Europea che formula e pubblica linee guida sul Regolamento generale sulla protezione dei dati. Costoro svolgeranno un ruolo importante nell'interpretazione del GDPR. Finora sono state pubblicate tre linee guida, riguardanti la portabilità dei dati, i responsabili della protezione dei dati (DPO, Data Protection Officer) e i criteri per l'individuazione dell'autorità capofila per i trattamenti transazionali (Lead Supervisory Authority).

Gli Articoli del GDPR non specificano che, di fatto, si tratterebbe di una decisione che ha implicazioni legali o significativamente simili per una persona. Questo è un motivo particolarmente importante per prestare molta attenzione in futuro alle linee guida del gruppo di lavoro dell'Articolo 29.

Le aziende devono rivedere le proprie procedure e individuare tutte le circostanze che comportano la profilazione così come descritta nel Regolamento, ad esempio, i casi in cui vengono valutati aspetti personali e viene presa una decisione significativa per la persona. A partire da maggio 2018, deve essere garantito che il soggetto della profilazione abbia l'opportunità di sottoporre il proprio parere, rivendicare la decisione, se necessario, e fare in modo che il trattamento che lo riguarda venga effettuato manualmente. Inoltre, deve essere garantito l'obbligo di informazione sulla profilazione conformemente al GDPR.

Leggete i nostri dieci suggerimenti per iniziare la preparazione per il GDPR qui.