Il Regolamento europeo sulla privacy (GDPR) ha posto dei limiti sull’utilizzo di quei processi decisionali automatizzati (compresa la profilazione) che facilitano le persone nella scelta di prodotti e servizi offerti sulla base delle loro abitudini, preferenze, stili di vita, etc. e che permettono alle aziende tempi celeri, minor costi e scelte mirate. Ma vediamo cosa sono e il loro significato.
Il processo decisionale automatizzato è quello strumento che consente di prendere decisioni impiegando mezzi tecnologici (ad esempio, macchinari, algoritmi, software, etc.) con o senza l’intervento di un soggetto che sia in grado di influenzare o modificare l’esito del processo.
Ad esempio, usa un processo decisionale completamente automatizzato (senza l’intervento umano) il sito di un’assicurazione online che propone in automatico un premio della polizza RCA auto alto o basso sulla base del reddito; oppure il Comune che per comminare le multa per eccesso di velocità si affida alle informazioni fornite dall’autovelox.
Invece, usa un processo decisionale automatizzato che ha bisogno della valutazione di un operatore, ad esempio, l’assicurazione che sulla base di un software propone il premio di una polizza RCA auto sulla base del mio reddito, ma per calcolarlo valuta l’aumento di stipendio che maturerò il mese prossimo.
Nonostante la loro innegabile utilità, l'impiego di questi strumenti può comportare seri rischi per i diritti e le libertà degli individui. Per evitare che possano creare forme di controllo e monitoraggio invasive sulle persone fino a determinare casi di emarginazione o esclusione sociale, il GDPR li ha disciplinati. In particolare, ha posto dei limiti ai processi decisionali completamente automatizzati che hanno un impatto significativo sulla persona o hanno effetti giuridici.
Innanzitutto, per comprendere se le decisioni incidono in modo significativo sulla persona o hanno effetti giuridici, facciamo degli esempi:
Il GDPR non regola l'utilizzo di qualsiasi processo decisionale automatizzato, ma solo di quelli completamente automatizzati che producono effetti giuridici o incidono sulla persona in modo significativo. In questi casi sono leciti solo se:
In questi casi, per rendere questi processi automatizzati conformi al GDPR il titolare deve fornire all’interessato le seguenti informazioni prima del loro utilizzo:
Ad esempio, il sito che decide se erogare un mutuo in automatico sulla base del mio reddito, deve spiegarmi prima dell'uso che la decisione la prende un algoritmo, deve spiegarmi in modo comprensibile che alle persone con redditi inferiori ai 1.500 euro non viene erogato alcun mutuo, deve spiegarmi che l’adozione di questo processo è necessario per farmi avere il finanziamento e deve garantirmi che posso parlare con qualcuno e spiegare la mia posizione, etc.
Infine, è stato previsto che le decisioni automatizzate che si basano sui dati sensibili (quelli sull'origine razziale, convinzioni religiose, politiche, filosofiche o sindacali, sullo stato di salute e sulla vita sessuale) sono invece consentite solamente con il consenso esplicito dell’interessato o se giustificate da motivi di rilevante interesse pubblico secondo il diritto dell’Unione o dei singoli Stati membri.