La profilazione (parte 1)
Vediamo cos’è, come (e se) è legale, l’attività meglio nota come “profilazione”.
In questo articolo e nei successivi proveremo ad addentrarci nella definizione che il GDPR dà del tema, confrontandola poi con l’attività pratica e reale, soprattutto online.
Il contesto
Ne abbiamo tutti sentito parlare: molto spesso, in senso negativo e generale, come un’attività equiparabile alla “sorveglianza di massa” emersa dal caso Snowden.
Il termine usato (profiling nella versione inglese del GDPR) richiama alla mente, immediatamente, l’idea di un “dossieraggio” svolto da oscure organizzazioni che sfuggono al controllo della forza pubblica e, naturalmente, alle leggi vigenti in ambito privacy.
In realtà, la profilazione ha diversi risvolti positivi, se attuata correttamente: basti pensare all’enorme mole di comunicazioni marketing che riceviamo, ogni giorno e/o in ogni sito web che visitiamo, e che non hanno nessun tipo di rilevanza per i nostri gusti e abitudini di consumo. Quelle comunicazioni sono un “disturbo”, sono a tutti gli effetti “spam” per noi, poichè anche solo il tempo speso – perso! – a cancellare la e-mail dalla posta in arrivo, o a togliere il consenso all’invio di newsletter periodiche, costituisce comunque un momento e un’attività evitabile.
Evitabile, se solo chi ci ha inviato il messaggio si fosse domandato (e avesse capito) cosa ci interessa e cosa no, in base a chi siamo, dove siamo, cosa facciamo, eccetera.
La definizione
Per comprendere il concetto di “profilazione” in senso tecnico-normativo, allora, dobbiamo muoverci:
- da un lato, rimuovendo l’accezione necessariamente negativa, e
- dall’altro, tenendo ben presente i rischi che un “profiling” spinto della nostra persona e delle nostre abitudini comporta (qualcuno ha detto Cambridge Analytica?).
Soprattutto, per evitare di fare confusione, è assolutamente necessario tenere ben distinti due concetti sicuramente collegati, ma diversi:
- una cosa è la “profilazione”
- un’altra è la “decisione automatizzata”, nel senso tecnico previsto dal GDPR.
Partiamo allora dalla definizione di “profilazione” fornita dall’art. 4 GDPR:
“Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”
Proprio in riferimento alla c.d. “decisione automatizzata”, giova riportare qui una chiara indicazione fornita dal GDPR:
“L’interessato (quindi, qualunque persona fisica) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.
Tutto ciò, salvo alcuni casi specifici, fissati nel prosieguo del GDPR (azione necessaria per la conclusione di un contratto, autorizzazione di legge, consenso).
Un primo punto fermo: i diritti della persona
Dalla combinazione delle informazioni riportate sopra, si possono trarre alcuni iniziali assunti.
In primo luogo, la modalità principe – legale – per fare profilazione e/o avviare decisioni automatizzate è il “consenso“, ovvero una manifestazione di assenso esplicita, chiara, informata e (va aggiunto) facilmente revocabile e consultabile dalla persona.
In mancanza del consenso, l’azienda che si propone di fare profilazione e/o prendere decisioni automatizzate deve valutare attentamente come si sta comportando, e porre particolare cautela nell’elaborare i dati relativi a ciascuno di noi per creare un profilo di comportamento (spesso, commercialmente appetibile).
A questo punto, la domanda sorge spontanea: ma quando avrei dato il consenso a piattaforme come Facebook o Google per profilarmi e, quindi, inviarmi pubblicità basata sui miei interessi?
La risposta, ad oggi senza che sia stato ancora aperto un contraddittorio serio, è: quando hai creato il tuo account e/o, addirittura, usato le loro piattaforme anche se non eri registrato.
Fate una prova: attivate la navigazione anonima su un qualunque browser web, e poi accedete a www.google.it. Quello che leggerete all’apertura della pagina è il punto di partenza della seconda parte di questo approfondimento.
__________________________________________
Photo by Matthew Henry on Unsplash