Cos'è un processo decisionale automatizzato?
Il Regolamento europeo sulla privacy (GDPR) ha posto dei limiti sull’utilizzo di quei processi decisionali automatizzati (compresa la profilazione) che facilitano le persone nella scelta di prodotti e servizi offerti sulla base delle loro abitudini, preferenze, stili di vita, etc. e che permettono alle aziende tempi celeri, minor costi e scelte mirate. Vediamo di cosa si tratta e il loro significato.
Significato di processo decisionale automatizzato
Il processo decisionale automatizzato è quello strumento che consente di prendere decisioni impiegando mezzi tecnologici (es. macchinari o algoritmi) con o senza l’intervento umano e che sia in grado di influenzare o modificare l’esito del processo.
Ad esempio, usa un processo decisionale completamente automatizzato (quindi senza l’intervento umano) il sito di un’assicurazione online che propone in automatico un premio della polizza RCA auto solo sulla base del reddito; oppure il Comune che per comminare le multa per eccesso di velocità si affida alle informazioni fornite dall’autovelox.
Invece, usa ad esempio un processo decisionale automatizzato che ha bisogno della valutazione di un operatore, l’assicurazione che sulla base di un software propone il premio di una polizza RCA auto sulla base del reddito ma per calcolarlo il funzionario si informa sul tenore di vita, valuta il patrimonio complessivo, etc.
Processi decisionali automatizzati e GDPR
Nonostante la loro innegabile utilità, l'impiego di questi strumenti può comportare seri rischi per i diritti e le libertà degli individui. Per evitare che possano creare forme di controllo e monitoraggio invasive sulle persone fino a determinare casi di emarginazione o esclusione sociale, il GDPR li ha disciplinati. In particolare, ha posto dei limiti ai processi decisionali completamente automatizzati che hanno un impatto significativo sulla persona o hanno effetti giuridici.
Innanzitutto, per comprendere se le decisioni incidono in modo significativo sulla persona o hanno effetti giuridici, facciamo degli esempi:
- un sito che attraverso un algoritmo concede un mutuo con un tasso basso alle coppie senza figli e un tasso alto alle coppie con figli. Questo metodo influisce in modo significativo sulle persone, poiché alcune coppie saranno costrette a pagare più soldi rispetto ad altre
- la "scatola nera" sulle auto che permette di registrare tutti i movimenti del veicolo e lo stile di guida del guidatore. In caso di incidente misura la velocità del veicolo e se questa risulta eccessiva attribuisce automaticamente la colpa al conducente. In questo caso si tratta di una processo decisionale automatizzato che ha effetti giuridici.
Quando può essere usato un processo decisionale automatizzato
Il GDPR non regola l'utilizzo di qualsiasi processo decisionale automatizzato, ma solo di quelli completamente automatizzati che producono effetti giuridici o incidono sulla persona in modo significativo. In questi casi sono leciti solo se:
- sono necessari per la conclusione o l’esecuzione di un contratto tra il soggetto e un titolare del trattamento. Ciò significa che non ci deve essere altro modo per stipulare e eseguire un contratto
- sono autorizzati dal diritto dell'Unione o dello Stato membro (vale a dire che deve essere stata emanata una legge che ne prevede l’uso)
- c’è il consenso esplicito (ossia che l'interessato ha accettato espressamente l’utilizzo).
In questi casi, per rendere questi processi automatizzati conformi al GDPR, il titolare deve fornire all’interessato le seguenti informazioni prima del loro utilizzo:
- spiegare come funzionano, quali sono i criteri su cui si basano e quali conseguenze hanno;
- dimostrare che questi processi sono necessari e non ci sono altri mezzi alternativi meno invasivi;
- specificare quali sono le basi giuridiche specifiche che legittimano il trattamento dei dati (consenso, esecuzione di un contratto, etc.);
- assicurare al soggetto interessato il diritto di ottenere un intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Ad esempio, il sito che fa decidere ad un algoritmo se concedere un mutuo ad un cliente sulla base del suo reddito, deve spiegargli che la decisione la prende un algoritmo, che alle persone con redditi inferiori a €1.500 non viene erogato alcun mutuo, il motivo in forza del quale l’adozione di questo processo è necessario e deve garantirgli che può parlare con qualcuno per spiegare la sua situazione patrimoniale e personale, etc.
Infine, è stato previsto che le decisioni automatizzate che si basano sui dati sensibili (quelli sull'origine razziale, convinzioni religiose, politiche, filosofiche o sindacali, sullo stato di salute e sulla vita sessuale) sono invece consentite solamente con il consenso esplicito dell’interessato o se giustificate da motivi di rilevante interesse pubblico secondo il diritto dell’Unione o dei singoli Stati membri.
Privacy Policy sul Trattamento dei Dati
Per informare le persone sull'uso che verrà fatto dei loro dati personali trattati
Hai ancora domande? Richiedi una consulenza per parlare con un professionista o contatta il supporto in chat.