Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Decisioni automatizzate: come viene implementato il GDPR?

Osservatorio Legale n. 47 – Maggio 2022

Decisioni automatizzate: come viene implementato il GDPR? Il 17 maggio il Future of Privacy Forum ha pubblicato un ampio rapporto sulla questione delle decisioni automatizzate.

Questo rapporto analizza oltre 70 documenti che fanno luce sulle modalità di attuazione dell'articolo 22 del GDPR da parte di tribunali e corti, autorità di protezione dei dati europee e del Regno Unito, nonché in numerose linee guida e raccomandazioni emanate dalle autorità di regolamentazione in materia.

Sebbene le decisioni automatizzate fossero già regolamentate dalla Direttiva europea 95/46/CE, il principio ha assunto una nuova dimensione con l'entrata in vigore del GDPR.

È quindi applicabile in contesti più vari e frequenti, come quelli dell'intelligenza artificiale, e gli APD hanno ora i mezzi per far rispettare la legge.

Questo tipo di decisione si riscontra principalmente nei seguenti ambiti:

  • Controllo degli accessi e delle presenze nelle scuole mediante tecnologie di riconoscimento facciale
  • Monitoraggio online nelle università e valutazione automatizzata degli studenti
  • Filtraggio automatico delle domande di lavoro
  • Gestione algoritmica dei lavoratori della piattaforma
  • Distribuzione delle prestazioni sociali e individuazione delle frodi fiscali
  • Valutazione automatica del credito
  • Decisioni di moderazione dei contenuti nei social network

Ricordiamo brevemente il principio: L'articolo 22 del GDPR conferisce agli individui il diritto di non essere sottoposti a una decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incidano in modo analogo significativamente sulla sua persona.

A questo proposito, occorre sottolineare che il Comitato europeo per la protezione dei dati ha chiarito che i titolari del trattamento non possono eludere l'applicazione dell'articolo 22 facendo semplicemente convalidare da un essere umano le decisioni prese dalla macchina, senza avere la reale autorità o competenza per modificarne il risultato.

D'altro canto, se il processo automatizzato in questione fornisce dati solo per una decisione che in ultima analisi sarà presa da un essere umano, il trattamento che ne è alla base non rientra nell'ambito di applicazione dell'articolo 22.

Ai sensi dell'articolo 22(2), le decisioni automatizzate restano possibili quando sono necessarie per l'esecuzione di un contratto, previste dalla legge o basate sul consenso esplicito dell'individuo.

In tali casi, il titolare del trattamento predispone tuttavia misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, nonché il suo diritto di ottenere almeno l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Questa rigorosa limitazione delle decisioni automatizzate deve essere letta nel contesto più ampio del GDPR, e in particolare dei suoi requisiti riguardanti la legittimità di qualsiasi trattamento, l'esistenza di una base giuridica e le norme relative ai cosiddetti dati sensibili, compresi i dati biometrici.

Dai documenti analizzati emerge che le autorità di vigilanza e i tribunali applicano rigorosamente tali principi.

Insistono in particolare sui seguenti elementi:

  • L'obbligo di trasparenza in merito ai parametri che portano ad una decisione automatizzata;
  • L'applicazione del principio di lealtà, per evitare discriminazioni;
  • Le condizioni rigorose per ottenere il consenso della persona interessata.

Inoltre, per decidere se una decisione è esclusivamente automatizzata, si terrà conto dell'intero contesto del processo decisionale: struttura organizzativa del responsabile, linee gerarchiche, consapevolezza dei dipendenti.

Per valutare l'impatto della decisione sull'individuo, le autorità esaminano in particolare se i dati di input di una decisione automatizzata includono inferenze sul comportamento degli individui e se la decisione influisce sul comportamento e sulle scelte degli individui interessati.

In Francia, una delle decisioni di riferimento è quella della CNIL nel File Clearview, per quanto riguarda il riconoscimento facciale: la Commissione ha ordinato a Clearview AI di interrompere la raccolta di immagini facciali di persone in Francia da Internet per alimentare il database che addestra il suo software di riconoscimento facciale e di eliminare le immagini raccolte in precedenza, entro due mesi.

L'Italia e il Regno Unito hanno adottato decisioni simili nei confronti della stessa azienda.

Una sentenza emessa nel febbraio 2020 dal tribunale amministrativo di Marsiglia ha annullato la decisione della regione Provenza-Alpi-Costa Azzurra di effettuare due progetti pilota di riconoscimento facciale agli ingressi delle scuole da Nizza e Marsiglia.

Mentre il caso era in corso, la CNIL ha espresso preoccupazione circa l'attuazione di un simile sistema, dato il pubblico di riferimento (bambini) e la sensibilità dei dati biometrici coinvolti.

La decisione della Corte di annullare i progetti pilota è stata presa sulla base del fatto che il consenso ottenuto dagli studenti delle scuole superiori non era stato dato liberamente, specificamente, informato e inequivocabilmente, e che le scuole avevano a disposizione mezzi meno invasivi per controllare l'accesso degli studenti ai propri locali (ad esempio, controlli tramite badge/tessera identificativa, combinati con videosorveglianza).

Aggiungiamo che nella maggior parte dei casi il titolare del trattamento non potrà evitare un analisi di impatto, come previsto dall’articolo 35 del GDPR, quando la decisione riguarda una profilazione con effetti significativi sulla persona: ad esempio, in Italia, la recente decisione del Garante riguardante la società Deliveroo: la società avrebbe dovuto effettuare un’analisi di impatto sul proprio algoritmo, il trattamento mediante tecnologie innovative, essendo su larga scala (sia in termini di numero di ciclisti – 8.000 – sia di tipologie di dati utilizzati), riguardando soggetti vulnerabili (lavoratori della “gig economy” retribuiti a mansione) e comportando una valutazione o un rating di questi ultimi.

E anche

Francia:

La CNIL pubblica il suo rapporto di attività per l'anno 2021: Tra le sue attività più degne di nota, segnaliamo il rinnovamento della politica di sostegno, l'aumento della mobilitazione sulla sicurezza informatica e il rafforzamento dell'azione repressiva.

Pubblica inoltre una serie di criteri per valutare la legalità dei cookie a muro.s (pareti traccianti).

Fornisce informazioni che consentono la legalità dell' "paywall", che richiedono all'utente di Internet che rifiuta i cookie di fornire una somma di denaro per accedere al sito.

L'editore che desidera implementare un paywall deve essere in grado di giustificare la ragionevolezza del compenso monetario offerto e dimostrare che il suo cookie wall è limitato agli scopi che consentono una remunerazione equa per il servizio offerto.

Il governo francese implementerà un sistema che consentirà ai cittadini di autenticarsi online scansionando la propria carta d'identità con il proprio smartphone.

La Gazzetta Ufficiale ha infatti pubblicato il decreto n. 2022-676 del 26 aprile 2022 che autorizza la creazione di un'applicazione di identificazione elettronica denominata “Servizio di garanzia dell’identità digitale”.

Questa applicazione sarà collegata alla nuova carta d'identità dotata di chip e consentirà di memorizzarne i dati su un telefono cellulare.

Europa:

Il 12 maggio, il Comitato europeo per la protezione dei dati ha adottato due linee guida, una sui metodi di calcolo delle sanzioni in conformità al GDPR e l'altra sul riconoscimento facciale.

Il Comitato sostiene che gli strumenti di riconoscimento facciale dovrebbero essere utilizzati solo nel rigoroso rispetto della direttiva europea sulla polizia e la giustizia.

Commissione Europea ha pubblicato l'11 maggio la sua proposta di regolamento volto a prevenire e contrastare il materiale pedopornografico (CSAM).

Le implicazioni per aziende come WhatsApp e Instagram, che sono tenute a monitorare ed eliminare le comunicazioni private o a trasferirle alle forze dell'ordine, preoccupano la società civile.

La Commissione Europea pubblica domande e risposte sulle nuove clausole contrattuali standard per i trasferimenti internazionali di dati

Il "Data Act" della Commissione europea ha suscitato anche la reazione del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati (GEPD). : in un parere congiunto, sono preoccupati per la portata del regolamento.

Sebbene il suo obiettivo principale siano i dati trasmessi da oggetti connessi, sono interessati anche i dati personali sensibili.

Le autorità chiedono limiti chiari all'uso dei dati per il marketing diretto o la pubblicità, il monitoraggio dei dipendenti, i premi assicurativi e le segnalazioni creditizie.

L'autorità spagnola per la protezione dei dati ha multato Google LLC per 10 milioni di euro. per aver trasferito illecitamente i dati personali a terzi e per aver impedito l'esercizio del diritto alla cancellazione.

Google è stata citata in giudizio anche nel Regno Unito per uso illegale di dati medici di 1,6 milioni di persone: DeepMind, il sistema di intelligenza artificiale dell'azienda, avrebbe ricevuto questi dati nel 2015 dal Royal Free NHS Trust di Londra per testare un'applicazione mobile.

Google – ha infine deciso, dopo essere stata condannata dalla CNIL e dalle sue controparti europee, di semplificare il rifiuto di tutti i cookie sul suo motore di ricerca e su YouTube. L'opzione "Personalizza" sarà quindi sostituita da due pulsanti "Accetta tutto" e "Rifiuta tutto" della stessa forma, accompagnati da un terzo pulsante "Altre opzioni".

Secondo l'Autorità belga per la protezione dei dati, L'invio di un'e-mail con l'elenco dei destinatari in CC anziché in CCN non è considerato una violazione della sicurezza, purché sia interessato solo un piccolo gruppo di persone (16 persone).

L'autorità danese sta valutando l'imposizione di una multa di 100.000 corone danesi a un'agenzia del Ministero della Giustizia per lo smarrimento di una chiavetta USB non crittografata e per la mancata segnalazione della violazione della sicurezza all'autorità per la protezione dei dati.

La Corte d'appello irlandese ritiene che i dati raccolti da un sistema di videosorveglianza ai fini della prevenzione dei reati non possano essere utilizzati per sorvegliare i dipendenti e avviare procedimenti disciplinari nei loro confronti, essendo tale finalità incompatibile con la prima.

L'autorità norvegese per la protezione dei dati intende imporre una multa di 486.700 euro all'amministrazione del lavoro per aver diffuso online i CV di 1.800.000 persone senza una base giuridica.

Internazionale:

Il Garante europeo della protezione dei dati ha espresso preoccupazione in un parere del 18 maggio in merito alla partecipazione dell'Unione europea alla Convenzione delle Nazioni Unite sulla criminalità informatica.

Sottolinea il rischio di indebolimento dei diritti fondamentali, dovuto al gran numero di Paesi coinvolti con sistemi giuridici diversi.

L'Autorità per la protezione dei dati di Hong Kong ha pubblicato il 12 maggio le sue linee guida sull'uso delle clausole contrattuali per i trasferimenti internazionali di dati.

Autorità per la protezione dei dati di Singapore pubblica una guida all'anonimizzazione dei dati

Twitter raggiunge un accordo con il Dipartimento di Giustizia degli Stati Uniti e la Federal Trade Commission per 150 milioni di dollari e si impegna a implementare un programma di conformità in merito alle violazioni della riservatezza dei dati non pubblici dei suoi abbonati.

Un rapporto del Consiglio irlandese per le libertà civili afferma che Offerte in tempo reale, che consente di inviare pubblicità mirata, è responsabile della più grande violazione dei dati mai registrata al mondo.

Secondo i dati, il settore, che vale più di 110 miliardi di euro, traccia e condivide le attività online e le posizioni reali degli individui 178 miliardi di volte all'anno negli Stati Uniti e in Europa.

In Europa, RTB espone i dati delle persone 376 volte al giorno e Google invia 19,6 milioni di trasmissioni sul comportamento online degli utenti Internet tedeschi ogni minuto in cui sono online.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT