Processo decisionale automatizzato e profilazione: cosa sono, differenze e sinergie | Agenda Digitale

algoritmi

Processo decisionale automatizzato e profilazione: cosa sono, differenze e sinergie

Analizziamo come si integrano e differenziano i due sistemi basati su algoritmi. I processi decisionali automatizzati prevedono un utilizzo consequenziale delle informazioni. Con la profilazione si esegue una semplice categorizzazione di un soggetto in base ai suoi dati. Importante fare chiarezza per difendere la privacy

22 Ott 2020
Renato Castroreale

Direttore Tecnico

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie


Chi siamo, cosa vogliamo e cosa sarà fatto di noi: sempre più stesso sono gli algoritmi a stabilire tutto ciò. Attraverso due sistemi: processi decisionali automatizzati e profilazioni.

Sono termini diversi e solo per errore sono usati come sinonimi. Ma è vero che si integrano, spesso in modo sinergico.

Facciamo chiarezza, che è importante soprattutto in questa fase

Il processo decisionale automatizzato, cos’è

Si tratta di una decisione assunta da un algoritmo (intelligenza artificiale, sempre più spesso), senza l’intervento umano. L’uso di algoritmi nel software coinvolge aspetti della vita quotidiana come l’analisi dei CV nella ricerca di candidati a posizioni lavorative; i sistemi di e-commerce; fino ad arrivare alla guida senza conducente tra le prime applicazioni della Intelligenza Artificiale.

La Sanità e la Giustizia cominciano a usare l’IA per processi decisionali, anche se per ora in termini di decisioni consigliate a un operatore umano (medico, giudice), che prenderà la decisione finale.

In pratica, una serie di valutazioni algoritmiche si insinuerebbero nelle nostre vita, prendendo via via il sopravvento sulle decisioni (ragionate) dell’essere umano. Un tema familiare ai nostri lettori. Vi abbiamo dedicato anche una raccolta di saggi, oltre che settimanali articoli recenti.

Rischi e criticità

Da tale excursus ricco di esempi, possiamo comprendere come finché si tratti di analizzare le potenzialità, ad esempio, del successo di un film o di un vino, i rischi parrebbero contenuti, ma quando, invece, gli algoritmi iniziano a coinvolgere aspetti occupazionali, gli avanzamenti di carriera, la salute, la scuola, allora ecco che meritano un controllo significativamente maggiore.

Limiti del processo decisionale automatizzato (GDPR)

A questo proposito, il GDPR ha dovuto (rectius, voluto), evidentemente, porre dei limiti sull’utilizzo di questi processi che di fatto consentono di prendere decisioni impiegando mezzi tecnologici con o senza l’intervento di un soggetto che sia in grado di influenzare ovvero modificare l’esito del processo.

Qualche esempio
Processo decisionale completamente automatizzato

(senza l’intervento umano) 

  • Sito di una Compagnia di Assicurazione On line che propone in automatico un premio della polizza RCA auto, alto o basso sulla base del reddito;
  • Autovelox per segnalare e sanzionare i conducenti che commettono infrazioni per eccesso di velocità
Processo decisionale automatizzato

(con valutazione dell’Operatore)

  • Assicurazione che sulla base di un software propone il premio di una polizza RCA auto sulla base del reddito, ma per calcolarlo valuta l’aumento di stipendio in maturazione il mese successivo.
  • Autovelox con pattuglia

Gli effetti

Il GDPR non regola solo l’utilizzo dei processi completamente automatizzati produttivi di effetti giuridici o incidenti, in modo significativo, sulla persona.

Secondo il dettato dell’art. 22, infatti, tali processi sono leciti solo se:

  • Necessari per la conclusione o l’esecuzione di un contratto tra il soggetto e un titolare del trattamento, senz’altro modo possibile per perfezionare un contratto;
  • Autorizzati dal diritto dell’Unione o dello Stato membro nel senso che dev’essere stata emanata una Legge regolante l’uso;
  • Muniti di esplicito consenso.

Una precisazione ancora circa le particolari categorie di dati (ex sensibili). Tali processi sono consentiti nella misura in cui sia stato prestato il consenso, in modo esplicito, dell’interessato ovvero se giustificate da motivi di rilevante interesse pubblico secondo il diritto dell’Unione o dei singoli Stati membri.

Profilazione

WEBINAR
Come aumentare il ROI e ottenere forecast sempre più precisi? AI & Deep Learning per il finance
Finanza/Assicurazioni
Intelligenza Artificiale

Il dettato normativo dell’art. 22 comprende, fin dalla rubrica, la profilazione in quanto questa consiste in una forma di trattamento automatizzato di dati personali valutando aspetti personali al fine di analizzare o prevedere nella specie profili riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato.

Il GDPR dà una definizione di profilazione, all’art. 4, punto 4, come: «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».

Il WP 251 offre chiarimenti in merito ed in particolare

il Gruppo di Lavoro chiarisce che per aversi profilazione occorrono tre elementi:

  • Automazione del trattamento;
  • Dati personali;
  • Valutazione degli aspetti personali

La profilazione, inoltre, può implicare una serie di “deduzioni statistiche”, richiamandosi alla raccomandazione CM/Rec (2010)13 del Consiglio d’Europa.

Secondo il citato WP, esistono poi tre modalità d’uso della profilazione:

    1. profilazione generale;
    2. processo decisionale basato sulla profilazione;
    3. decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1)

Per meglio chiarire questi aspetti, dette Linee Guida offrono degli esempi, a distinzione che di seguito riportiamo.

ESEMPI
un essere umano decide se accordare il prestito sulla base di un profilo prodotto con mezzi unicamente automatizzatipunto ii)
un algoritmo decide se il prestito viene accordato e la decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di un essere umanopunto iii)

In sostanza, possiamo dedurne sinteticamente che la profilazione sia la riconduzione a categorie di appartenenza e/o di interesse di un soggetto determinate, attraverso l’analisi dei dati dell’utente medesimo.

Difficoltà di demarcazione tra profilazione e processo decisionale automatizzato

Analizzati separatamente detti due aspetti, vediamo ora le difficoltà di demarcazione tra l’uno e l’altro. È infatti arduo stabilirne l’esatto confine.

A nostro modesto parere, l’errore risiede proprio nel distinguere questi due elementi che spesso tendono a sovrapporsi integrandosi.

Ci saranno sempre software i quali, eseguendo una semplice istruzione di condizione (If, se), determineranno risultanze diverse come ad esempio far comparire degli annunci, proporre dei campi di input, far svoltare l’autovettura a guida autonoma a sinistra piuttosto che a destra, e via discorrendo.

Certo, il numero di If necessari a proporre un banner pubblicitario a far svoltare l’autovettura in modo autonomo dovranno essere evidentemente in numero differente.

Ma allora la domanda da porsi in fondo risiede nel chiedersi se sia la quantità a determinare la differenza tra processo decisionale autonomo e profilazione, o altro.

Per offrire una risposta, si dovrebbe parlare di:

  • Processi decisionali automatizzati quando usiamo queste informazioni (tante o poche che siano, con algoritmi semplici o complessi);
  • Profilazione quando si esegue una semplice categorizzazione di un soggetto in base ai suoi dati.

Come superare i problemi

Oltre ai limiti imposti dal GDPR, di cui si è detto, rammentiamo che i Garanti UE sono intervenuti invocando una maggiore trasparenza per entrambi i processi (decisioni automatizzate e profilazione), improntando il trattamento dei dati ai principi di privacy by design e privacy by default.

Ma non basta.

Concretamente, occorre fornire chiare ed esaustive informazioni agli Utenti/Interessati.

Spiegare a questi ultimi cosa sono effettivamente questi due processi è nella pratica tutt’altro che agevole.

Comprendere infatti la differenza tra processo decisionale automatizzato e profilazione, per un comune utente, può essere davvero difficile; a maggior ragione, capirlo da un contratto (magari in forma digitale su di una pagina web) per adesione.

Il primo tra i rimedi consiste nel fornire adeguate informative contenenti informazioni su come effettivamente vengano utilizzati i dati.

Per tali fini, il Titolare del trattamento è tenuto a spiegare all’Utente/Interessato:

  • Come funzionano e quali sono i criteri sui quali tali processi si fondano e che conseguenze determinano;
  • Cosa vogliono dimostrare vale a dire la necessità non essendoci altri alternativi mezzi meno invasivi;
  • Quali sono le basi giuridiche specifiche legittimanti il trattamento;
  • Che è garantito al soggetto interessato il diritto di ottenere un intervento umano da parte del Titolare del trattamento, al fine di poter esprimere la propria opinione e di contestarne la decisione.

Stando sulla tematica della profilazione, utilizzata prevalentemente in ambito marketing al fine di promuovere particolari categorie di prodotti ritenuti interessanti per l’Utente/Consumatore/Interessato.

A titolo di esempio, se un soggetto acquista prevalentemente dischi di musica classica da un sito specializzato, piuttosto che di altri generi musicali, il sistema potrebbe profilarlo come appassionato di musica classica indirizzandogli proposte ed offerte in questa direzione.

Volendo ragionare su questo esempio, a ben guardare, i dati che ci riguardano oltre ad essere stati oggetto di profilazione potrebbero avere subito un processo decisionale automatizzato, a noi ignoto.

Non ci è dato sapere infatti se il sito internet che ci propone l’acquisto del prodotto non abbia anche eseguito un algoritmo (seppur semplice) per determinare quale pubblicità mostrarci.

NOTE

  1. Peraltro, continua il Garante asserendo, in maniera decisamente condivisibile, che «la problematica connessa al riconoscimento di un valore economico dei dati, fattasi più̀ evidente con il massiccio utilizzo che di questi viene fatto nei servizi digitali, pone interrogativi in merito alla questione del bilanciamento fra la tutela di un diritto fondamentale, qual è quello alla protezione dei dati personali, e l’esigenza di favorire lo sviluppo di nuovi servizi necessari a garantire il pluralismo e la competitività del mercato unico digitale nonché́, ancor prima, la libertà d’iniziativa economica e d’impresa, che pur trova esplicita tutela nella maggior parte degli ordinamenti del sistema UE. Ciò in linea anche con il percorso legislativo avviato in sede europea in materia di tutela del consumatore e della concorrenza nell’ambito della più generale strategia per il mercato unico digitale (cfr. il pacchetto di misure presentate dalla Commissione europea nell’ambito della Comunicazione, Un “New Deal” per i consumatori, COM (2018) 183 dell’11 aprile 2018).»
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4