I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   dizionario 2023-02-23 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96440' · pdf

Processo decisionale automatizzato

abstract:



Quel trattamento da indicare nell'informativa, inclusa la profilazione, che porta a effetti immediati, non solo informazioni da valutare successivamente. Il processo è vietato salvo sia in esecuzione di un contratto, rispetto di una legge, o vi sia un consenso esplicito (lecito e libero).




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

L'analisi è riservata agli iscritti. Segui la .......... ....'............ ...... .. ....... .......... ........ .. ......

......, ............, ..................., .................... ..... ....... ... ......... ........, ....... ...... ...... .. ........... .. ............ ........... .... ........... .. ......... ....... . ...... ....'............ .. .... .... ............, ..... ..... . .... .. ......, ... .... ........ .........., .. ........

.... ......., ..... .. ... .. ........., .. ........, .. ....... .. ......

........ ..... .... ....... .. ........ ......' ... ............. .. ........., ...... .. ......... .. .... ... .... ........ ......... (......... ... .. .............. ....'....... ... ......).

..' .... .' .......... .... ........ ... ......... ..... ... ......... .. ......... .......... (... ...... .... ...... ........ . ... ........) . ..... ........ .. ....... . ............. ....... ..........., ... .. ........ ....... ... ....... . .......

.......... .. ......... ..... .... ......... .. ...... .............: ...... ...... ......... ... . ........ ............. ... ........., ........... .. .... .. ......... . ......... .. ........ ......

....... ... .... ..... ...... ... ....... ....., .. ..... ... ..... ... ......... .. .. ....... ...... . ........... ...... .. ..... .......... .. ...... ............ . ...........: ...... ...... ....... ...... ........ ... ....... ...' .......... .. ... ..... ....... . ........

........... ?

.......... ........... .......... ... .' ......... .. .... ........ . ....... .. .... ....'.............. .'....... ... ....... . .... ....... .. .......... .. ........... .'....... ....




index:

Indice

  • Art. 13: altri contenuti dell'informativ
  • Art. 15: diritti dell'interessato:
  • esplicito
  • Parere 22/12/21 sullo schema di decreto
  • del settore pubblico
  • In secondo luogo, dovrebbero essere ado
  • rendendo automatizzato, semplice e di f
  • Balancing test
  • Ordinanza ingiunzione del 16/06/22 nei c
  • Ha comunque significativamente inciso su



testo:

A

Art. 13: altri contenuti dell'informativa:

f) l'esistenza di un processo decisionale automatizzato, compresa la Profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale Trattamento per l'interessato.

Art. 15: diritti dell'interessato:

h) l'esistenza di un processo decisionale automatizzato, compresa la Profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale Trattamento per l'interessato.

Sezione 4 Diritto di opposizione e Processo decisionale automatizzato relativo alle persone fisiche

Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1.   L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul Trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2.   Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un Titolare del trattamento;

b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il Titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;

c) si basi sul Consenso esplicito dell'interessato.

3.   Nei casi di cui al paragrafo 2, lettere a) e c), il Titolare del Trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del Titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4.   Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di Dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.

---

Guardiamo alcune pronunce:

Parere 22/12/21 sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 - 22 dicembre 2021 [9738520]

la consapevolezza degli operatori della possibile tendenza a fare automaticamente affidamento o a fare eccessivo affidamento sull’output prodotto da un Processo decisionale automatizzato utilizzato per fornire informazioni o raccomandazioni per le decisioni che devono essere prese da persone fisiche; la corretta interpretazione dell’output del processo decisionale automatizzato, tenendo conto in particolare delle caratteristiche del sistema e degli strumenti e dei metodi di interpretazione disponibili; la possibilità per gli operatori di decidere, in qualsiasi situazione particolare, di non usare il Processo decisionale automatizzato o altrimenti di ignorare, annullare o ribaltare l'output dello stesso.

Ciò, correggendo potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale fondato su tali trattamenti.

Al riguardo, si rappresenta che, come illustrato nelle Linee guida sul Processo decisionale automatizzato relativo alle persone fisiche e sulla Profilazione ai fini del Regolamento 2016/679 (adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati il 3 ottobre 2017 e successivamente aggiornate il 6 febbraio 2018, WP 251 rev.01), fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, “esistono potenzialmente tre modalità d’uso della profilazione: i) Profilazione generale; ii) processo decisionale basato sulla profilazione; iii) decisione basata unicamente sul Trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato, che ricade nell’ambito di applicazione dell’art. 22 del

Sotto altro profilo, come sopra riportato, nella relazione illustrativa vengono descritte le fasi relative all’analisi del rischio, precisando, in particolare, che nell’ambito del processo decisionale è sempre garantito l’intervento umano.

---

Audizione del 18/09/18 di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico

...

Nella fattispecie, la Profilazione dei lavoratori determina l’attribuzione a ciascuno di un determinato grado di propensione all’assenza per malattia ingiustificata.

È bene chiarire che le attività di analisi statistica realizzate in tal modo sui certificati medici, e su altre variabili riferite al lavoratore, non consistono in una mera selezione degli individui sulla base delle loro caratteristiche reali: attività questa, che da un punto di vista tecnico, non richiede il data mining.

Tali analisi determinano, invece, un’effettiva profilazione, nella misura in cui, sulla base di inferenze statistiche, realizzano una prognosi comportamentale, che in quanto fondata su un calcolo probabilistico è sempre soggetta a un margine di errore e per questo necessita di garanzie adeguate per evitare false attribuzioni e valutazioni erronee dei comportamenti individuali.

Per tali ragioni, il nuovo regolamento europeo tratta in maniera specifica la Profilazione e il Processo decisionale automatizzato relativo alle persone fisiche (e non delle persone giuridiche che, come noto, non beneficiano della tutela accordata dalla normativa di protezione dati, se non nel settore delle comunicazioni elettroniche).

...

il Titolare del Trattamento dovrebbe effettuare una valutazione d’impatto, in modo da valutare adeguatamente, in concreto, i rischi connessi al Processo decisionale automatizzato e le misure necessarie in funzione preventiva.  Tali previsioni (che potrebbero essere inserite anche in un atto normativo secondario al quale la fonte primaria faccia rinvio) consentirebbero di realizzare un sistema idoneo a coniugare, nella maniera migliore, l’efficienza degli accertamenti sulle assenze dal lavoro e il diritto alla protezione dei dati personali, che rappresenta in misura sempre crescente un essenziale presidio di libertà e dignità nella società digitale.

Banche e finanza, assistenza sanitaria, fiscalità, assicurazioni, marketing e pubblicità sono soltanto alcuni dei campi nei quali la Profilazione viene effettuata con maggiore regolarità a sostegno del processo decisionale. L’Ufficio del Garante è intervenuto sulle modalità di programmazione delle visite di controllo adottate dall’Inps nel febbraio di quest’anno, dopo aver appreso da alcune notizie di stampa dell’elaborazione di un sistema di data mining, denominato SAVIO, operante non solo all’insaputa dei lavoratori interessati, ma anche in assenza di precauzioni e garanzie specifiche volte ad evitare, ad esempio, che inesattezze nei dati raccolti o incongruenze nella logica degli algoritmi utilizzati, inducano decisioni erronee con impatti negativi sui singoli.

Tali garanzie dovrebbero, innanzitutto, consentire alle persone interessate di essere informate dell’esistenza di un Trattamento automatizzato suscettibile di riguardarle, in modo da poter verificare e, ove necessario, contestare i risultati che ne derivino.  In secondo luogo, dovrebbero essere adottate misure volte a ridurre i margini di errore insiti in queste procedure di elaborazione statistica – caratterizzate dall’applicazione automatica di regole prestabilite di inferenza – e, quindi, i rischi di giudizi prognostici errati, nonché di abusi, di discriminazioni ingiustificate e, soprattutto, di violazione dei diritti degli interessati.

---

Parere 15/10/20 favorevole sullo schema di norma predisposta dalla Provincia Autonoma di Trento in materia di trattamenti che implicano decisioni integralmente automatizzate - 15 ottobre 2020 [9480921]


Nella medesima relazione, in cui è richiamato l’articolo 22 del Regolamento (“Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”), si afferma poi che le fattispecie in questione potrebbero riguardare “anche dati appartenenti a particolari categorie (art. 9 del GDPR) e/o a condanne penali e reati (art. 10 del GDPR)” e in tal caso “ai sensi dell'art. 2-sexies del d.lgs. n. 196/2003 il Trattamento sarebbe comunque disciplinato da una specifica previsione normativa e realizzerebbe una finalità di rilevante interesse pubblico (art. 2-sexies, co. 2, lett. m)”. RILEVATO 2.

L’ipotesi di norma sottoposta all’esame di questa Autorità, come descritto in premessa, prevede trattamenti di tipo automatizzato che possono riguardare anche categorie particolari di Dati personali e dati relativi a condanne penali e reati, cui il Regolamento e il Codice riservano una disciplina normativa ad elevate garanzie.

Sulla necessità che il processo normativo rispetti i canoni e le garanzie appena descritti il Garante si è già soffermato in relazione all’utilizzo di metodologie di data mining (audizione del Presidente dell’Autorità del 18 settembre 2018 innanzi alla Commissione lavoro e previdenza sociale del Senato, doc. web 9043373), precisando che non è sufficiente un intervento normativo che autorizzi semplicemente il ricorso a tali tecniche da parte di un soggetto pubblico, individuando gli interessi pubblici rilevanti per i quali queste possono essere impiegate, ma è necessario che la normativa introduca regole puntuali volte ad accordare le garanzie necessarie per il rispetto dei diritti degli interessati.

Tali previsioni possono essere ulteriormente rafforzate rendendo automatizzato, semplice e di facile accesso anche il canale di contestazione da parte del cittadino con strumenti quali SMS, mail, servizi on line, ecc... Infine, allo scopo di impedire modifiche fraudolente alla logica algoritmica e ai suoi eventuali parametri di configurazione, è opportuno prevedere (e adottare) misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio, quali a esempio la registrazione degli accessi e delle operazioni svolte da parte del personale addetto.

---

Provvedimento del 7 luglio 2022 [9788429]

Sul punto le Linee guida del WP29 (“sul Processo decisionale automatizzato relativo alle persone fisiche e sulla Profilazione ai fini del regolamento 2016/679” del 6 febbraio 2018) indicano una serie di elementi di cui occorre tener conto, nell’ambito  del necessario balancing test (

  • grado di dettaglio e granularità del profilo,
  • esaustività dello stesso,
  • impatto sull’interessato,
  • presenza di garanzie finalizzate ad
  • assicurare la correttezza e a
  • mantenere l’esattezza del Trattamento nonché a
  • prevenire discriminazioni).

Il Titolare dovrebbe, inoltre,

  • tener conto dell’utilizzo futuro o delle successive possibili combinazioni di profili al fine di
  • considerare la “solidità dell’impianto sotteso al trattamento” effettuato su tale presupposto.

---

Ordinanza ingiunzione del 16/06/22 nei confronti di Unicredit S.p.A. - 16 giugno 2022 [9795350]

“il Titolare […] non ha comunicato l’esistenza del Trattamento relativo al processo di valutazione della prestazione dei dipendenti (cosiddetto Unicredit Performance Management […])” (nota cit., p. 3); c. con riferimento alla valutazione della prestazione del dipendente “l’interessato è stato sottoposto a una decisione basata unicamente sul Trattamento automatizzato (senza intervento umano), decisione che produce effetti giuridici che lo hanno riguardato o che ha comunque significativamente inciso sulla sua persona” (nota cit., p. 5).

Testo del 2023-02-23




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Processo decisionale automatizzato e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza