Profilazione: Definizione

GDPR Art. 4.4: "Qualsiasi trattamento automatizzato di dati per valutare aspetti personali: rendimento professionale, situazione economica, salute, preferenze, interessi, affidabilità, comportamento, ubicazione."

Esempi profilazione:

• Credit scoring (affidabilità creditizia)

• Behavioral scoring assicurazioni

• Recruiting automatizzato (CV screening IA)

• Fraud detection bancario

• Predictive policing

• Marketing segmentation

Liceità profilazione:

Profilazione IN SÉ è lecita se:

• ✅ C'è consenso o altra base giuridica

• ✅ Informativa chiara (esistenza, logica, conseguenze)

• ✅ NON produce decisioni automatizzate Art. 22 (o rientra in eccezioni)

Illecita se:

• ❌ Su dati sensibili senza condizioni Art. 9.2

• ❌ Produce decisioni automatizzate senza intervento umano

• ❌ Manca informativa/consenso

Le 3 Eccezioni: Decisioni Automatizzate Lecite (Art. 22.2)

Art. 22.1 vieta decisioni puramente automatizzate, MA Art. 22.2 prevede eccezioni:

a) Necessaria per contratto (Art. 22.2.a)

Decisione automatizzata necessaria per concludere/eseguire contratto.

Esempio lecito:

• Approvazione automatica finanziamento piccolo importo (<€5.000) secondo policy standard

• Calcolo automatico premio assicurazione online su parametri oggettivi

NON necessaria:

• Rifiuto automatico mutuo: banca può sempre inserire revisione umana

Interpretazione: Eccezione restrittiva, da usare raramente.

b) Autorizzata da legge (Art. 22.2.b)

Legge UE/nazionale prevede esplicitamente + misure tutela.

Esempio:

• Algoritmi antifrode bancari (normativa antiriciclaggio + garanzie appello)

• Sistemi automatici calcolo tasse

c) Consenso esplicito (Art. 22.2.c)

Interessato ha dato consenso esplicito alla decisione automatizzata.

Requisiti:

• Specifico (per quella decisione specifica)

• Informato (spiega logica, conseguenze)

• Libero (revocabile)

• Univoco (azione positiva chiara)