EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
06/02/2018 Diritti dell'interessato nei trattamenti di profilazione e nel processo decisionale automatizzato

Diritti dell’interessato

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP251 rev.01

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione
ai fini del regolamento 2016/679

adottate il 3 ottobre 2017

Versione emendata e adottata in data 6 febbraio 2018

... (omissis) ...

D. Diritti dell’interessato
Il regolamento introduce maggiori diritti per gli interessati e crea nuovi obblighi per i titolari del trattamento.

Nel contesto della profilazione questi diritti possono essere esercitati nei confronti del titolare del trattamento che crea il profilo e del titolare del trattamento che prende una decisione automatizzata su un interessato (con o senza intervento umano), qualora tali soggetti non siano il medesimo.

Esempio

Un intermediario di dati effettua la profilazione di dati personali. In linea con gli obblighi di cui agli articoli 13 e 14, deve informare l’interessato in merito al trattamento e al fatto che intende condividere il profilo con altre organizzazioni. Deve inoltre indicare separatamente anche i dettagli relativi al diritto di opposizione di cui all’articolo 21, paragrafo 1.

L’intermediario di dati condivide il profilo con un’altra impresa. Tale impresa utilizza il profilo per inviare alla persona in questione comunicazioni di marketing diretto.

L’impresa deve informare l’interessato [articolo 14, paragrafo 1, lettera c)] in merito alle finalita' dell’utilizzo del profilo e alla fonte da cui ha ottenuto l’informazione [articolo 14, paragrafo 2, lettera f)] nonche' al diritto dell’interessato di opporsi al trattamento, compresa la profilazione, per finalita' di marketing diretto (articolo 21, paragrafo 2).

L’intermediario di dati e l’impresa devono consentire all’interessato di accedere alle informazioni utilizzate (articolo 15) per correggere eventuali informazioni errate (articolo 16) e, in determinate circostanze, di cancellare il profilo o i dati personali utilizzati per crearlo (articolo 17). L’interessato deve inoltre ricevere informazioni sul proprio profilo, ad esempio, in merito ai “segmenti” o alle “categorie” nei quali viene collocato23.

Se utilizza il profilo per prendere una decisione basata unicamente sul trattamento automatizzato che produce effetti giuridici o che incide in modo analogo significativamente sull’interessato, l’impresa e' soggetta alle disposizioni dell’articolo 22. (Cio' non esclude l’intermediario di dati dall’articolo 22 se il trattamento soddisfa la soglia pertinente).

1. Articoli 13 e 14 – diritto di essere informato

In considerazione del principio fondamentale della trasparenza che sta alla base del regolamento, il titolare del trattamento deve spiegare in maniera chiara e semplice alle persone interessate come funziona la profilazione o il processo decisionale automatizzato.

In particolare, quando il trattamento implica un processo decisionale basato sulla profilazione (indipendentemente dal fatto che rientri nell’applicazione delle disposizioni di cui all’articolo 22), deve essere chiarito all’interessato24 il fatto che il trattamento avviene per finalita' di a) profilazione e di b) adozione di decisioni basate sul profilo generato.

Il considerando 60 afferma che fornire informazioni sulla profilazione fa parte degli obblighi di trasparenza del titolare del trattamento ai sensi dell’articolo 5, paragrafo 1, lettera a). L’interessato ha diritto di essere informato dal titolare del trattamento e, in alcune circostanze, gode di un diritto di opposizione alla “profilazione”, indipendentemente del fatto che abbia luogo un processo decisionale unicamente automatizzato relativo alle persone fisiche.

Ulteriori orientamenti sulla trasparenza in generale sono disponibili nelle Linee guida del Gruppo di lavoro sulla trasparenza ai sensi del regolamento.

2. Articolo 15 – diritto di accesso

L’articolo 15 conferisce all’interessato il diritto di ottenere informazioni dettagliate sui dati personali utilizzati per la profilazione, ivi comprese le categorie di dati impiegati per creare un profilo.

Oltre alle informazioni generali sul trattamento, ai sensi dell’articolo 15, paragrafo 3, il titolare del trattamento deve rendere disponibili i dati utilizzati come input per creare il profilo, e consentire l’accesso alle informazioni sul profilo e ai dettagli dei segmenti nei quali l’interessato e' stato inserito.

Cio' differisce dal diritto alla portabilita' dei dati di cui all’articolo 20, nel contesto del quale il titolare del trattamento e' tenuto soltanto a comunicare i dati forniti dall’interessato o osservati dal titolare del trattamento e non il profilo stesso26.

Il considerando 63 offre una certa protezione al titolare del trattamento nei confronti della divulgazione di segreti aziendali o proprieta' intellettuale, che puo' essere particolarmente pertinente in relazione alla profilazione. Tale considerando afferma che il diritto di accesso “non dovrebbe ledere i diritti e le liberta' altrui, compreso il segreto industriale e aziendale e la proprieta' intellettuale, segnatamente i diritti d’autore che tutelano il software”. Tuttavia, il titolare del trattamento non puo' fare affidamento sulla protezione dei segreti aziendali come scusa per negare l’accesso o rifiutarsi di fornire informazioni all’interessato.

Il considerando 63 specifica inoltre che “ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali”.

3. Articolo 16 – diritto di rettifica; articolo 17 – diritto alla cancellazione; articolo 18 – diritto di limitazione di trattamento

La profilazione puo' comportare un elemento di previsione, il che aumenta il rischio di inesattezza. I dati di input possono essere inesatti o irrilevanti oppure avulsi dal contesto. L’algoritmo utilizzato per individuare le correlazioni potrebbe presentare lacune.

Il diritto di rettifica di cui all’articolo 16 potrebbe applicarsi, ad esempio, nel caso in cui una persona venga inserita in una categoria che esprime un giudizio sulla propria capacita' di eseguire un compito, e tale profilo sia basato su informazioni errate. Le persone potrebbero voler contestare l’esattezza dei dati utilizzati e qualsiasi raggruppamento o categoria che e' stata loro applicata.

I diritti di rettifica e di cancellazione si applicano tanto ai “dati personali di input” (i dati personali utilizzati per creare il profilo) quanto ai “dati di output” (il profilo stesso o il “punteggio” assegnato alla persona fisica).

L’articolo 16 prevede altresi' il diritto dell’interessato di integrare i dati personali con informazioni aggiuntive.

Esempio

Il sistema informatico di un centro medico locale colloca una persona in un gruppo che presenta maggiori probabilita' di sviluppare malattie cardiache. Questo “profilo” non e' necessariamente impreciso nonostante tale persona non abbia mai sofferto di malattie cardiache.
Il profilo afferma semplicemente che la persona in questione ha maggiori probabilita' di sviluppare malattie cardiache. Cio' puo' essere di fatto corretto, in termini statistici.

Cio' nonostante l’interessato ha il diritto, tenendo conto della finalita' del trattamento, di fornire una dichiarazione integrativa. Nella fattispecie, la dichiarazione potrebbe essere basata, ad esempio, su un sistema informatico medico (e su un modello statistico) piu' avanzato che include nel calcolo dati aggiuntivi e svolge esami piu' dettagliati rispetto a quello del centro medico locale con capacita' piu' limitate.

Il diritto di limitazione di trattamento (articolo 18) si applica a qualsiasi fase del processo di profilazione.

4. Articolo 21 – diritto di opposizione

Il titolare del trattamento deve portare espressamente all’attenzione dell’interessato informazioni dettagliate in merito al diritto di opposizione di cui all’articolo 21, paragrafi 1 e 2, e presentare tale diritto chiaramente e separatamente da qualsiasi altra informazione (articolo 21, paragrafo 4).

Ai sensi dell’articolo 21, paragrafo 1, l’interessato puo' opporsi al trattamento (compresa la profilazione), per motivi connessi alla sua situazione particolare. Il titolare del trattamento e' specificamente tenuto a riconoscere tale diritto in tutti i casi nei quali il trattamento si basi sull’articolo 6, paragrafo 1, lettere e) o f).

Dopo che l’interessato ha esercitato questo diritto, il titolare del trattamento deve interrompere (o evitare di iniziare) il processo di profilazione, a meno che non possa dimostrare l’esistenza di motivi legittimi cogenti che prevalgono sugli interessi, sui diritti e sulle liberta' dell’interessato. Il titolare del trattamento potrebbe altresi' dover cancellare i dati personali pertinenti.

Il regolamento non fornisce alcuna spiegazione di motivi che sarebbero considerati motivi legittimi cogenti. Puo' accadere, ad esempio, che la profilazione sia utile per la societa' in senso lato (o per la comunita' piu' ampia) e non soltanto per gli interessi aziendali del titolare del trattamento, come nel caso della profilazione volta a individuare in anticipo la diffusione di malattie contagiose.

Il titolare del trattamento dovrebbe:

  • considerare l’importanza della profilazione per il proprio particolare obiettivo;
  • considerare l’impatto della profilazione sugli interessi, sui diritti e sulle liberta' dell’interessato, che dovrebbe essere limitato al minimo necessario per conseguire l’obiettivo;
  • procedere a una ponderazione.

E' sempre necessario procedere a una ponderazione tra gli interessi concorrenti del titolare del trattamento e la base per l’opposizione dell’interessato (che puo' fondarsi su motivi personali, sociali o professionali). A differenza della direttiva 95/46/CE, l’onere della prova di dimostrare l’esistenza di motivi legittimi cogenti spetta al titolare del trattamento e non all’interessato.

Dalla formulazione dell’articolo 21 risulta evidente che la ponderazione differisce da quella di cui all’articolo 6, paragrafo 1, lettera f). In altre parole, non e' sufficiente che il titolare del trattamento dimostri soltanto che la sua precedente analisi dell’interesse legittimo era corretta, occorre inoltre che detto interesse legittimo sia cogente, il che implica una soglia maggiore per prevalere rispetto alle opposizioni.

L’articolo 21, paragrafo 2, riconosce all’interessato un diritto incondizionato ad opporsi al trattamento dei suoi dati personali per finalita' di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Cio' significa che non e' necessario effettuare alcun bilanciamento degli interessi; il titolare del trattamento deve rispettare le volonta' dell’interessato senza mettere in discussione i motivi dell’opposizione. Il considerando 70 fornisce ulteriore contesto a questo diritto e afferma che puo' essere esercitato in qualsiasi momento e gratuitamente.

... (omissis) ...

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Categorie
Soggetti > Responsabile servizio protezione dati-rpd
Soggetti > Servizio protezione dati - DPO
Accountability
Diritti degli interessati
Parole chiave
Profilazione
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits