Il WP29, il gruppo dei Garanti Europei per la Protezione dei Dati Personali (oggi trasformato il EDPB – European Data Protection Board) ha approvato, il 6 febbraio scorso, le linee guida sulle decisioni automatizzate e sulla profilazione (WP251). Il documento chiarisce quali sono i limiti della raccolta di dati finalizzata a creare un profilo automatizzato dell’interessato.
Pur avendo studiato a fondo la questione per diversi clienti, un’amica mi ha messo in difficoltà raccontandomi il comportamento del suo parrucchiere. Il coiffeur prende nota, sistematicamente e con l’ausilio del suo personal computer, delle prestazioni che esegue sulle sue clienti. In pratica, ogni cliente ha una scheda informatizzata nella quale vengono raccolti i seguenti dati: data della prestazione, tipo di prestazione (taglio, colorazione, permanente, ecc.) e prodotti utilizzati. Il parrucchiere non ha mai fornito nessuna informativa per questa raccolta di dati.
Il primo quesito è: si tratta di dati personali? La risposta, in questo caso, è facile: sono dati personali. L’articolo 4 del GDPR, infatti, è chiaro: costituisce dato personale ogni informazione riguardante una persona fisica identificata o identificabile.
Il secondo quesito è: si tratta di profilazione? E se si tratta di profilazione, su quale base giuridica si fonda? Per rispondere a queste domande bisogna leggere con attenzione le prime pagine delle WP251. Per parlare di profilazione il trattamento deve essere caratterizzato dai seguenti elementi congiunti
-
deve essere automatizzato;
-
deve riguardare dati personali;
-
deve avere come obiettivo la valutazione di aspetti riguardanti la persona.
I primi due elementi sono certamente presenti nella raccolta eseguita dal parrucchiere. Il terzo è un po’ dubbio. Se il parrucchiere utilizza i dati raccolti per analizzare o predire il comportamento dei singoli clienti si è in presenza di profilazione; viceversa, se utilizza i dati solo per capire quale impegno lavorativo, mediamente, deve svolgere nei singoli giorni della settimana o quali prodotti deve ordinare per soddisfare la sua clientela allora non si tratta di profilazione.
In ogni caso, profilazione o non profilazione, il parrucchiere deve fornire un’informativa ai sensi dell’art. 13 del GDPR. Nel caso di profilazione, è necessario anche il consenso che costituisce la base giuridica del trattamento senza la quale il trattamento sarebbe illecito.
Ecco uno dei tanti casi in cui il GDPR ci costringe a spaccare il capello…