Il GDPR limita la profilazione interamente automatizzata e le decisioni prese dagli algoritmi. Contratto, consenso e autorizzazione normativa non bastano da soli: servono trasparenza, controllo umano e garanzie effettive per tutelare i diritti fondamentali degli utenti

Dipartimento di Diritto Pubblico, Internazionale e comunitario dell’Università di Padova

La disciplina della profilazione interamente automatizzata costituisce, all’interno del GDPR, uno dei punti nei quali più intensamente si manifesta la tensione tra sviluppo tecnologico, razionalità economica e salvaguardia dei diritti fondamentali.

L’art. 22, nel vietare in via di principio che una persona sia sottoposta a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, quando essa produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona, esprime una presa d’atto normativa di una trasformazione profonda: la decisione che incide sull’individuo può oggi essere prodotta da procedure computazionali caratterizzate da enorme capacità di elaborazione, elevata velocità operativa e, soprattutto, da un grado di imperscrutabilità tale da sottrarre l’interessato alla comprensione dei meccanismi che lo riguardano. In questo contesto, il paragrafo 3 della disposizione assume un valore sistematico che non può essere ridotto a una mera clausola accessoria di chiusura del regime derogatorio. Esso prevede infatti, nei casi in cui la decisione automatizzata sia stata giustificata su base contrattuale o consensuale, il diritto dell’interessato a ottenere misure appropriate volte a tutelare i propri diritti, le proprie libertà e i propri legittimi interessi, e impone che siano garantiti almeno tre diritti minimi: il diritto di ottenere l’intervento umano da parte del titolare del trattamento, il diritto di esprimere la propria opinione e il diritto di contestare la decisione.

Già sul piano letterale, tali prerogative segnalano che il legislatore europeo non considera sufficiente, ai fini della legittimità del trattamento, la sola sussistenza di una base giuridica formale. Anche quando la decisione algoritmica rientri in una delle ipotesi eccezionali previste dal par. 2, permane l’esigenza di preservare un nucleo essenziale di partecipazione, di contraddittorio e di controllo umano, senza il quale l’interessato finirebbe per essere degradato a oggetto di una valutazione tecnica che lo riguarda, ma alla cui formazione egli resta sostanzialmente estraneo. Il problema, in altri termini, non è soltanto quello della liceità astratta del trattamento, ma quello della sua compatibilità con una concezione personalistica e costituzionalmente orientata della protezione dei dati personali.

La profilazione algoritmica, infatti, non si limita a raccogliere o ordinare informazioni già esistenti: essa produce nuovi dati, elabora correlazioni, formula inferenze, costruisce rappresentazioni sintetiche della persona e, talvolta, ne anticipa il comportamento futuro. È proprio questa capacità di trasformare dati grezzi in valutazioni predittive o classificatorie che rende particolarmente acuto il rischio di uno squilibrio strutturale tra titolare del trattamento e interessato.

La crescente complessità degli strumenti di profilazione fa sì che la partecipazione dell’interessato, la quale dovrebbe costituire il cardine di ogni disciplina che pretenda di tutelare l’autodeterminazione informativa, tenda a essere relativizzata o persino esclusa. Il paradosso è evidente: colui che è il principale attore del trattamento, nel senso che ne subisce gli effetti più intensi, è spesso il soggetto meno in grado di comprenderne il funzionamento, di apprezzarne la portata e di incidere sul suo esito. Per questa ragione, l’analisi delle basi giuridiche astrattamente utilizzabili per procedere alla profilazione automatizzata non può essere condotta in modo neutro o formalistico. Essa rappresenta, al contrario, il primo passaggio necessario per comprendere le relazioni, le convergenze e i momenti di frizione tra la normativa ordinaria sulla privacy e i principi costituzionali che la informano e che, in una prospettiva assiologicamente coerente, dovrebbero precederla e orientarla. L’obiettivo non è soltanto ricostruire la disciplina positiva, ma verificare se e in che misura le deroghe al divieto di profilazione automatizzata possano essere interpretate in modo conforme alla dottrina dei diritti fondamentali. Ne consegue che il contenuto essenziale delle basi giuridiche previste dall’art. 22, par. 2, deve essere individuato alla luce della funzione di tutela che il sistema del GDPR intende assolvere, evitando che esse si trasformino in canali ordinari di legittimazione di pratiche potenzialmente lesive della dignità, della libertà e dell’eguaglianza sostanziale dell’interessato.

La prima deroga prevista dall’art. 22, par. 2, lett. a), consente la decisione basata unicamente sul trattamento automatizzato quando essa sia necessaria alla conclusione o all’esecuzione di un contratto tra il titolare del trattamento e l’interessato. Il rinvio implicito è alla base giuridica generale di cui all’art. 6, par. 1, lett. b), GDPR. E tuttavia, proprio con riferimento alla profilazione, l’utilizzo della base contrattuale appare costituzionalmente e sistematicamente assai discutibile. La ragione è semplice: il requisito della necessità, se interpretato correttamente, impone una lettura rigorosa e oggettiva della disposizione, incompatibile con la tendenza, emersa nella prassi di mercato soprattutto nel settore delle piattaforme digitali, a dilatare il contenuto del contratto fino a ricomprendere trattamenti che rispondono primariamente all’interesse economico del titolare (Lagiola e collaboratori, 2021, 383).

Il caso più frequente e, per certi versi, paradigmatico è quello del rapporto tra una piattaforma sociale ed il suo utente. In tale rapporto esiste, indubbiamente, un contratto per la creazione e l’utilizzo di un account. L’utente ottiene l’accesso a un servizio che, almeno apparentemente, è gratuito; in cambio, mette a disposizione una serie di dati personali che saranno poi utilizzati, spesso su larga scala, per finalità pubblicitarie. Ma da ciò non può farsi discendere, quasi automaticamente, che qualsiasi trattamento di profilazione sia necessario all’esecuzione del contratto. Il punto decisivo è che il contratto giustifica solo i trattamenti strettamente necessari alla sua esecuzione e che la necessità, nel quadro del GDPR, deve essere determinata in modo puramente oggettivo: il trattamento può dirsi necessario soltanto quando le obbligazioni principali del contratto non possano essere adempiute senza di esso (EDPB, Linee guida 2/2019). In un contratto di acquisto, ad esempio, saranno necessari la gestione del pagamento, la verifica dei dati di spedizione, l’organizzazione della consegna del bene. In un contratto di servizio, sarà necessario il trattamento che consente l’erogazione della prestazione dovuta.

Ma la profilazione, soprattutto quando si traduce nella creazione di un profilo