La profilazione, in generale, consiste nella raccolta di informazioni su una persona o gruppo di persone e (a differenza da quanto accade nella semplice classificazione) nella valutazione delle caratteristiche o dei modelli di comportamento di quella persona e di quel gruppo di persone, al fine di includerli in una determinata categoria o gruppo per analizzare e/o fare previsioni in merito a interessi, comportamenti, capacità.

La «profilazione» è quindi: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Con la profilazione le persone fisiche possono essere associate a identificativi online prodotti da dispositivi, da applicazioni, da strumenti e da protocolli utilizzati, quali indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali tag di identificazione a radiofrequenza.
Questi identificativi possono lasciare tracce che se combinate, in particolare, con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

In ogni fase della profilazione (RACCOLTA DATI, ANALISI AUTOMATIZZATA PER INDIVIDUARE CORRELAZIONI, APPLICAZIONE DELLA CORRELAZIONE AD UNA PERSONA FISICA PER INDIVIDUARE CARATTERISTICHE DI COMPORTAMENTO PRESENTI O FUTURE), il titolare del trattamento dovrà assicurarsi di soddisfare le prescrizioni del Regolamento e dare, a tutti coloro di cui tratta i dati personali, garanzie adeguate che dovrebbero comprendere:

  • la specifica informazione all’interessato
  • il diritto di ottenere l’intervento umano
  • il diritto di esprimere la propria opinione
  • il diritto di ottenere una spiegazione della decisione conseguita dopo tale valutazione
  • il diritto di contestare la decisione

In ogni caso il titolare del trattamento dovrà utilizzare procedure matematiche o statistiche appropriate per la profilazione e mettere in atto misure tecniche e organizzative adeguate per:

  • garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori;
  • garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato;
  • impedire effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale.

👷‍♂️ 👷‍♀️ Cosa fare in pratica?
Ad es. con la «pseudonimizzazione» i dati personali, invece di essere immediatamente associati agli interessati, sono associati a dei codici alfanumerici (dei veri “pseudonimi”, come i nomi d’arte).
L’identificazione non è dunque immediata, ma richiede delle informazioni aggiuntive, richiede cioè, di conoscere la corrispondenza tra gli pseudonimi e gli interessati.
In questo modo, soltanto chi conosce questa lista di corrispondenza può risalire alle persone fisiche alle quali si riferiscono i dati.