Jun 04, 2023
Diritti relativi al processo decisionale automatizzato, inclusa la profilazione
Search article
Cerca articolo
Per conformarsi al GDPR del Regno Unito...
☐ Abbiamo una base legale per effettuare profilazione e/o processi decisionali automatizzati e documentarlo nella nostra politica di protezione dei dati.
☐ Inviamo alle persone un collegamento alla nostra informativa sulla privacy quando abbiamo ottenuto i loro dati personali indirettamente.
☐ Spieghiamo come le persone possono accedere ai dettagli delle informazioni che abbiamo utilizzato per creare il loro profilo.
☐ Indichiamo alle persone che ci forniscono i loro dati personali come possono opporsi alla profilazione, inclusa la profilazione per scopi di marketing.
☐ Disponiamo di procedure che consentono ai clienti di accedere ai dati personali immessi nei profili in modo che possano rivederli e modificarli per eventuali problemi di accuratezza.
☐ Disponiamo di ulteriori controlli per i nostri sistemi di profilazione/processo decisionale automatizzato per proteggere eventuali gruppi vulnerabili (compresi i bambini).
☐ Raccogliamo solo la quantità minima di dati necessari e adottiamo una politica di conservazione chiara per i profili che creiamo.
Come modello di buone pratiche...
☐ Effettuiamo una DPIA per considerare e affrontare i rischi prima di avviare qualsiasi nuovo processo decisionale automatizzato o profilazione.
☐ Informiamo i nostri clienti sulla profilazione e sul processo decisionale automatizzato che effettuiamo, su quali informazioni utilizziamo per creare i profili e da dove otteniamo queste informazioni.
☐ Utilizziamo dati anonimizzati nelle nostre attività di profilazione.
Per conformarsi al GDPR del Regno Unito...
☐ Effettuiamo una DPIA per identificare i rischi per le persone, mostrare come li affronteremo e quali misure abbiamo in atto per soddisfare i requisiti GDPR del Regno Unito.
☐ Effettuiamo il trattamento ai sensi dell'articolo 22, paragrafo 1, per scopi contrattuali e possiamo dimostrare perché è necessario.
O
☐ Effettuiamo il trattamento ai sensi dell'articolo 22, paragrafo 1 perché abbiamo registrato il consenso esplicito dell'interessato. Possiamo mostrare quando e come abbiamo ottenuto il consenso. Diciamo alle persone come possono revocare il consenso e abbiamo un modo semplice per farlo.
O
☐ Effettuiamo il trattamento ai sensi dell'articolo 22, paragrafo 1 perché siamo autorizzati o obbligati a farlo. Questo è il modo più appropriato per raggiungere i nostri obiettivi.
☐ Non utilizziamo dati di categorie speciali nei nostri sistemi decisionali automatizzati a meno che non disponiamo di una base legale per farlo e possiamo dimostrare quale sia tale base. Eliminiamo tutti i dati di categorie speciali creati accidentalmente.
☐ Spieghiamo che utilizziamo processi decisionali automatizzati, inclusa la profilazione. Spieghiamo quali informazioni utilizziamo, perché le utilizziamo e quali potrebbero essere gli effetti.
☐ Abbiamo un modo semplice per consentire alle persone di chiederci di riconsiderare una decisione automatizzata.
☐ Abbiamo identificato il personale nella nostra organizzazione autorizzato a effettuare revisioni e modificare decisioni.
☐ Controlliamo regolarmente l'accuratezza e la distorsione dei nostri sistemi e inseriamo eventuali modifiche nel processo di progettazione.
Come modello di buone pratiche...
☐ Utilizziamo immagini per spiegare quali informazioni raccogliamo/utilizziamo e perché queste sono rilevanti per il processo.
☐ Abbiamo aderito a [standard] una serie di principi etici per creare fiducia nei nostri clienti. Questo è disponibile sul nostro sito web e su carta.
Il processo decisionale individuale automatizzato è una decisione presa con mezzi automatizzati senza alcun coinvolgimento umano.
Esempi di questo includono:
Il processo decisionale individuale automatizzato non deve necessariamente comportare la profilazione, anche se spesso lo fa.
Il GDPR del Regno Unito afferma che la profilazione è:
"Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento lavorativo, la situazione economica, la salute, le preferenze personali di tale persona fisica, interessi, affidabilità, comportamento, ubicazione o spostamenti."
[Articolo 4, paragrafo 4]
Le organizzazioni ottengono informazioni personali sugli individui da una varietà di fonti diverse. Ricerche su Internet, abitudini di acquisto, dati su stili di vita e comportamenti raccolti da telefoni cellulari, social network, sistemi di videosorveglianza e Internet delle cose sono esempi dei tipi di dati che le organizzazioni potrebbero raccogliere.