La recente sentenza che mette in dubbio la validità del Privacy Shield, ha richiamato l’attenzione su un recente studio, che ha analizzato i processi di decisione automatica che vengono sviluppati negli Stati Uniti, ma basati su dati raccolti in Europa.

Ormai sono in molti i cittadini europei che si rendono conto che i loro dati personali, trasferiti negli Stati Uniti, vengono sottoposti a processi automatizzati di decisione, da parte dei giganti del Web. Sulla base dei risultati di questi processi, vengono avviate campagne di informazione pubblicitaria, di informazione e disinformazione, con riflessi potenzialmente assai gravi sui cittadini interessati. La recente sentenza dell’alta corte europea ha messo in dubbio la legittimità di questi processi automatizzati ed ecco perché lo studio, realizzato poco tempo addietro dalla unione europea, merita un attento esame.

Lo studio si concentra sul processo decisionale automatizzato sulla base dei dati personali che sono stati trasferiti dall’UE a società certificate ai sensi della E.U.-U.S. Privacy Shield. Il factoring e la valutazione delle garanzie fornite dagli Stati Uniti sono stati richiesti dalla Commissione europea, direzione generale Giustizia e consumatori.

L’obiettivo generale dello studio era di fornire informazioni che consentissero alla Commissione di decidere se le garanzie afferenti al processo decisionale automatizzato fossero adeguate nel contesto dei trasferimenti di dati sulla base del Privacy Shield.

Più specificamente, lo studio era destinato a sostenere la valutazione della Commissione per quanto riguarda:

(i) la misura in cui le società certificate negli Stati Uniti da Privacy Shield prendono decisioni, che possono avere influenza sull’individuo, in base al trattamento automatizzato dei dati personali trasferiti da società nell’UE; e

(ii) le garanzie per le persone che la legge federale degli Stati Uniti prevede per queste situazioni e le condizioni per l’applicazione di tali garanzie.

Struttura del rapporto

La relazione è composta da undici capitoli e sei allegati. Il capitolo 1 introduce lo studio: il suo background, obiettivi e metodologia. I capitoli 2 e 3 presentano i risultati della parte istruttoria dello studio, nella misura in cui le società certificate da Privacy Shield negli Stati Uniti prendono decisioni che interessano l’individuo, in base al trattamento automatizzato di dati personali trasferiti da società dell’UE. I capitoli includono l’analisi di reclami, nonché approfondimenti tratti da interviste con esperti. Il capitolo 4 introduce l’analisi giuridica dello studio, confrontando le diverse legislazioni, le modalità di protezione dei dati e lo svolgimento del processo decisionale automatizzato. I capitoli da 5 a 10 valutano le protezioni offerte dalla pertinente legge federale degli Stati Uniti in merito a credito al consumo, occupazione, alloggi, informazioni sanitarie, pubblicità, assicurazioni. Infine, il capitolo 11 presenta le conclusioni dell’analisi giuridica.

Conclusioni principali

I diversi regimi giuridici nell’Unione europea e degli Stati Uniti rendono difficile il confronto sulle protezioni per decisioni basate esclusivamente sul trattamento automatizzato. Il GDPR è una legge di applicabilità generale che contiene disposizioni che trattano esplicitamente di decisioni automatizzate. Al contrario, i quadri giuridici negli Stati Uniti si applicano a settori specifici e non dipendono dal fatto che le decisioni siano automatizzate, esclusivamente, parzialmente o in altro modo. Di conseguenza, è difficile rispettare i diritti nel GDPR che proteggono l’interessato da decisioni automatizzate ai sensi dell’articolo 22, come ad esempio il diritto ad una spiegazione, il diritto ad un intervento umano, il diritto di contestare.

Nonostante queste differenze, esistono nella legge degli Stati Uniti alcune protezioni circa i risultati della elaborazione automatizzata.

In secondo luogo, una serie di statuti di protezione fornisce un controllo sui modelli utilizzati nel processo decisionale automatizzato che potrebbe portare a discriminazioni. Tuttavia, queste protezioni non sempre richiedono che gli interessati siano informati su tali processi.

In terzo luogo, le linee guida emesse dalle agenzie incaricate di far rispettare questi statuti, nonché le decisioni dei tribunali, che interpretano gli statuti pertinenti, hanno un ruolo nella protezione che la legge prevede, nel contesto di decisioni automatizzate.

Sebbene non vi sia quindi una legislazione generale negli Stati Uniti, le protezioni sono in gran parte simili a quelle del GPDR ed esistono aree rilevanti, in cui viene utilizzato il processo decisionale automatizzato.

Dal momento che questi modelli di business sono in rapida evoluzione, queste aree richiedono un attento monitoraggio.

Fonti: Puntosicuro.it