Home

Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Enrico Pelino

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

Stando alla definizione contenuta nell'art. 4, punto 4 del Regolamento, per profilazione si dovrebbe intendere, sostanzialmente, qualsiasi forma di elaborazione automatizzata di dati personali, per fini valutativi o predittivi di taluni aspetti relativi alla persona a cui si riferiscono i dati, ossia l'interessato. La definizione di cui all'art. 4.4, a ben leggere, risulta involuta e non esaustiva, a tratti pleonastica e mal concepita sul piano logico-sintattico. Già l'incipit (“Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali”) contiene una formula inutilmente ridondante agli occhi dell'interprete. In ogni caso, appare chiaro che il legislatore europeo abbia voluto considerare come “profilazione”, ai sensi e per gli effetti del Regolamento, solo l'utilizzo con modalità automatizzate, cioè elettroniche (non manuali), di dati di natura personale – non di dati non personali, quindi (si veda, per la loro definizione, il commento all'art. 4.1) – per finalità di valutazione che possano portare ad analisi o previsioni di vario tipo. Laddove la definizione in questione elenca alcuni degli aspetti da considerare (“il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti”), essa sembra semplicemente esemplificare una lista non chiusa di possibilità valutative, che potrebbero essere estese ad innumerevoli ulteriori aspetti riguardanti l'individuo.

La profilazione come schedatura elettronica valutativa

L'opzione definitoria del legislatore europeo sembra essere stata, malgrado l'infelicità della formula letterale utilizzata, una scelta di maggiore garanzia per i diritti e le libertà del singolo individuo. Infatti, la definizione di cui all'art. 4.4 del Regolamento porta a considerare come “profilazione”, protetta dalle norme europee, il trattamento valutativo di dati personali riferito anche ad un solo soggetto: se in una banca dati elettronica vi fosse un unico soggetto censito, e l'elaborazione dei suoi dati portasse a risultati di analisi e/o previsione relativi a suoi aspetti personali, dovremmo concludere di essere di fronte ad una “profilazione”. Si potrebbe, pertanto, considerare la profilazione, come immaginata nel GDPR, alla stregua di una “schedatura” individuale in formato elettronico per fini valutativi, essendo irrilevante – ai fini definitori – la presenza di una pluralità di soggetti censiti e valutati. Tale profilazione di base, che potremmo definire di “fase 1”, presenta già di per sé, indubbiamente, due elementi di rischio per i diritti e le libertà delle persone: a) qualcuno è in grado di accumulare moltissime informazioni relative ad un interessato, spesso a insaputa di quest'ultimo; b) mediante l'elaborazione di tali informazioni, qualcuno è in grado di generare dati personali nuovi relativi al soggetto censito, aventi significato analitico e/o predittivo, e anche questi dati-risultati (e le conseguenze deterministiche che ne derivano) potrebbero non rientrare nella consapevolezza dell'interessato. Questo livello di profilazione potrebbe essere già sufficiente per operare analisi comportamentali che consentono di personalizzare l'offerta di contenuti o di altro genere di effetti in base al tipo di soggetto-obiettivo preso di mira (target user, per esempio, sul web). Anche specifiche discriminazioni individuali, come la presentazione dinamica di prezzi di beni o servizi, potrebbe rendersi possibile mediante tale profilazione di primo livello.

L'ulteriore grado di profilazione collettiva: la categorizzazione

Nel caso i soggetti censiti siano una pluralità, invece, sarà possibile eseguire una forma di profilazione più evoluta e potenzialmente efficiente ma insidiosa per i diritti e le libertà, che potremmo chiamare di “fase 2”; ciò potrebbe avvenire non soltanto analizzando aspetti personali relativi al singolo individuo, ma anche elaborando profili e categorie (cd. “cluster”) di soggetti aventi in comune tra loro determinate caratteristiche. Ad esempio, potrò assegnare ad una medesima categoria tutte le persone con i capelli biondi; o tutte le persone di religione cattolica; o tutti i soggetti residenti in un determinato quartiere. Chiaramente, le categorizzazioni potrebbero essere più o meno sensibili. Il vantaggio della profilazione collettiva categorizzante risiede indubbiamente nella sua capacità di “smistare” e analizzare aspetti relativi a grandi masse di soggetti, per esempio di utenti on line, e quindi di servire alle operazioni di Big Data analysis; il rischio comportato da tale categorizzazione massiva risiede nella sua potenzialità di “semplificazione forzata” dell'individuo. Ogni essere umano, unico, irripetibile e multidimensionale, viene assegnato a un cluster di individui che, presi in considerazione solo per talune caratteristiche comuni, si ritrovano in qualche modo “bidimensionalizzati” per ragioni di efficienza computazionale: tale operazione può condurre, secondo una fictio dagli effetti, talvolta, drammaticamente reali, a de-umanizzare idealmente il singolo individuo profilato tra i tanti, permettendo di considerare i soggetti censiti nella categoria complessiva alla stregua di esseri-meno-umani e quindi da tutelare con minore rigore. Terribili tragedie storiche si sono consumate, anche a causa di un utilizzo aberrante di tecniche di profilazione collettiva, e questa è una delle ragioni profonde per le quali in Europa ci siamo dotati di questa normativa a protezione dei dati personali, come diritto fondamentale e inviolabile strumentale alla difesa di altri diritti e libertà fondamentali. Nei campi di concentramento e di sterminio nazisti si usavano simboli di profilazione (ante litteram, si potrebbe dire) per categorie di prigionieri: triangoli gialli o Stella di David per contrassegnare gli ebrei (ad Auschwitz anche triangolo rosso); triangolo rosso per prigionieri politici; triangolo marrone per prigionieri zingari o la lettera Z per Rom e Sinti; triangolo nero per gli “asociali” (i vagabondi, gli etilisti, i malati di mente, le prostitute, le lesbiche, gli zingari, gli oziosi, ecc.); triangolo rosa per gli omosessuali maschi; triangolo viola per i Testimoni di Geova; triangolo blu per gli emigrati anti-nazisti catturati dopo la fuga; triangolo verde per i delinquenti comuni. Poi c'erano triangoli combinati per ebrei aventi relazioni con ariani o per ariani con ebrei. E le lettere di nazionalità stampate sui vestiti: B (belga), F (francese), I o IT (italiano), J (jugoslavo), N (olandese), P (polacco), S (spagnolo) T (ceco), U (ungherese). E altri simboli di profilazione ancora. È essenziale, dunque, che i trattamenti di profilazione e, a fortiori, di profilazione collettiva categorizzante, siano analizzati per i rischi che essi presentano per i diritti e le libertà delle persone fisiche: non solo per i rischi patologici in caso di violazione dei dati – secondo la definizione di quest'ultima contenuta all'art. 4.12 GDPR, come violazione di sicurezza – ma anche e soprattutto per i rischi intrinseci potenzialmente comportati dalla profilazione, per la dignità e la libertà degli esseri umani, così come, in altro ambito speciale, per i possibili effetti discriminatori o comunque confusivi per i consumatori.

La profilazione va anche valutata con il filtro del doveroso rispetto dei principi generali di cui all'art. 5 GDPR. È evidente come un'analisi massiva di dati personali (Big Data) possa, in alcuni frangenti, porsi in contrasto con principi quali la limitazione di finalità – nei casi di raccolta di dati da fonti varie per scopi diversi da quelli dell'analisi successiva – o la minimizzazione – nei casi di raccolte ed elaborazioni di informazioni in quantità/qualità eccessive – o la limitazione della conservazione – nei casi di accumulo di dati per arricchire la capacità elaborativa dei sistemi intelligenti (o comunque esperti, si pensi al c.d. machine learning) – o, ancora, l'esattezza – quest'ultimo da considerare attentamente anche quando, per ipotesi non rara, la profilazione conduca all'assegnazione di punteggi individuali, calcolati anche imputando al singolo interessato dei valori statistici – non personali ma che divengono personali nel momento stesso del loro riferimento all'interessato – non strettamente pertinenti alla sua condizione particolare (ad esempio, nel caso si assegni un punteggio negativo a una persona per il solo fatto di risiedere in un quartiere considerato negativamente per il livello economico-reddituale medio dei suoi abitanti). È lo stesso considerando 71 del Regolamento a ricordarci che «Al fine di garantire un trattamento corretto e trasparente nel rispetto dell'interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico, dello stato di salute o dell'orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni».

Quanto evidenziato sin qui, tuttavia, impone all'interprete di domandarsi quale sia il grado di compatibilità tra le molte iniziative di ricerca, innovazione e impresa c.d. Big Data-driven (cioè basate su tecniche evolute di profilazione e analisi massiva di dati, anche per finalità di miglioramento delle nuove forme di intelligenza artificiale), sempre più diffuse a livello globale e anche europeo, e le regole contenute nel Regolamento a tutela dei diritti e delle libertà fondamentali e inviolabili. Una lettura troppo rigida e integralista dei principi di cui all'art. 5 GDPR rischia di portare a considerare inammissibile qualsiasi forma di profilazione evoluta e massiva, così inevitabilmente comportando un rallentamento per la competitività delle iniziative imprenditoriali e per lo sviluppo tecnologico sul territorio dell'Unione Europea. In tal senso, è auspicabile che le Autorità europee sappiano bilanciare tra loro, senza eccessive rigidità letterali, da un lato, il rispetto dei principi generali del Regolamento e, dall'altro, i principi di proporzionalità e ragionevolezza (che potremmo definire principi di realismo) nell'applicazione del diritto, per non impedire progresso e libertà d'intrapresa. Questo potrebbe essere un obiettivo raggiungibile anche riconoscendo scenari di legittimo interesse, ad esempio, all'interno di Codici di Condotta ex art. 40 GDPR. Dopotutto, è lo stesso Regolamento a ricordarci questo dovere interpretativo al suo, invero bellissimo, considerando 4, che qui merita d'essere riportato nella sua integrale formulazione: «Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica».

La profilazione come elemento rilevante per gli istituti giuridici del GDPR

Il considerando 72 recita: “La profilazione è soggetta alle norme del presente regolamento che disciplinano il trattamento dei dati personali, quali le basi giuridiche del trattamento o i principi di protezione dei dati. Il comitato europeo per la protezione dei dati istituito dal presente regolamento («comitato») dovrebbe poter emanare orientamenti in tale contesto”.

La profilazione è pertanto richiamata in diversi punti del Regolamento. In alcuni casi, essa rileva in quanto tale: se un trattamento di dati personali corrisponde alla definizione di cui all'art. 4.4, ad esempio, sussiste per l'interessato la possibilità di esercitare il diritto di opposizione, motivato, ove il trattamento si basi su finalità di esecuzione di compiti di interesse pubblico o connessi all'esercizio di pubblici poteri oppure sul legittimo interesse del titolare, o anche ad nutum nel caso di profilazione legata a finalità di marketing diretto (vedasi art. 21 par. 1 e 2 GDPR). Anche la possibilità di svolgere analisi generali di dati pseudonimizzati e senza ricaduta personalizzata sull'interessato, opzione prefigurata come legittima, a certe condizioni, dal considerando 29 del Regolamento, potrebbe essere ricondotta a forme di profilazione collettiva su dati aggregati.

Invece, con riferimento a tutti gli altri istituti giuridici del Regolamento – cioè, per la precisione: quanto agli obblighi di indicare l'esistenza e le logiche della profilazione nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato nelle informative (exartt. 13-14 GDPR) e nell'esercizio del diritto di accesso (ex art. 15 GDPR); quanto all'esercizio del diritto di opposizione a decisioni solo automatizzate (ex art. 22 GDPR); quanto all'obbligo di valutare l'impatto sulla protezione dei dati personali (ex art. 35.3.a GDPR); quanto agli obblighi informativi delle Norme Vincolanti d'Impresa (ex art. 47.2.e) del Regolamento); quanto al potere del Comitato Europeo per la Protezione dei Dati di emanare linee guida, raccomandazioni e migliori pratiche per specificare ulteriormente i criteri e le condizioni delle decisioni, basate sulla profilazione, non opponibili dall'interessato (ex art. 70.1.f GDPR) – la profilazione risulta un elemento rilevante solo nel caso produca effetti giuridici che riguardano l'interessato o incida in modo analogo significativamente sulla sua persona. Una profilazione “semplice”, priva di effetti giuridici o significativi per la persona dell'interessato a cui si riferiscono i dati, non è contemplata nelle norme appena menzionate.

La “classificazione” o “profilazione aggregata”

Con i termini “profilazione aggregata” o “analisi aggregata” o “classificazione” si intende una attività di trattamento dei dati non sensibili né ad elevato rischio per i diritti e le libertà degli interessati, finalizzata ad analisi di orientamento strategico e solitamente basata su legittimo interesse ex art. 6, par. 1, lett. f), GDPR; essa consiste per esempio nell'analizzare, in maniera generale e aggregata, le informazioni anagrafiche e di acquisto dell'intera base dati della propria clientela per creare modelli strategici aziendali e migliorare i propri prodotti e servizi, senza effettuare valutazioni, previsioni o trarre conclusioni in merito a persone fisiche specifiche. I termini “profilazione aggregata”, “analisi aggregata” e “classificazione” coincidono e la differenza pare solo di natura meramente nominalistica, essendo evidente che una profilazione generale, operata sulla base di informazioni non sensibili, senza ricaduta valutativa personalizzata sull'interessato e destinata solo ad analisi generali, corrisponde nella sostanza alla “classificazione” cosi come intesa anche nella definizione da ultimo rinvenibile nel Codice di condotta per attività di telemarketing e teleselling approvato dal Garante in data 9 marzo 2023 (GPDP - Provvedimento di approvazione del codice di condotta per le attività di telemarketing e teleselling presentato dalle associazioni promotrici – 9 marzo 2023 – doc. web 9868813).

Bibliografia

Bolognini, Follia Artificiale - Riflessioni per la resistenza dell'intelligenza umana, Soveria Mannelli, 2018; Bolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; Bolognini, L'Arte della Privacy, Soveria Mannelli, 2021.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
La profilazione come schedatura elettronica valutativa
L'ulteriore grado di profilazione collettiva: la categorizzazione
La profilazione come elemento rilevante per gli istituti giuridici del GDPR
La “classificazione” o “profilazione aggregata”
Bibliografia