Esercitate i vostri diritti - articolo 22 - siate protetti dal processo decisionale automatizzato!

Sapevi che il GDPR protegge anche i tuoi dati personali dall'essere ingiustamente soggetti a una decisione automatizzata? Se pensi che questo possa essere rilevante per una decisione che è stata presa su di te (ad esempio una banca che rifiuta un mutuo o la tua iscrizione in palestra rifiutata), o sei interessato a saperne di più, continua a leggere per scoprire come esercitare il tuo diritto ad essere protetto dal processo decisionale automatizzato..

La presente pagina è tradotta in italiano tramite una procedura automatica. Puoi sempre consultare la pagina originale in inglese.

Il tuo diritto a essere protetto dal processo decisionale automatizzato!

Cos'è il processo decisionale automatizzato?

Il processo decisionale automatizzato (o ADM) è la presa di decisioni con mezzi tecnologici, come un algoritmo o un computer. Il GDPR vieta agli individui di essere sottoposti a decisioni "basate esclusivamente sul trattamento automatizzato". Ciò significa che in determinate circostanze le aziende, le autorità e altre entità non possono prendere decisioni sugli individui utilizzando solo la tecnologia e nessun intervento umano

I dati utilizzati nell'ADM possono essere raccolti in diversi modi: i dati potrebbero essere forniti direttamente dagli individui, ad esempio tramite un questionario, osservando gli individui, raccogliendo i dati di localizzazione da un'app sul tuo telefono, o derivando i dati da un profilo che hai già creato o che è stato creato su di te

Alcuni esempi di casi in cui potreste essere soggetti all'ADM: la vostra banca rifiuta un prestito sulla base di un algoritmo in un programma informatico, un fornitore di telecomunicazioni non vi accetta come cliente perché un'agenzia di affidabilità creditizia ha restituito un risultato negativo su di voi, o il gestore di una piattaforma viene sanzionato da un algoritmo perché ha rifiutato diverse richieste.

L'ADM non deve essere confuso con la profilazione. La profilazione comporta l'elaborazione di dati personali al fine di valutare aspetti personali, ad esempio le caratteristiche o i modelli comportamentali degli individui. Questo viene spesso fatto per collocare gli individui in particolari categorie per analizzare ulteriormente o prevedere il loro comportamento. La profilazione non porta sempre all'ADM, e l'ADM non è sempre presa sulla base della profilazione

Passo 1: Identificare il diritto che si vuole esercitare

Fase 2: Controllare i dettagli di contatto

Passo 3: Redigere la vostra richiesta

Fase 4: risposta del controllore

Passo 5: cosa succede se il controllore rifiuta la mia richiesta?

In quali casi è vietato usare ADM per prendere decisioni su di me?

Il diritto di essere protetto dall'ADM è leggermente diverso dagli altri diritti dell'interessato nel GDPR, perché comporta una protezione che esisterà indipendentemente dal fatto che un individuo faccia o meno una richiesta al controllore o intraprenda un'azione legale. Questo diritto vieta l'uso di ADM.

L'uso di ADM è vietato quando:

La decisione si basa esclusivamente su una decisione automatizzataQueste sono di solito situazioni in cui la decisione viene presa senza intervento umano. L'intervento umano deve provenire da qualcuno con l'autorità e la competenza per cambiare la decisione se necessario. Un controllore non può cercare di evitare il divieto fabbricando un coinvolgimento umano minimo o molto debole
La decisione produce effetti legali o effetti significativi simili
- Pereffetti legali si intendono risultati che influenzano i diritti legali o lo status giuridico di un individuo. Questo potrebbe includere l'annullamento di un contratto, la negazione di benefici o di certi diritti, come intraprendere un'azione legale o votare, o il rifiuto di un cambiamento nella propria cittadinanza o stato civile
- Effettisignificativi simili significano effetti con una gravità paragonabile agli effetti legali di cui sopra. Questo potrebbe includere il rifiuto di una domanda di credito online, l'essere soggetti a un processo di e-recruiting senza intervento umano, l'impossibilità di accedere ai servizi sanitari o all'istruzione, il rifiuto di opportunità di lavoro, o l'essere soggetti a discriminazione in uno di questi processi

Ci sono eccezioni a questo divieto?

Sì. Se alcune basi legali sono utilizzate per il trattamento, allora non c'è divieto di prendere decisioni utilizzando solo l'ADM.

I controllori possono usare ADM senza intervento umano solo quando :

La decisione è necessaria per eseguire un contratto;
La decisione è autorizzata dalle leggi europee o nazionali, come ad esempio per la frode o l'evasione fiscale;
L'utente ha espressamente accettato di essere soggetto a tale decisione;

L'ADM non deve coinvolgere categorie specifiche di dati ("dati sensibili")se non in determinate circostanze e con delle garanzie

Se non siete sicuri della base giuridica utilizzata per il trattamento dei vostri dati personali, o quali dati sono trattati per un ADM, potete fare una richiesta di accesso al controllore. Essi hanno l'obbligo legale di fornirle queste informazioni

Il GDPR mi dà dei diritti che posso esercitare in relazione all'ADM?

Sì! Come risultato della protezione automatica del GDPR contro l'ADM, hai il diritto di ricevere determinate informazioni e hai diritto a diverse garanzie.

Informazioni. Nei casi in cui è in atto un ADM, hai il diritto di conoscere le seguenti informazioni

unaspiegazione significativa su come è stata presa la decisione, come la logica coinvolta e i dati utilizzati per raggiungere la decisione
il significato del trattamento: il controllore deve spiegare perché la decisione è stata adottata e il ragionamento alla base della conclusione;
le conseguenze previste per voi come risultato del trattamento, cioè cosa intende fare il controllore con i risultati dell'ADM.

Salvaguardie Se un controllore sta elaborando i vostri dati personali per l'ADM sotto una delle eccezioni di cui sopra, allora è tenuto a implementare alcune garanzie e a darvi alcuni diritti:

Il diritto di ottenere l'intervento umano (ad esempio un umano con il potere reale di cambiare la decisione dovrebbe intervenire);
Il diritto di esprimere il vostro punto di vista (per esempio una persona dovrebbe ascoltare gli argomenti contro la decisione);
Il diritto di ottenere una spiegazione (es. un umano dovrebbe spiegare come è stata raggiunta la decisione);
Il diritto di contestare la decisione (l'umano che interviene deve ascoltare il tuo punto di vista e confermare la decisione o cambiarla sulla base dei tuoi argomenti).

Come posso esercitare questi diritti?

Passo 1: Identificare il diritto che vuoi esercitare

Se non siete sicuri di quale diritto esercitare, fare prima una richiesta di accesso può darvi un'idea migliore di ciò che il controllore sta facendo con i vostri dati personali e confermare se i vostri dati personali sono stati usati per ADM. Questo può aiutarvi a decidere cosa volete fare dopo. In tal caso, informi il controllore che sta cercando informazioni che confermino la base legale del trattamento e l'esistenza di ADM, nonché la logica, il significato e le conseguenze di tale trattamento
Se pensate di essere stati sottoposti a un ADM nonostante il divieto di farlo, potete chiedere al responsabile del trattamento di interrompere l'uso di un ADM (seguite il passo 2 qui sotto) o presentare un reclamo presso un'autorità di protezione dei dati
Per esercitare il suo diritto alle garanzie quando l'ADM viene usato legalmente, segua i passi seguenti

Passo 2: Dettagli di contatto del controllore

Il tuo richiesta di limitare il trattamento dei suoi dati deve essere indirizzata al responsabile del trattamento (l'organizzazione/ente/amministrazione/società che tratta i suoi dati)

Questo può essere fatto via e-mail, lettera, fax o attraverso un modulo, purché abbiate una registrazione scritta della richiesta

L'indirizzo e-mail pertinente si trova di solito nella sezione "privacy policy" o "contact us" del sito web del controllore. Generalmente avrà un nome come privacy@company.com o legal@publicauthority.eu. Se questo è difficile da trovare, o se non c'è un indirizzo specifico a cui puoi inviare la tua richiesta, è colpa del controllore, non tua - il GDPR richiede ai controllori di rendere queste informazioni facilmente accessibili. Se non c'è un indirizzo e-mail specifico, puoi usare i dati di contatto generali del controllore.

Passo 3: Redigete la vostra richiesta

Specifica che stai cercando la conferma che i tuoi dati personali sono utilizzati per scopi ADM e quali garanzie stai cercando di esercitare in relazione all'ADM Un esempio di frase che specifica salvaguardie potrebbe essere il seguente: "ai sensi dei miei diritti dell'interessato ai sensi dell'articolo 22 del regolamento UE 2016/679, sto cercando di ottenere un intervento umano in relazione alla decisione/per esprimere il tuo punto di vista/per contestare la decisione e su quali basi/per ottenere una spiegazione riguardo alla decisione." Potete includere diversi o solo uno di questi diritti.
Specificate il vostronome o altro identificatore usato dal controllore(ad esempio il nome utente di un account)Per aiutare il controllore a indirizzare la tua richiesta in modo più efficiente, includi alcuneinformazioni che aiuterebbero a identificare il tuo account, come il tuo numero di telefono (se lo hai dato quando ti sei iscritto), il nome utente o il nome dell'account, o l'indirizzo IP. Questo sarà particolarmente utile se hai un nome e un cognome comuni.
Includi la datanel testo se metti la tua richiesta in un allegato all'email o in una lettera. Questo chiarisce il termine del controllore per fornire le informazioni.

Passo 4: Risposta del controllore

Una volta che il controllore riceve la vostra richiesta, ha unmese di tempo per rispondere. Questo periodo può essere esteso solo una volta per un massimo di altri due mesi, in caso di richieste complesse o multiple

Il controllore può chiederti informazioni aggiuntive per confermare la tua identità in caso di dubbio. Tuttavia, tale richiesta dovrebbe essere limitata alle informazioni aggiuntive necessarie per confermare chi sei. Le informazioni aggiuntive non possono essere sproporzionate, avendo considerato il contesto del trattamento dei vostri dati (ad esempio un negozio che vi chiede una copia del vostro passaporto per cambiare l'indirizzo di una carta fedeltà sarebbe sproporzionato)

In generale, queste informazioni devono essere fornite per iscritto, ma possono essere comunicate tramite mezzi elettronici come l'e-mail, o possono essere fornite oralmente se lo si richiede.

Passo 5: cosa succede se il controllore rifiuta la mia richiesta?

Se il controllore:

rifiuta la tua richiesta senza una spiegazione soddisfacente,
cerca di farti pagare ingiustificatamente la tua richiesta,
non risponde dopo un mese o dopo la scadenza prolungata (massimo 3 mesi in totale),

avete il diritto di presentare un reclamo presso un'autorità di protezione dei dati (ad esempio l'autorità di protezione dei dati del luogo in cui vivete o lavorate), e il responsabile del trattamento dovrebbe informarvi in merito

Se avete bisogno di assistenza per valutare gli elementi legali della risposta di un controllore, potete contattarci ainfo@noyb.euper discutere di ulteriori passi.

Torna a Esercitare i tuoi diritti

Sostienici!

Obiettivo finanziario

74.26 %

Diventa membro

Seguici!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.