(71) L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura,
che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che
produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il
rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.
Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati
personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o
prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli
interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò
produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.
Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la
profilazione, se ciò è espressamente previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare
del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell'evasione fiscale secondo i
regolamenti, le norme e le raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di vigilanza e
a garanzia della sicurezza e dell'affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per
la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, o se l'interessato ha
espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie
adeguate, che dovrebbero comprendere la specifica informazione all'interessato e il diritto di ottenere l'intervento
umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale
valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore.
Al fine di garantire un trattamento corretto e trasparente nel rispetto dell'interessato, tenendo in considerazione le
circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento
utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e
organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze
dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una
modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca
tra l'altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell'origine etnica, delle
opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico,
dello stato di salute o dell'orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo
decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere
consentiti solo a determinate condizioni.
(72) La profilazione è soggetta alle norme del presente regolamento che disciplinano il trattamento dei dati personali,
quali le basi giuridiche del trattamento o i principi di protezione dei dati. Il comitato europeo per la protezione
dei dati istituito dal presente regolamento («comitato») dovrebbe poter emanare orientamenti in tale contesto.
(73) Il diritto dell'Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione,
accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate
sulla profilazione, nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni
obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società
democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in
risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o
l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica,
o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico
generale dell'Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell'Unione o
di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per l'ulteriore
trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento
politico sotto precedenti regimi statali totalitari o per la tutela dell'interessato o dei diritti e delle libertà altrui,
compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere
conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà
fondamentali.
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati
personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In
particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed
essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa
l'efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e
delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
4.5.2016
L 119/14
Gazzetta ufficiale dell'Unione europea
IT