No all’algoritmo della reputazione, viola la dignità della persona

Avv. Flaviano Sanzari

No del Garante privacy alla piattaforma web per l’elaborazione di profili reputazionali. Con provvedimento del 24.11.2016, l’Autorità ha dichiarato che il trattamento di dati personali connesso ai servizi offerti tramite la banca dati informatica “Mevaluate” non risulta conforme al Codice Privacy ed è potenzialmente lesivo della dignità delle persone e, pertanto, ha vietato qualunque operazione di trattamento (presente o futura), ove effettuata sulla base dei presupposti e delle modalità indicate dalla società proprietaria della piattaforma, in riferimento ai dati personali degli interessati.

In particolare, l’infrastruttura, costituita da un portale web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti caricati volontariamente sulla piattaforma dagli stessi utenti o ricavati dal web. Attraverso un algoritmo, il sistema costruirebbe poi una sorta di rating reputazionale, assegnando ai soggetti censiti degli indicatori alfanumerici in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale.

Il Garante ha però ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle  modalità di trattamento che la società titolare intende mettere in atto. Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini), influenzando le scelte altrui e  condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Per quanto riguarda, poi, l’asserita oggettività delle valutazioni, la società proprietaria non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione del rating. L’Autorità ha avanzato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Oltre alla difficoltà di misurare situazioni e variabili non facilmente classificabili, non vi sarebbero garanzie nemmeno sulla veridicità e completezza della documentazione su cui fondare la valutazione, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Infine, il Garante ha manifestato dubbi sulle misure di sicurezza del sistema, basate, prevalentemente, su procedure di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari. Si tratta, secondo l’Autorità, di misure inadeguate, specialmente se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità sono state ravvisate, inoltre, nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.