Algoritmo reputazionale. Il no del Garante Privacy: la persona non si tocca

La reputazione attiene alla dignità della persona. La persona, nella Società dell'informazione, trova tutela nella Data Protection atta a controllare che trattamenti inizialmente leciti degenerino in abusi a causa di modalità di gestione dei patrimoni informativi prive delle necessarie misure di sicurezza. Per questo il progetto di un algoritmo reputazionale sottoposto al vaglio del Garante Privacy non è stato riconosciuto lecito non dava sufficienti garanzie di integralità e autenticità della banca dati reputazionale e dei criteri di calcolo del relativo rating.

Il provvedimento del Garante Privacy Piattaforma web per l'elaborazione di profili reputazionali - 24 novembre 2016 tratta il caso di una società che ha realizzato un algoritmo di elaborazione di profili reputazionali su base documentale. L'algoritmo si nutre di dati forniti volontariamente dagli stessi interessati che richiedono di pubblicare sulla piattaforma web della società il proprio profilo reputazionale. La scheda personale viene costruita grazie all'intervento di due fattori la funzione dell'algoritmo e l'opera umana del consulente di reputazione. I documenti - spiega il Garante verrebbero previamente valutati da appositi consulenti reputazionali al fine di garantirne la genuinità e l'integrità. All'esito delle operazioni di verifica, il sistema provvederebbe a calcolare, mediante un sofisticato algoritmo matematico, un punteggio complessivo da assegnare agli interessati c.d. rating reputazionale atto a determinarne il grado di affidabilità . Attenzione non si tratta di risultati recepiti da Internet sulla scorta del cd. sentiment della rete operazione comune delle società informatiche che si occupano di ingegneria reputazionale online , bensì di un nuovo sistema di valutazione della persona fisica o giuridica sulla scorta di documenti derivanti da fonti ufficiali come certificati del casellario giudiziale, certificati del registro delle imprese, certificati di regolarità fiscale, certificati relativi ad abilitazioni, diplomi, denunce, querele, provvedimenti giudiziari, ecc Verrebbero compresi anche documenti relativi alla sfera morale e alla sfera tecnico-professionale dell'interessato come ad esempio certificati di riconoscimento al valore civile o di partecipazione ad attività di volontariato encomi premi referenze presenza/assenza di successi e/o insuccessi professionali informazioni tratte da articoli di stampa, radio/TV laddove prodotte facoltativamente dagli interessati. L'esito dell'analisi documentale elaborata dall'algoritmo e dal consulente rappresenterebbe - secondo la società autrice del progetto - il profilo reputazionale oggettivo dell'interessato a prescindere dalle risultanze della web reputation . Potremmo osservare che siffatto progetto sorge proprio per contrastare la mancanza di certezza dei ritratti reputazionali risultanti dall'Internet con l'obiettivo di promuovere chiarezza e autenticità nei rapporti socio-economici. Il Garante, sebbene apprezzando la finalità del progetto di infondere certezza nel tessuto socio-economico, è costretto ad ammonire severamente la società sulla sostanza posta alla base del sistema ovvero la reputazione. La reputazione attiene alla dignità personale equivale a trattare la persona stessa, figura fondante dell'ordinamento giuridico. Si tratta di una materia delicatissima che non può essere lasciata alla discrezionalità di privati senza nessun ancoraggio normativo e quindi in assenza di valide garanzie di tutela. Rating reputazionale e dignità della persona. Il Garante giustifica la condanna del sistema di rating reputazionale in parola evidenziando gli effetti negativi che potrebbe sviluppare sulla vita degli stessi richiedenti il profilo. Sulla scorta del punteggio ottenuto - sempre soggetto a revisione in base ad aggiornamento informativo - l'interessato potrebbe essere escluso da determinati ambiti di servizi e/o di benefici. Potrebbe essere stigmatizzato dagli amici o dalla società o addirittura dalla famiglia. La misura della reputazione in questi termini costituisce un vulnus ingiustificato alla dignità della persona che il Garante individua nell'art. 2 Cost. richiamando un'interpretazione degli Ermellini sul valore della disciplina Data Protection quale strumento a protezione della persona Corte Cass. 8 agosto 2013, n. 18981 secondo cui la dignità dell'interessato [], [in quanto] valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali il cui disegno è funzionale alla difesa della persona e dei suoi fondamentali diritti, [tendendo] ad impedire che l'uso, astrattamente legittimo, del dato personale avvenga con modalità tali da renderlo lesivo di quei diritti . Sistemi di accreditamento e base normativa. Il sistema di accreditamento al vaglio del Garante non fornisce garanzie circa le modalità di tutela dei diritti della persona perché non si fonda su precise basi normative che disciplinano strumenti di valutazione universalmente riconosciuti. Esistono sistemi di accreditamento ammessi dal nostro ordinamento in quanto determinati dal legislatore come il rating di legalità o rating di impresa ex art. 83, comma 10, d.lgs. n. 50/2016 i cui parametri sono stabiliti dalle Linee guida di ANAC i requisiti reputazionali alla base del rating di impresa di cui al presente comma tengono conto, in particolare, del rating di legalità rilevato dall'ANAC in collaborazione con l'Autorità Garante della Concorrenza e del Mercato, ai sensi dell'articolo 213, comma 7, nonchè dei precedenti comportamentali dell'impresa, con riferimento al rispetto dei tempi e dei costi nell'esecuzione dei contratti, all'incidenza del contenzioso sia in sede di partecipazione alle procedure di gara che in fase di esecuzione del contratto. Tengono conto altresì della regolarità contributiva, ivi compresi i versamenti alle Casse edili . Inoltre il sistema di accreditamento della proposta in analisi viene affidato a un soggetto la società proponente che non risulta organismo certificato per svolgere tale funzione implicante uno stato di assoluta terzietà ed imparzialità. Trattamento ingiustificato dei terzi non iscritti. La piattaforma de quo oltre a trattare i dati forniti volontariamente dagli aderenti si troverebbe a trattare anche i dati dei terzi non iscritti evinti da documenti liberamente conoscibili es. sentenza . Qui oltre alla mancanza di correttezza nelle modalità del trattamento si registra anche la mancanza del consenso, indispensabile per procedere alla raccolta e alla elaborazione di queste informazioni. Informazioni che obtorto collo verrebbero processate dall'algoritmo e si trasformerebbero in profili reputazionali autonomi e differenti dal materiale informativo originario. In un ambito normativo quale quello della Data Protection europea in cui la profilazione e la raccolta massiva dei dati personali e' severamente vietata risulta impossibile ammettere un rating reputazionale di soggetti che non l'hanno richiesto e che magari sono perfino ignari della relativa esistenza. Misure di sicurezza scarse. Mancato rispetto dei principi di necessità, proporzionalità e qualità. La raccolta massiva dei documenti utili per stilare il profilo reputazionale, sebbene eseguita direttamente dagli interessati nel caso degli iscritti alla piattaforma, è illegittima perchè in contrasto con i principi di essenzialità del dato secondo cui si deve trattare unicamente il quantitativo di informazioni strettamente indispensabile per la finalità della raccolta. La quantità di documenti caricati sulla piattaforma direttamente dagli interessati è ridondante. Anche la qualità del dato si attesta mediocre in quanto fortemente esposta a falsificazioni dovute alle deboli misure di sicurezza user id e password cifratura per i soli dati giudiziari poste a tutela di un patrimonio così ingente di informazioni e a causa del rischio di corruttibilità tra i consulenti reputazionali. Tempi di conservazione troppo lunghi e informativa agli interessati troppo evasiva. Il progetto in analisi prevede un tempo di conservazione dati di un anno dal momento del recesso dell'interessato che costituisce un periodo ingiustificatamente lungo. L'informativa per gli aspiranti iscritti alla piattaforma contiene dei passaggi illeciti in quanto tesi a eludere un controllo effettivo dell'interessato sui propri dati. Il Garante osserva che il testo [ ] reca riferimenti a finalità connesse all'esecuzione di procedure selettive indette dall'associazione o da società collegate che nulla hanno a che vedere con i servizi offerti agli utenti [ ] richiama possibili trasferimenti all'estero dei dati [ ] implica velatamente la raccolta di un consenso facoltativo in merito a non meglio identificate finalità commerciali, nemmeno menzionate tra gli scopi perseguiti dal titolare . Conclusioni. Il tema della misura della reputazione al centro del provvedimento in analisi costituisce un obiettivo molto ambito nella nostra società dell'informazione. L'invenzione di una formula oggettiva per misurare la reputazione del soggetto risolverebbe tante criticità insite nell'epoca digitale sociale. Pensiamo alla mancanza di certezza nei rapporti interpersonali chi è davvero quella persona con cui sono entrato in contatto online? Posso fidarmi? Potrò tentare di avviare un'amicizia? Pensiamo alla mancanza di certezza nei rapporti lavorativi sia in fase di selezione del personale sia in merito a ipotesi di infedeltà aziendale. Pensiamo alla mancanza di certezza nei rapporti economici tra imprese che vorrebbero partecipare insieme a un progetto ma che rinunciano a causa della mancanza di fattori oggettivi sull'attendibilità dell'eventuale partner. Stessa situazione di incertezza informativa nei rapporti tra cliente e istituto di credito. In questi ambiti l'esigenza di certezza informativa non si soddisfa con un rating di legalità come negli appalti. Qui si tratta della materia umana tessuta di aspettative di attendibilità, serietà professionale, serietà civica, senso della squadra, senso della solidarietà e di tutte quelle sfumature atte a costituire il senso che gli altri hanno di te . Un senso che difficilmente verrà colto da un algoritmo. Un senso che in uno Stato di Diritto non dovrà mai essere consegnato a nessuno.