Con un provvedimento dello scorso 24 novembre, che ha avuto una certa risonanza, il Garante della Privacy ha vietato il trattamento di dati personali da parte di Mevaluate, organizzazione intenzionata a lanciare sul mercato una piattaforma web in grado di calcolare in maniera asseritamente imparziale e affidabile la reputazione dei soggetti censiti. Tale risultato sarebbe stato raggiunto attraverso la raccolta di dati personali contenuti in documenti – certificati del casellario giudiziale e di regolarità fiscale, diplomi, querele e provvedimenti giudiziari, ecc. – caricati dagli stessi utenti e riferibili anche a soggetti estranei alla piattaforma. Questi dati sarebbero poi stati elaborati da un algoritmo in grado di ricavarne indici di affidabilità, c.d. rating reputazionali, relativi all’immagine morale, professionale e relazionale dei censiti, da mettere a disposizione, verso un corrispettivo, di tutti gli utenti della piattaforma.
Il divieto imposto dal Garante ha fatto seguito a un’istanza di verifica preliminare dell’organizzazione, che aveva chiesto al Garante di confermare che il trattamento dei dati, necessario al funzionamento della piattaforma, fosse conforme alla normativa privacy, alla luce delle seguenti caratteristiche: i) sarebbe stato raccolto il preventivo consenso degli utenti censiti al trattamento; ii) la misurazione della reputazione dei terzi si sarebbe basata su dati personali liberamente utilizzabili; iii) le modalità e le finalità del trattamento sarebbero state dettagliatamente illustrate in un’apposita informativa; e iv) sarebbero state adottate tutte le misure di sicurezza minime previste dal Codice Privacy.
Dopo aver compiuto un’approfondita istruttoria, il Garante ha viceversa ritenuto che il trattamento descritto da Mevaluate non rispettasse la disciplina dettata dal Codice Privacy “in ragione della delicatezza delle informazioni che si (sarebbero volute) utilizzare, delpervasivo impatto sugli interessati, nonché dei presupposti e delle modalità di trattamento prospettate”; da qui la sua idoneità a ledere la dignità degli interessati. Il prospettato trattamento avrebbe, infatti, implicato “la raccolta di dati personali suscettibili di incidere significativamente, per tipologia e quantità, sulla rappresentazione economica e sociale di un’ampia platea di soggetti” posto che i rating reputazionali avrebbero potuto influenzare “scelte e prospettive (dei soggetti censiti) e condizionare la loro stessa ammissione a (o esclusione da) specifiche prestazioni”; il tutto in totale assenza di una cornice normativa in materia.
In particolare, secondo il Garante, il consenso espresso dai soggetti estranei alla piattaforma raccolto dall’organizzazione non sarebbe stato libero, posto che questi sarebbero stati obbligati a diventare parte della piattaforma per contrastare rating reputazioni loro riguardanti; rating che, per giunta, sarebbero stati ricavati sulla base di dati, ancorché liberamente accessibili, comunque non utilizzabili senza il consenso dei soggetti cui questi si riferiscono o in mancanza di altri presupposti sostitutivi previsti dal Codice Privacy.
Serie perplessità sono, poi, state sollevate dal Garante circa l’asserita oggettività dei criteri adottati per la determinazione del rating, ritenendo, in mancanza di un’adeguata prova contraria, più che dubbia l’affidabilità di decisioni così delicate e complesse come quelle connesse alla reputazione degli individui adottate da sistemi automatizzati.
Infine, anche l’asserita adozione delle misure di sicurezza minime previste dal Codice Privacy da parte di Mevaluate – per lo più consistenti in sistemi di autenticazione “debole” – non è stata ritenuta di per sé sufficiente dal Garante, avuto riguardo della particolare pervasività del trattamento di dati in questione. Altrettanto inadeguata è stata ritenuta l’informativa sulla privacy che l’organizzazione avrebbe inteso adottare, posto che questa indicava finalità non esattamente corrispondenti a quelle perseguite dal trattamento in concreto svolto
Fonte: martinimana.it