No del Garante privacy alla banca dati on line della reputazione [doc. web n.5796783]. Il progetto per la misurazione del "rating reputazionale", elaborato da una organizzazione articolata in un´associazione e da una società preposta alla gestione dell´iniziativa, viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone.
L´infrastruttura, costituita da una piattaforma web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti "caricati" volontariamente sulla piattaforma dagli stessi utenti o "pescati" dal web. Attraverso un algoritmo, il sistema assegnerebbe poi ai soggetti censiti degli indicatori alfanumerici in grado, secondo la società, di misurare in modo oggettivo l´affidabilità delle persone in campo economico e professionale.
Nel disporre il divieto di qualunque operazione di trattamento presente e futura, il Garante ha ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle modalità di trattamento che la società intende mettere in atto. Pur essendo infatti legittima, in linea di principio, l´erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame - realizzato peraltro in assenza di una idonea base normativa - presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un´ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini). Il "rating reputazionale" elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l´ammissione degli interessati a prestazioni, servizi o benefici.
Per quanto riguarda, poi, l´asserita oggettività delle valutazioni, la società non è stata in grado di dimostrare l´efficacia dell´algoritmo che regolerebbe la determinazione dei "rating" al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. L´Autorità nutre, in generale, molte perplessità sull´opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Senza contare, infatti, la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.
Dubbi sono stati espressi dal Garante anche sulle misure di sicurezza del sistema - basate, prevalentemente, su sistemi di autenticazione "debole" (user id e password) e su meccanismi di cifratura dei soli dati giudiziari secondo l´Autorità davvero inadeguate, specie se rapportate all´elevato numero di soggetti che potrebbero essere coinvolti e all´ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all´interno della piattaforma.
Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell´informativa da rendere agli interessati.
