tonucci news
6.03.2017

Rating reputazionale: viene prima la dignità della persona

Con il Provvedimento n. 488 del 24 novembre 2016, il Garante per la protezione dei dati personali ha preso una netta posizione in relazione all’elaborazione di profili reputazionali online, concernenti persone sia fisiche che giuridiche, ritenendo non conforme alla normativa in vigore la formula proposta da una ONLUS italiana basata su un complesso algoritmo in asserita fase di brevettazione.

IL FATTO:

La questione è stata portata all’attenzione del Garante per la privacy da un’organizzazione articolata in più società aventi sede in Italia ed all’estero (gruppo “Mevaluate”) la quale ha in progetto la realizzazione di una piattaforma web, con annesso archivio informatico, avente l’obiettivo di calcolare un oggettivo, imparziale ed affidabile “rating reputazionale” dei soggetti censiti, per consentire ai terzi di valutarne la reale credibilità.

Il processo di elaborazione del rating sarebbe riassumibile in tre fasi principali, le quali – a detta delle società richiedenti – sarebbero in grado di garantire oltre ogni ragionevole dubbio l’attendibilità del risultato:

1) Caricamento su base volontaria di documentazione di varia natura idonea a comprovare la propria reputazione, proveniente per la maggior parte da fonti terze rispetto agli interessati (ad es. certificati del casellario giudiziale; certificati di regolarità fiscale; certificati relativi ad abilitazioni; diplomi; denunce; querele; provvedimenti giudiziari). I documenti di interesse atterrebbero sia alla “sfera morale” dei soggetti censiti che a quella “tecnico-professionale” e sarebbero inoltre in grado di rivelare informazioni rilevanti anche sotto il profilo etico. La documentazione in questione, al termine del processo di elaborazione, è destinata a rimanere accessibile a tutti gli iscritti.

2) Verifica della genuinità ed integrità dei documenti caricati dagli iscritti da parte di appositi “consulenti reputazionali”, sottoposti alla vigilanza di un “Comitato di Controllo”, dalla composizione non meglio definita.

3) Assegnazione agli interessati, mediante l’utilizzo di un sofisticato algoritmo matematico, del “punteggio” complessivo (c.d. “rating reputazionale”) atto a determinarne il grado di affidabilità.

A sostegno della propria posizione, il gruppo Mevaluate ha infine sostenuto che l’intero servizio offerto sarebbe stato configurato per operare in conformità con un “Codice della reputazione universale” elaborato a livello aziendale e dichiaratamente ispirato alla “Dichiarazione Universale dei Diritti dell’Uomo”, «al fine di disciplinare i princìpi per l’individuazione della reputazione di persone fisiche e giuridiche e definire […] i criteri e le modalità della relativa misurazione».

Il Garante, pur riconoscendo la legittimità, in linea di principio, di un simile servizio, si esprime senza mezzi termini nei confronti dello specifico progetto sottoposto alla sua attenzione, individuando una lunga serie di criticità che interessano il trattamento di dati personali connesso alla realizzazione della piattaforma in questione, tra le quali emergono:

– l’inaffidabilità del sistema legata all’impossibilità di risalire, in assenza di un’idonea cornice normativa, a riconosciuti criteri, a livello nazionale o internazionale, sulla base dei quali poter misurare la reputazione degli individui in modo ragionevolmente obiettivo ed imparziale;

– la presenza di ipotesi di manifestazione non libera del consenso e addirittura di trattamento di dati in assenza del consenso (ad es. possibilità di creazione di profili di soggetti non iscritti alla piattaforma);

– la violazione dei criteri di pertinenza e indispensabilità richiesti dalle Autorizzazioni generali dal Garante per il trattamento di dati sensibili e giudiziari;

– la violazione dei criteri di necessità e proporzionalità del trattamento, stante la rilevante mole di dati processati, le modalità di raccolta massiva di informazioni e documenti ed il numero potenzialmente molto elevato di soggetti coinvolti;

– l’assenza di un’adeguata informativa agli utenti;

– l’incomprensibile ed ingiustificabile estensione del tempo di conservazione dei dati personali successivamente al recesso dal servizio (dodici mesi);

– la totale inadeguatezza delle misure minime di sicurezza elaborate dal gruppo (ad es. sistemi di autenticazione “debole” e meccanismi di cifratura dei soli dati giudiziari).

Il Garante per la protezione dei dati personali non può dunque che escludere la conformità del trattamento dei dati connesso ai servizi offerti dal gruppo Mevaluate alla disciplina di protezione dei dati personali, dovendosi considerare qualsivoglia operazione di trattamento da questo effettuata come «illecita e, quindi, vietata».

PERCHÉ È IMPORTANTE:

Con il provvedimento in esame l’Autorità non si limita alla mera bocciatura di un progetto privo di adeguate garanzie, ma sembra voler chiarire il proprio punto di vista sul concetto stesso di misurazione della reputazione: considerato che una tale forma di “rating” ben potrebbe «ripercuotersi pesantemente sulla vita (anche privata) degli individui censiti, influenzandone scelte e prospettive e condizionando la loro stessa ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici», il Garante esprime «perplessità […] sull’opportunità stessa di rimettere a un sistema automatizzato ogni determinazione in merito […] alla reputazione dei soggetti coinvolti», in quanto vi è il rischio concreto che, a seguito di una valutazione totalmente acritica, vengano creati «profili reputazionali inesatti e non rispondenti alla reale rappresentazione […] dei soggetti censiti». In tale ipotesi, a subire un vulnus, sarebbe infatti la stessa dignità del soggetto, elemento cardine della disciplina di protezione dei dati personali.

14.07.2017
firm news

Il socio di capitale.

Mario Tonucci
FONTE: MAG
Intervista su MAG by Legalcommunity a Mario Tonucci: “Il socio di capitale? [...]
9.10.2017
press

Minibond, sempre più PMI Italiane puntano sulle obbligazioni.

Pietro Rossi
FONTE: Italia Oggi
L’Avv. Pietro Rossi di Tonucci & Partners è stato intervistato da ItaliaOggi sui minibond, quale efficace ed alternativa fonte di [...]