Web reputation, il Garante Privacy dice no alla banca dati online

ROMA – Il Garante privacy non ha concesso il via libera a una banca dati online della reputazione. La decisione dell’authority si riferisce a un progetto per la misurazione del “rating reputazionale”, elaborato da un'organizzazione articolata in un’associazione e da una società preposta alla gestione dell’iniziativa. Secondo il Garante, erano varie le criticità che violavano le norme del Codice sulla protezione dei dati personali ed era inoltre negativa l’incidenza dell’iniziativa sulla dignità personale.

L’infrastruttura in questione, costituita da una piattaforma web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti “caricati” volontariamente sulla piattaforma dagli stessi utenti o “pescati” dal web. Tramite un algoritmo, il sistema assegnerebbe ai soggetti censiti indicatori alfanumerici in grado, secondo la società, di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale.

Nel disporre il divieto di qualunque operazione di trattamento, presente e futura, il Garante ha ritenuto che “il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle modalità di trattamento che la società intende mettere in atto”. Pur essendo infatti legittima, ricorda il Garante, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame “realizzato peraltro in assenza di una idonea base normativa, presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini)”.

Il rating di reputazione prodotto dalla piattaforma potrebbe avere ripercussioni sulla vita delle persone censite, influenzando le scelte di altre persone e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici. In riferimento all’oggettività delle valutazioni raccolta, la società “non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei rating al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti”.

L’Autorità non si è limitato a esprimere perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione, ma sottolinea anche la difficoltà di misurare situazioni e variabili non facilmente classificabili. Il rischio è che “la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite”.

Il Garante privacy si è espresso anche in merito alle misure di sicurezza del sistema: i sistemi di autenticazione basati su user id e password e su meccanismi di cifratura dei soli dati giudiziari risultano, secondo l’Autorità, “inadeguati, soprattutto se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma”. Ulteriori fattori critici, infine, sono stati riscontrati nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.