Il Garante della privacy dice “no” alla banca dati on line della reputazione, perché il progetto per la misurazione del “rating reputazionale”, elaborato da un’organizzazione articolata in un’associazione e da una società preposta alla gestione dell’iniziativa, viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone.

L’infrastruttura costituita da una piattaforma web e un archivio informatico – spiega il Garante nella newsletter di ieri – dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti “caricati” volontariamente sulla piattaforma dagli stessi utenti o “pescati” dal web. Attraverso un algoritmo, il sistema assegnerebbe poi ai soggetti censiti indicatori alfanumerici in grado, secondo la società, di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale.

Secondo il Garante, il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle modalità di trattamento che la società intende mettere in atto.
Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere più efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame, realizzato tra l’altro senza un’idonea base normativa, presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini). Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Inoltre, sull’oggettività delle valutazioni, la società non è riuscita a dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” a cui dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. L’Autorità nutre, in generale, molte perplessità sull’opportunità di rimettere a un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Senza contare la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe infatti basarsi su documenti e certificati incompleti o viziati, rischiando di creare profili inesatti e non rispondenti all’identità sociale delle persone censite.

Il Garante ha poi espresso dubbi sulle misure di sicurezza del sistema, basate in larga parte su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, ritenute inadeguate, specie se rapportate all’alto numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.