Attività di social scoring che potrebbero avere aspetti in contrasto con il GDPR: per questo motivo, il Garante privacy ha avviato tre istruttorie.
- La prima su Fondazione per lo sviluppo sostenibile, dal Ministero della transizione ecologica e dal Ministero delle infrastrutture e della mobilità sostenibili e il Comune di Bologna per il progetto Pollicino.
- La seconda sul Comune di Bologna.
- La terza, meno recente, sul Comune di Fidenza.
Sono iniziative volte a valorizzare i comportamenti virtuosi dei cittadini modello riguardo all’ambiente, al Fisco, allo sport e ad altri ambiti.
I progetti “prevedono l’assegnazione di punteggi anche riguardo a raccolte di dati conferiti volontariamente dagli interessati” e il Garante è dovuto intervenire per i rischi legati a “meccanismi di profilazione che comportino una sorta di cittadinanza a punti e dai quali possano derivare conseguenze giuridiche negative sui diritti e le libertà degli interessati, inclusi i soggetti più vulnerabili”, si legge in una nota ufficiale dell’autorità.
Data breach, Inail nei guai per tre violazioni: multa dal Garante privacy per 50mila euro
Indice degli argomenti
Il problema del social scoring
Per Oreste Pollicino, professore ordinario della Bocconi e co-founder di DigitalMediaLaws, il Garante con queste attività ribadisce “che i processi automatizzati di social scoring possono essere in contrasto con i principi fondanti il GDPR, a cominciare dal rispetto per la dignità umana. I meccanismi di profilazione che potrebbero portare ad una graduatoria a punti di cittadini rischia di ledere i diritti e le libertà fondamentali soprattutto dei cittadini più fragili e vulnerabili, e quindi più bisognosi di una tutela effettiva”.
Per l’avvocato Rocco Panetta, l’attività del Garante “è certamente da accogliere con favore. Essa denota innanzitutto – e non costituisce una novità – il grande livello di attenzione che questo Collegio sta dedicando ai fenomeni tecnologici connotati da un forte impatto sui diritti e le libertà dei cittadini”. Al momento non sono stati presi provvedimenti, il Garante privacy si è riservato su questo aspetto.
Social scoring, le tre istruttorie del Garante privacy
Tra le iniziative oggetto di verifica da parte del Garante privacy, c’è il Progetto Pollicino, un’indagine statistica organizzata dalla Fondazione per lo sviluppo sostenibile, dal Ministero della transizione ecologica e dal Ministero delle infrastrutture e della mobilità sostenibili.
Nell’ambito di tale progetto, il cittadino “viene invitato a condividere i propri dati (apparentemente “in forma anonima”), per consentire un’analisi della mobilità”, precisa il Garante privacy. Una volta conclusa la ricerca, che coinvolge in primis il Comune di Bologna, “è previsto che il cittadino riceva premi offerti dai partner privati del Progetto”. Il Garante privacy ha chiesto ragguagli al Comune di Bologna, ai Ministeri e alla Fondazione coinvolti, in particolare riguardo:
- al ruolo degli enti pubblici e dei soggetti privati,
- alla base giuridica del trattamento dei dati
- in che modo funziona il sistema dell’app
- i trattamenti connessi all’app
Il caso smart citizen wallet
Il Garante privacy poi ha voluto approfondire il caso dell’iniziativa smart citizen wallet del Comune di Bologna, il quale prevede “che i cittadini possano aderire su base volontaria ad un sistema che consente di accumulare crediti all’interno del proprio wallet (portafoglio), da spendere accedendo ad una serie di premi/incentivi messi a disposizione dal Comune e da partner accreditati”, ha evidenziato l’autorità. L’istruttoria è in corso.
La carta dell’assegnatario
Prima di ciò, l’autorità si era occupata di un’iniziativa del Comune di Fidenza, che aveva introdotto la carta dell’assegnatario nell’ambito degli alloggi di edilizia residenziale pubblica. Anche in questo caso, precisa il Garante, “è previsto un meccanismo di scoring associato al comportamento tenuto dagli assegnatari degli alloggi, attraverso un sistema di punteggio finalizzato al riconoscimento di benefici e sanzioni, inclusa la risoluzione e/o la decadenza del contratto di locazione, con possibili conseguenze pregiudizievoli in capo a categorie di soggetti vulnerabili”.
Social scoring, come evitare rischi nel trattamento dei dati
Richiamando gli enti pubblici a fare attenzione qualora in futuro si adottino iniziative di social scoring o affini, il Garante privacy ha sottolineato come tali progetti debbano sempre essere preceduti da valutazioni di impatto e organizzate rispettando i principi del GDPR. Della stessa idea anche Panetta: “Naturalmente si tratta di progetti che, da quanto è possibile apprendere dalla nota dell’Autorità, richiederebbero di certo l’espletamento di una valutazione di impatto sulla protezione dei dati (la c.d. “DPIA”), cui far seguire, se del caso, un procedimento di consultazione preventiva innanzi al Garante”.
Parlando di sistemi di social scoring “pensiamo tutti subito al Social Credit System cinese, un modello di profilazione e sorveglianza di massa che si colloca agli antipodi rispetto alla nostra tradizione etica e giuridica. Le iniziative finite sotto la lente di ingrandimento del Garante hanno certamente una portata minore, ma non per questo devono essere sottostimate, anche solo per verificare che eventuali profili di non conformità alla normativa in materia di protezione dei dati personali effettivamente non sussistono”, ha sottolineato Panetta.
La proposta
A questo proposito, aggiunge Panetta, “vista la potenziale pervasività di simili iniziative, potrebbe forse immaginarsi, perlomeno in caso di attività poste in essere da enti pubblici, un meccanismo tale da consentire un coinvolgimento ex ante e su base sistematica dell’Autorità”. Una sorta “di telefono azzurro per permettere di impostare progetti premiali per i cittadini potendo sempre contare su un confronto dialettico con il Garante, a garanzia del rispetto delle norme in materia di privacy e protezione dei dati personali e quindi dei diritti dei cittadini”.
