Scoring il Garante avvia tre istruttorie. È dell’8 Giugno scorso la notizia che il Garante per la Protezione dei Dati Personali ha avviato tre istruttorie su progetti, iniziati da vari enti pubblici, basati su meccanismi di “scoring”- o per meglio dire, cittadinanza a punti – associati a comportamenti virtuosi del cittadino.
I meccanismi di scoring
Il Garante sta “passando in esame” le diverse attività di social scoring promosse da alcuni enti pubblici, iniziative spesso realizzate in partnership con imprese private. Un meccanismo, quello in questione, che inevitabilmente porta ad una raccolta di dati dei cittadini coinvolti. Dati propedeutici all’assegnazione o meno di premi. Ma a quale “costo”? Vediamo un esempio pratico.
Il progetto pollicino
Un esempio è il “Progetto Pollicino”, un’indagine statistica promossa, tra gli altri, dal Ministero delle Infrastrutture e delle Mobilità Sostenibili, attraverso il quale il cittadino è invitato a condividere propri dati allo scopo di analizzare – e verosimilmente migliorare – la mobilità, con la possibilità, inoltre, di ottenere un premio conferito dai partner privati dell’indagine.
Proprio con riguardo al “Progetto Pollicino”, però, il Garante ha voluto vederci meglio, richiedendo vari chiarimenti. Il primo è relativo al ruolo dei soggetti coinvolti, il secondo riguarda la base giuridica del trattamento, ma non solo. L’autorità vuole vederci chiaro anche riguardo le modalità di funzionamento dell’app utilizzata e i trattamenti connessi alla stessa.
Attività consentite ma…
Chiariamo subito. Questo tipo di attività è consentita. Il Garante ha però voluto sottolineare come sia da parte sua necessario vigilare sul rispetto della normativa, valutando con la massima attenzione le azioni intraprese dagli enti coinvolti. Azioni inserite in un contesto in cui il sistema scaturisce di fatto un grosso numero di trattamenti automatizzati, compresa la profilazione.
Cosa dice il GDPR
L’articolo 22, paragrafo 1, del GDPR stabilisce che:
l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona
salvo i casi di cui al paragrafo successivo, ad es. il consenso esplicito dell’interessato stesso.
Inoltre, l’articolo 13 del GDPR , al suo paragrafo 2, lettera f), prescrive al titolare del trattamento di fornire all’interessato informazioni circa non solo l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, ma anche “informazioni significative sulla logica utilizzata”.
Il cittadino è consapevole?
Ribadiamo, l’attività di scoring è assolutamente consentita. Alla luce degli articoli sopracitati, legati strettamente alla profilazione, le domande che si pone il Garante sono: quanto, effettivamente, il cittadino – interessato – è consapevole della profilazione che subisce in questo tipo di attività? Quanto è consapevole della logica retrostante il funzionamento dell’algoritmo di social scoring?
Tecnologia e GDPR
In questa, come in molte altre istruttorie del garante, emerge spesso come le situazioni che incrociano tecnologia e profilazione, portino con loro delle criticità. Proprio per questo, e per altro, le istruttorie del Garante sono fondamentali per analizzare il livello di adeguatezza di questi meccanismi, con riguardo al rispetto del GDPR, ma anche per tutelare i principi fondamentali concernenti i diritti e le libertà fondamentali della persona. La tecnologia nasce per apportare miglioramenti alla vita di tutti noi, ma, per mitigare i numerosi rischi connessi, deve necessariamente confrontarsi con i limiti e gli obblighi imposti dal Regolamento Generale sulla Protezione dei Dati.