Reputazione online, le tutele del Gdpr nel far west delle profilazioni
La ragnatela dei data-base reputazionali e della rete internet è impegnata da anni in attività di rating e scoring. Al nome e cognome di una persona si abbinano report che formulano sintetiche espressioni valutative, da cui dipende la possibilità di avere un finanziamento o un mutuo. Il profilo virtuale rintracciabile on line è sfornato da siti che offrono risposte immediate e gratuite. La quantità delle informazioni è enorme, non sempre la loro qualità. E bisogna aggiungere che la capacità delle leggi e delle tutele per l'interessato non sempre raggiunge gradi apprezzabili di effettività.
Come sempre ci sono diversi interessi in gioco e, ovviamente, ci possono essere strumentalizzazioni: talvolta la privacy è l'ostaggio del cattivo pagatore che vuole far dimenticare la sua dolosa propensione a coltivare colpevoli morosità; talaltra volta un esasperata forzatura dell'esigenza di proteggere il sistema del credito è il velo per un maltrattamento di dati personali, anche sensibili o per una pesca a strascico di informazioni utilizzate per tutt'altro.
Se la realtà è disegnabile come un ammasso di tele aggrovigliate, non bisogna dimenticare che la legge, cioè l'espressione formulata dalla comunità organizzata delle persone, ovviamente consapevole della pluralità delle sfaccettature e dei rischi che bisogna sterilizzare, ha alcune discipline settoriali.
Nell'ambito dell'economia e della finanza si possono, a titolo di esempio e senza pretesa di completezza, ricordare: la centrale rischi della Banca d'Italia, le centrali rischi private o sistemi di informazioni creditizie, gli archivi delle società che forniscono informazioni commerciali, la centrali di allarmi interbancaria, il bollettino dei protesti, il rating di impresa presso l'Autorità nazionale anticorruzione, e così via.
Senza contare che la rete internet sforna profili sul conto delle persone, subito e gratis; così come ci sono piattaforme di promozione e diffusione in rete di profili scritti dallo stesso interessato; e non vanno dimenticate le schiere di imprese on line di servizi di monitoraggio della reputazione virtuale accompagnate da azioni di contrasto delle risultanze pregiudizievoli a mezzo di propalazione digitale di notizie positive.
Il vortice delle notizie da cui deriva una valutazione sui singoli è fitta e sviluppata su scala globale. E talvolta si ha la sensazione che l'eccesso di notizie porti a una situazione non trasparente, ma opaca per confusione, per eccesso, per abbuffata indigesta di dati.
Naturalmente, come spesso capita, i principi ci sono e sono semplici: esattezza dei dati raccolti; accuratezza nelle valutazioni; trasparenza dei processi di raccolta, utilizzo e accesso ai dati; procedimenti snelle di correzione dei dati inesatti; garanzie di indennizzo per i danni subiti per effetto di comportamenti colposi o dolosi.
Su questo fronte, sia l'ordinamento italiano sia quello europeo forniscono anche un apparato e procedure amministrative e giudiziarie per sostenere la compatibilità del sistema e il perseguimento degli obiettivi sostanziali, anche se la cronaca di singole esperienze non sempre depone in senso favorevole.
Tutele sostanziali - Partendo dalle regole sostanziali, l'articolo 5 del Regolamento Uu sulla privacy 2016/679 pretende che i dati siano esatti e, se necessario, aggiornati; impone a chi tratta i dati di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati principio di esattezza; allo stesso articolo sono prescritti i doveri di liceità, correttezza e trasparenza, di limitazione della finalità, limitazione della conservazione, integrità e riservatezza, ma soprattutto di responsabilizzazione di chi tratta i dati (chi sbaglia a trattare dati inesatti e costruisce profili sbagliati deve doverne rispondere e pagare la sua malefatta).
Lo stesso regolamento all'articolo 15 accorda agli interessati il diritto di sapere se qualcuno ha raccolto dati e soprattutto se li ha elaborato costruendo profili valutativi («cattivo pagatore» o simili); all'articolo 16 attribuisce il diritto di chiedere la rettifica dei dati inesatti e l'integrazione dei dati incompleti; il quadro è completato dal diritto di opporsi al trattamento (articolo 21) e dal diritto di oblio (articolo 17). Più a monte agli articoli 12, 13 e 14 esplicita il dovere di chi tratta i dati di informare a priori su come vengono trattati i dati, su quali algoritmi vengono usati, su come operano gli elaboratori e i robot nel calcolare la reputazione umana.
E su questo versante l'articolo più importante è l'art. 22 del citato Regolamento Ue, con il diritto di opporsi alle decisioni automatizzate: l'interessato, salvo le eccezioni, ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
In ogni caso in cui si possa ricorrere ad algoritmi e robot, la persona ha garantiti almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, il diritto di esprimere la propria opinione e il diritto di contestare la decisione.
Autorità di controllo - Se qualcosa va storto, l'interessato può rivolgersi ad autorità amministrative o al sistema giudiziario. Questo, oltre a strade conciliative, procedure di mediazione, di alternative dispute resolution e così via. L'autorità amministrativa di riferimento è il Garante per la protezione dei dati personali, al quale ci si può rivolgere con segnalazione o reclamo per ottenere di vedere i dati e intervenire sugli stessi (dall'ordine di correzione alla integrale cancellazione). Il Garante ha poteri sanzionatori che possono arrivare a 20 milioni di euro per singola violazione. Il Garante ha anche compiti di agevolare l'autoregolamentazione di alcuni settori: in materia vanno menzionati i codici di condotta «per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti» e quello per il trattamento dei dati personali «in materia di informazioni commerciali».
Alle autorità giudiziarie ci si può rivolgere in via alternativa rispetto alla proposizione del reclamo al Garante della privacy, ma ci si deve obbligatoriamente rivolgere per ottenere un risarcimento del danno. Se al Garante si possono chiedere provvedimenti correttivi e sanzionatori, ai tribunali si possono chiedere provvedimenti d'urgenza (eliminazione dagli archivi) e condanne a indennizzare pregiudizi patrimoniali e non patrimoniali.
Fonte: Italia Oggi Sette del 14.10.2019 - Articolo di Antonio Ciccia Messina