x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Un algoritmo può “misurare” la reputazione di un soggetto?

Altri articoli dell'autore

Diritto /

Apple’s Appeal Against Gatekeeper’s Designation: Device-Specificity or Neutrality?

Diritto /

Il Code of Practice on Disinformation dell’UE: tentativi in fieri di contrasto alle fake news

Diritto /

I requisiti per la nomina del Data Protection Officer e la certificazione Lead Auditor ISO 27001

Di Laura Liguori e Marco Bellezza

 

L’economista Jeremy Rifkin in un recente volume nel parlare di classifiche reputazionali e valute nei Commons osserva come “[…] tutte le maggiori reti sociali collaborative hanno istituito sistemi di valutazione reputazionale per classificare l’affidabilità dei loro membri. […] al pari dei servizi di valutazione finanziaria nel contesto dell’economia di mercato, i servizi di valutazione reputazionale nel Commons di Internet stanno diventando un importante strumento per regolare l’attività assicurare l’osservanza di norme condivise e creare fiducia sociale” (The zero marginal cost society”, edizione italiana “La società a costo marginale zero. L’internet delle cose, l’ascesa del commons collaborativo e l’eclissi del capitalismo”, pagg. 365 ss., Milano, 2016).

Ed è proprio su uno di tali strumenti che si è concentrata l’attenzione del Garante per la protezione dei dati personali, in seguito ad una richiesta di verifica preliminare presentata dai creatori del sistema di valutazione reputazionale in questione, in un provvedimento pubblicato nelle scorse settimane  che non mancherà di far discutere.

La piattaforma sotto la lente del Garante

Una ONLUS collegata ad alcune società di capitali italiane ha sottoposto al Garante privacy un sistema di valutazione reputazionale fondato su una piattaforma internet ed un archivio informatico. In particolare, gli associati alla ONLUS avrebbero potuto pubblicare sulla piattaforma web su base volontaria una serie di documenti idonei a comprovare la propria reputazione commerciale e a certificare, inoltre, taluni aspetti attinenti alla propria “sfera morale”. Tra i documenti caricabili figuravano, infatti, certificati rilasciati da enti pubblici (ad esempio quello relativo al casellario giudiziario), attestazioni relative alla moralità del soggetto, certificazioni tecnico-professionali e, infine, articoli di stampa o tratti da altre fonti relativi al soggetto in questione.

Suddetta documentazione sarebbe stata valutata da alcuni “esperti reputazionali” prima di essere pubblicata sulla piattaforma online.  All’esito del processo descritto un algoritmo avrebbe assegnato un punteggio sulla reputazione del soggetto considerato. Nell’ambito della piattaforma online vi sarebbe stata la possibilità di creare propri profili personali ma anche c.d. “profili contro terzi” attraverso i quali sarebbe stato possibile valutare l’affidabilità di soggetti non iscritti alla piattaforma (e quindi non associati alla ONLUS) sulla base di documentazione liberamente accessibile quali sentenze, decisioni di organi amministrativi, etc.  I terzi oggetto di valutazione avrebbero sempre potuto accedere alla piattaforma caricando altra documentazione idonea a fornire un quadro reputazionale completo.  Naturalmente sarebbe stato possibile recedere dalla piattaforma in qualsiasi momento e il recesso avrebbe determinato la cancellazione dei dati presenti sulla piattaforma online tranne che per quanto riguarda i dati dei “profili contro terzi” e i dati contenuti in una “black list” tenuta dalla piattaforma online.

Le criticità riscontrate dal Garante

Il Garante per la protezione dei dati personali con il provvedimento segnalato ha considerato complessivamente non conforme alla normativa vigente il sistema di rating reputazionale proposto dai richiedenti la verifica preliminare.
Nell’articolato provvedimento il Garante passa in rassegna le caratteristiche tecniche della piattaforma online e dell’associato archivio informatico e riscontra numerose criticità:

  • anzitutto il consenso prestato dagli interessati appariva non preceduto da un adeguata informativa e non libero in quanto l’adesione al sistema era pre-condizione per concludere contratti con altri appartenenti alla piattaforma e, per quanto riguarda i dati contenuti nei c.d. “profili contro terzi” il consenso di questi ultimi appariva necessitato dall’esigenza di contrastare la pubblicazione di documenti aventi una carica potenzialmente lesiva nei propri confronti;
  • il consenso rispetto ai “profili contro terzi” risultava del tutto assente e il trattamento dei dati di tali soggetti era sprovvisto di alcuna base giuridica alternativa che lo legittimasse;
  • il trattamento dei dati sensibili e giudiziari non era in linea con i principi di stretta pertinenza e indispensabilità richiesti dalle autorizzazioni generali del Garante per il trattamento di tali tipologie di dati;
  • il trattamento dei dati non rispettava i principi di necessità e proporzionalità in quanto alcune tipologie di documenti caricati sulla piattaforma non apparivano idonee e quindi necessarie al fine di attestare l’affidabilità o, più nel complesso la reputazione, di un determinato soggetto;
  • infine le misure di sicurezza elaborate non si dimostravano idonee a proteggere la ingente mole di dati trattati dalla piattaforma online e nell’ambito dell’archivio informatico e i tempi di conservazione di tali dati non apparivano in linea con le indicazioni del Codice privacy.

Le evidenziate criticità hanno indotto il Garante a ritenere illecito il sistema presentato alla sua attenzione ma nel provvedimento il Garante svolge due considerazioni di ordine più sistematico sulle quali è opportuno conclusivamente soffermarsi.

Il Garante nel provvedimento evidenzia, infatti, da un lato, che il sistema elaborato dai richiedenti la verifica preliminare appariva sprovvisto di una cornice normativa di riferimento e gestito da un soggetto non in possesso di adeguati requisiti di indipendenza e terzietà, sottolineando in proposito che: “[…] non può trascurarsi […] che gli altri sistemi di “accreditamento” riconosciuti attualmente dall’ordinamento derivano da previsioni di legge che ne individuano espressamente, salvo il rinvio a discipline più di dettaglio, le principali caratteristiche (v., ad esempio, il già citato “rating di legalità”, ovvero il “rating di impresa” di cui all’art. 83, comma 10 del d.lgs. n. 50/2016); ciò appare coerente, del resto, con l’obiettivo di rendere disponibili alla collettività strumenti di valutazione universalmente riconosciuti, in grado di fornire agli utenti, attraverso un avallo formale che ne stabilisca puntualmente i requisiti e i limiti, elementi di giudizio certi e oggettivi, nonché imparziali e affidabili ”.

E sotto altro e concorrente profilo il Garante, in maniera se possibile ancora più radicale, osserva in relazione al rispetto del principio di qualità dei dati come “[…] si nutrono perplessità, più in generale, sull’opportunità stessa di rimettere a un sistema automatizzato ogni determinazione in merito ad aspetti particolarmente delicati e complessi quali quelli connessi alla reputazione dei soggetti coinvolti. A prescindere, infatti, dall’oggettiva difficoltà di misurare situazioni, parametri e variabili non sempre agevolmente “classificabili” o “quantificabili”, occorre evidenziare che la suddetta (acritica) valutazione potrebbe fondarsi su atti, documenti o certificati viziati ex ante da falsità ideologica, ovvero caratterizzati da alterazioni materiali non facilmente riscontrabili da parte di pur esperti “consulenti” reputazionali (peraltro non esenti, contrariamente a quanto sostenuto, da pericoli di errore o tentativi di corruzione); con il rischio, neanche tanto remoto, di creare profili reputazionali inesatti e non rispondenti alla reale rappresentazione – e, quindi, all’identità personale, intesa anche quale immagine sociale […] − dei soggetti censiti. E ciò, a tacere del fatto che gli stessi interessati potrebbero non essere in condizione, per molteplici ragioni, di aggiornare tempestivamente i propri profili reputazionali, con evidenti, ulteriori ricadute in termini di effettiva qualità dei dati ”.

Considerazioni conclusive

Le considerazioni svolte dal Garante, da ultimo segnalate, proiettano il provvedimento in esame ben oltre i limiti suoi propri e non possono che indurre una riflessione più complessiva sui sistemi di rating reputazionale, in particolare online, sempre più elaborati e idonei ad incidere in profondità sui diritti dei soggetti interessati.

È opportuno affidare ad un algoritmo la valutazione della reputazione di un soggetto? È necessario introdurre dei correttivi o fissare dei paletti invalicabili per l’utilizzo di tali strumenti?

Poiché è impensabile vietare tout-court l’elaborazione e l’utilizzo di tali strumenti di rating che hanno preso piede nel mondo online, talvolta molto utili nelle transazioni a distanza (si pensi ai sistemi di valutazione delle maggiore piattaforme della sharing economy), occorre probabilmente pensare ad un intervento legislativo, come tra le righe suggerito dal Garante, che in maniera chiara individui i requisiti che in particolare, i soggetti “certificatori” devono indefettibilmente rispettare a tutela dei diritti dei soggetti interessati.  Requisiti potrebbero anche essere fissati per la costruzione degli algoritmi che sono alla base delle piattaforme online nella logica della privacy by design propria del regolamento europeo. Pensiamo ad un set di requisiti semplici, chiari e verificabili che potrebbe, inoltre, dare nuovo impulso a un settore già in forte crescita dando maggiori certezze agli operatori interessati. Il provvedimento segnalato rappresenta, con tutti i limiti del caso concreto, un primo significativo passo in questa direzione nell’auspicio che presto il tema rientri nell’agenda politica a livello europeo e nazionale.

 

Redatto il 17 gennaio 2017

Di Laura Liguori e Marco Bellezza

 

L’economista Jeremy Rifkin in un recente volume nel parlare di classifiche reputazionali e valute nei Commons osserva come “[…] tutte le maggiori reti sociali collaborative hanno istituito sistemi di valutazione reputazionale per classificare l’affidabilità dei loro membri. […] al pari dei servizi di valutazione finanziaria nel contesto dell’economia di mercato, i servizi di valutazione reputazionale nel Commons di Internet stanno diventando un importante strumento per regolare l’attività assicurare l’osservanza di norme condivise e creare fiducia sociale” (The zero marginal cost society”, edizione italiana “La società a costo marginale zero. L’internet delle cose, l’ascesa del commons collaborativo e l’eclissi del capitalismo”, pagg. 365 ss., Milano, 2016).

Ed è proprio su uno di tali strumenti che si è concentrata l’attenzione del Garante per la protezione dei dati personali, in seguito ad una richiesta di verifica preliminare presentata dai creatori del sistema di valutazione reputazionale in questione, in un provvedimento pubblicato nelle scorse settimane  che non mancherà di far discutere.

La piattaforma sotto la lente del Garante

Una ONLUS collegata ad alcune società di capitali italiane ha sottoposto al Garante privacy un sistema di valutazione reputazionale fondato su una piattaforma internet ed un archivio informatico. In particolare, gli associati alla ONLUS avrebbero potuto pubblicare sulla piattaforma web su base volontaria una serie di documenti idonei a comprovare la propria reputazione commerciale e a certificare, inoltre, taluni aspetti attinenti alla propria “sfera morale”. Tra i documenti caricabili figuravano, infatti, certificati rilasciati da enti pubblici (ad esempio quello relativo al casellario giudiziario), attestazioni relative alla moralità del soggetto, certificazioni tecnico-professionali e, infine, articoli di stampa o tratti da altre fonti relativi al soggetto in questione.

Suddetta documentazione sarebbe stata valutata da alcuni “esperti reputazionali” prima di essere pubblicata sulla piattaforma online.  All’esito del processo descritto un algoritmo avrebbe assegnato un punteggio sulla reputazione del soggetto considerato. Nell’ambito della piattaforma online vi sarebbe stata la possibilità di creare propri profili personali ma anche c.d. “profili contro terzi” attraverso i quali sarebbe stato possibile valutare l’affidabilità di soggetti non iscritti alla piattaforma (e quindi non associati alla ONLUS) sulla base di documentazione liberamente accessibile quali sentenze, decisioni di organi amministrativi, etc.  I terzi oggetto di valutazione avrebbero sempre potuto accedere alla piattaforma caricando altra documentazione idonea a fornire un quadro reputazionale completo.  Naturalmente sarebbe stato possibile recedere dalla piattaforma in qualsiasi momento e il recesso avrebbe determinato la cancellazione dei dati presenti sulla piattaforma online tranne che per quanto riguarda i dati dei “profili contro terzi” e i dati contenuti in una “black list” tenuta dalla piattaforma online.

Le criticità riscontrate dal Garante

Il Garante per la protezione dei dati personali con il provvedimento segnalato ha considerato complessivamente non conforme alla normativa vigente il sistema di rating reputazionale proposto dai richiedenti la verifica preliminare.
Nell’articolato provvedimento il Garante passa in rassegna le caratteristiche tecniche della piattaforma online e dell’associato archivio informatico e riscontra numerose criticità:

  • anzitutto il consenso prestato dagli interessati appariva non preceduto da un adeguata informativa e non libero in quanto l’adesione al sistema era pre-condizione per concludere contratti con altri appartenenti alla piattaforma e, per quanto riguarda i dati contenuti nei c.d. “profili contro terzi” il consenso di questi ultimi appariva necessitato dall’esigenza di contrastare la pubblicazione di documenti aventi una carica potenzialmente lesiva nei propri confronti;
  • il consenso rispetto ai “profili contro terzi” risultava del tutto assente e il trattamento dei dati di tali soggetti era sprovvisto di alcuna base giuridica alternativa che lo legittimasse;
  • il trattamento dei dati sensibili e giudiziari non era in linea con i principi di stretta pertinenza e indispensabilità richiesti dalle autorizzazioni generali del Garante per il trattamento di tali tipologie di dati;
  • il trattamento dei dati non rispettava i principi di necessità e proporzionalità in quanto alcune tipologie di documenti caricati sulla piattaforma non apparivano idonee e quindi necessarie al fine di attestare l’affidabilità o, più nel complesso la reputazione, di un determinato soggetto;
  • infine le misure di sicurezza elaborate non si dimostravano idonee a proteggere la ingente mole di dati trattati dalla piattaforma online e nell’ambito dell’archivio informatico e i tempi di conservazione di tali dati non apparivano in linea con le indicazioni del Codice privacy.

Le evidenziate criticità hanno indotto il Garante a ritenere illecito il sistema presentato alla sua attenzione ma nel provvedimento il Garante svolge due considerazioni di ordine più sistematico sulle quali è opportuno conclusivamente soffermarsi.

Il Garante nel provvedimento evidenzia, infatti, da un lato, che il sistema elaborato dai richiedenti la verifica preliminare appariva sprovvisto di una cornice normativa di riferimento e gestito da un soggetto non in possesso di adeguati requisiti di indipendenza e terzietà, sottolineando in proposito che: “[…] non può trascurarsi […] che gli altri sistemi di “accreditamento” riconosciuti attualmente dall’ordinamento derivano da previsioni di legge che ne individuano espressamente, salvo il rinvio a discipline più di dettaglio, le principali caratteristiche (v., ad esempio, il già citato “rating di legalità”, ovvero il “rating di impresa” di cui all’art. 83, comma 10 del d.lgs. n. 50/2016); ciò appare coerente, del resto, con l’obiettivo di rendere disponibili alla collettività strumenti di valutazione universalmente riconosciuti, in grado di fornire agli utenti, attraverso un avallo formale che ne stabilisca puntualmente i requisiti e i limiti, elementi di giudizio certi e oggettivi, nonché imparziali e affidabili ”.

E sotto altro e concorrente profilo il Garante, in maniera se possibile ancora più radicale, osserva in relazione al rispetto del principio di qualità dei dati come “[…] si nutrono perplessità, più in generale, sull’opportunità stessa di rimettere a un sistema automatizzato ogni determinazione in merito ad aspetti particolarmente delicati e complessi quali quelli connessi alla reputazione dei soggetti coinvolti. A prescindere, infatti, dall’oggettiva difficoltà di misurare situazioni, parametri e variabili non sempre agevolmente “classificabili” o “quantificabili”, occorre evidenziare che la suddetta (acritica) valutazione potrebbe fondarsi su atti, documenti o certificati viziati ex ante da falsità ideologica, ovvero caratterizzati da alterazioni materiali non facilmente riscontrabili da parte di pur esperti “consulenti” reputazionali (peraltro non esenti, contrariamente a quanto sostenuto, da pericoli di errore o tentativi di corruzione); con il rischio, neanche tanto remoto, di creare profili reputazionali inesatti e non rispondenti alla reale rappresentazione – e, quindi, all’identità personale, intesa anche quale immagine sociale […] − dei soggetti censiti. E ciò, a tacere del fatto che gli stessi interessati potrebbero non essere in condizione, per molteplici ragioni, di aggiornare tempestivamente i propri profili reputazionali, con evidenti, ulteriori ricadute in termini di effettiva qualità dei dati ”.

Considerazioni conclusive

Le considerazioni svolte dal Garante, da ultimo segnalate, proiettano il provvedimento in esame ben oltre i limiti suoi propri e non possono che indurre una riflessione più complessiva sui sistemi di rating reputazionale, in particolare online, sempre più elaborati e idonei ad incidere in profondità sui diritti dei soggetti interessati.

È opportuno affidare ad un algoritmo la valutazione della reputazione di un soggetto? È necessario introdurre dei correttivi o fissare dei paletti invalicabili per l’utilizzo di tali strumenti?

Poiché è impensabile vietare tout-court l’elaborazione e l’utilizzo di tali strumenti di rating che hanno preso piede nel mondo online, talvolta molto utili nelle transazioni a distanza (si pensi ai sistemi di valutazione delle maggiore piattaforme della sharing economy), occorre probabilmente pensare ad un intervento legislativo, come tra le righe suggerito dal Garante, che in maniera chiara individui i requisiti che in particolare, i soggetti “certificatori” devono indefettibilmente rispettare a tutela dei diritti dei soggetti interessati.  Requisiti potrebbero anche essere fissati per la costruzione degli algoritmi che sono alla base delle piattaforme online nella logica della privacy by design propria del regolamento europeo. Pensiamo ad un set di requisiti semplici, chiari e verificabili che potrebbe, inoltre, dare nuovo impulso a un settore già in forte crescita dando maggiori certezze agli operatori interessati. Il provvedimento segnalato rappresenta, con tutti i limiti del caso concreto, un primo significativo passo in questa direzione nell’auspicio che presto il tema rientri nell’agenda politica a livello europeo e nazionale.

 

Redatto il 17 gennaio 2017

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Diritto /

Diritto all’oblio nel revenge porn

Newsletter Abbonamenti