Con provvedimento n. 488 del 24 novembre 2016, il Garante Privacy ha preso in esame il caso di alcune società che avevano manifestato la volontà di implementare una piattaforma web finalizzata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche.
Il sistema determinerebbe l’elaborazione di un punteggio complessivo da assegnare agli interessati, c.d. “rating reputazionale”, sulla base del quale calcolare il grado di affidabilità nei rapporti socio – economici di soggetti quali appaltatori e subappaltatori, fornitori, aspiranti dipendenti, ecc. Ciò contribuirebbe allo sviluppo di “buone prassi” e, dunque, forme più diffuse di legalità.
Il processo di valutazione sarebbe basato innanzitutto sul caricamento volontario all’interno della piattaforma, da parte dei singoli utenti, di documenti (quali, ad esempio, certificati del casellario giudiziale, denunce, provvedimenti giudiziari, ecc…) valutati preliminarmente da parte di appositi “consulenti reputazionali” al fine di garantirne la genuinità e l’integrità. Concluse le operazioni di verifica, mediante un algoritmo matematico, la piattaforma provvederebbe ad assegnare ai singoli utenti il punteggio sopra indicato. Il sistema, tra l’altro, consentirebbe il trattamento di dati personali di soggetti non iscritti alla piattaforma. In tal caso esso verrebbe effettuato sulla base di quanto disposto dall’art. 24 co. I l. c) del codice privacy, utilizzando documenti ritenuti liberamente utilizzabili, come le sentenze.
Il Garante Privacy, nell’analizzare la legittimità del sistema in esame, ha innanzitutto evidenziato l’assenza di una libera manifestazione del consenso, in quanto i soggetti terzi sarebbero spinti ad aderire alla piattaforma per la sola finalità di contrastare gli effetti negativi derivanti da eventuali valutazioni avverse.
Parimenti, il trattamento effettuato sarebbe contrario ai principi di necessità e proporzionalità, in quanto il sistema provvederebbe ad una raccolta massiva di dati e documenti, riguardanti un numero di soggetti particolarmente elevato. Vi sarebbe poi il rischio di creare profili reputazionali inesatti e non rispondenti alla reale rappresentazione, vista la difficoltà di valutare in modo oggettivo parametri e variabili non quantificabili in modo oggettivo, o, addirittura, fondati su documenti viziati o alterati.
Le misure di sicurezza adottate, secondo il Garante, sarebbero del tutto inadeguate, essendo basate esclusivamente su sistemi di autenticazione debole e meccanismi di cifratura dei soli dati giudiziari. Del tutto ingiustificati sarebbero poi i tempi di conservazione ulteriori (dodici mesi dal recesso del singolo utente).
Ciò posto, il Garante per la protezione dei dati personali ha dichiarato illecita e dunque vietata qualsiasi operazione di trattamento effettuata ricorrendo alla piattaforma in esame così configurata.
