provvedimento areti

Rating selvaggio: perché la privacy è questione di libertà oltre che di diritti dei consumatori

La multa del Garante privacy a una società di distribuzione di energia elettrica, rea di non aver aggiornato e gestito adeguatamente i dati personali dei suoi utenti, mette in luce i rischi per le persone dei trattamenti di rating e il perché la privacy è una normativa a tutela anche del consumatore e degli spazi di libertà

Pubblicato il 22 Feb 2023

Guido D'Ippolito

Dottore di ricerca in "Diritto dell'economia e dei consumatori"

privacy

Con provvedimento del 24 novembre 2022 (doc. web n. 9832979), il Garante per la protezione dei dati personali ha irrogato una sanzione pecuniaria di un milione di euro ad una società di distribuzione di energia elettrica per non aver tenuto conto di uno dei principi basilari del corretto trattamento di dati personali, il principio di esattezza del dato. Conseguentemente, non ha consentito ai suoi utenti, interessati del trattamento, di esercitare il diritto di rettifica, strumento diretto ad ottenere dati corretti e corrispondenti alla realtà.

Maxi-multa ad Areti, Scorza: “Ecco i danni socio-economici di un errato trattamento dei dati”

Se un utente viene qualificato come “moroso” senza esserlo più: gli effetti

Il caso è il seguente. Un utente, qualificato come debitore “moroso” dalla società distributrice di energia elettrica, aveva successivamente provveduto a saldare quanto dovuto ma tale pagamento, seppur registrato dalla società, non ha comportato un aggiornamento della sua condizione e l’utente è rimasto qualificato come “moroso”.

In seguito al suo reclamo, il Garante ha così accertato che, a causa di una serie di errori tecnici ed applicativi nei sistemi della società, la stessa, dal dicembre 2016 al gennaio 2022, ha attribuito al reclamante e ad altri 16mila utenti una condizione di morosità non corrispondente al vero.

Tale erronea qualificazione ha prodotto alcuni pregiudizi tra cui l’impossibilità di cambiare gestore perché, in base alla normativa, l’attribuzione della qualifica di moroso consentiva ai nuovi fornitori di energia di negare l’attivazione presso gli stessi di nuove forniture di energia elettrica (nel provvedimento il Garante ha accertato il mancato perfezionamento, per esercizio del diritto di revoca del venditore entrante, di circa 47mila richieste di “switching”), oltre a pregiudizi di natura economica derivanti dalla perdita del potenziale risparmio derivante dal passaggio a nuovo operatore.

Dal punto di vista della normativa europea sulla privacy, il Regolamento UE 2016/679 (in seguito, anche, “Regolamento” o “GDPR”), tale comportamento implica la violazione del principio di esattezza del dato, di cui all’art. 5, par. 1, lett. e), GDPR, oltre che il mancato rispetto dei tempi di conservazione dei dati e il generale principio di accountability.

Al di fuori del caso concreto, tale provvedimento acquisisce interesse generale perché mette ben in luce i rischi di uno scorretto trattamento di dati personali e, in particolare, le conseguenze di trattare dati inesatti ed obsoleti che portano a danni diretti per gli utenti.

È un provvedimento di estrema importanza per le osservazioni che si possono fare in tema di qualità dei dati e con riferimento ai trattamenti di “rating” o “scoring”, ossia quei trattamenti diretti ad attribuire una qualifica, un punteggio o comunque altro elemento utile ad esprimere un giudizio sulla persona e la sua “reputazione”, nonché sulle conseguenze di tale attribuzione.

Il mancato aggiornamento della qualifica attribuita all’utente, al quale è rimasta associata una reputazione negativa, ha infatti limitato le sue possibilità. L’attribuzione di un dato vecchio, non aggiornato, non esatto perché non più corrispondente al vero ha di fatto bloccato l’utente in una condizione pregiudizievole.

Quest’ultimo, tramite l’esercizio dei suoi diritti, ha provato a rientrare in controllo dei propri dati per modificare il suo status ma la società non ha mai risposto adeguatamente in quando aveva sviluppato un sistema di gestione delle informazioni che non consentiva un idoneo trattamento dei dati personali dei suoi utenti.

La conseguenza è che l’utente si è trovato costretto in una condizione non vera, che gli ha precluso una serie di possibilità e vantaggi e, soprattutto, produttiva di un danno. Danno derivante dall’ingiustificata distinzione della sua posizione rispetto a quella della generalità degli utenti del servizio.

Ecco quindi che si evidenziano i principali rischi di trattamenti di profilazione in generale e di rating nello specifico: oltre ai danni economici, si ha la limitazione della libertà dell’utente che rimane vincolato dall’attribuzione di informazioni non corrette e che gli impediscono di svolgere attività o esercitare diritti.

In ultima analisi, il rischio più grande di trattamenti di rating scorretti è il subire e il perpetrare discriminazioni sociali.

I trattamenti di rating reputazionale e social scoring

Il provvedimento appena menzionato acquisisce rilievo, da un lato, perché mette in luce una tutela “pratica” e “consumeristica” della protezione dei dati personali, in quanto garanzia dell’interessato del trattamento o utente, dall’altro perché rende evidente come strutturare il trattamento dei dati in modo corretto è molto più di una tutela al consumatore, bensì una tutela della persona e dei suoi spazi di libertà.

Si tratta di un provvedimento che mette in luce i rischi dei sistemi che implicano una valutazione della persona (rating o scoring) in termini di affidabilità e “reputazione” della stessa in un certo ambito. Tali trattamenti producono un punteggio, una valutazione, un’etichetta o status attribuito all’utente (nel caso specifico quello di utente moroso) dal quale derivano conseguenze pratiche anche rilevanti ed effetti giuridici, positivi o negativi a seconda del punteggio assegnato.

I trattamenti di rating ben possono essere connessi a valutazione automatizzate, ossia una valutazione sulla persona posta in essere per tramite di un algoritmo o altro sistema informatico. In casi come questi è chiaro che se la valutazione sulle persone venisse effettuata da algoritmi o, ancora, da sistemi di intelligenza artificiale, al di fuori di qualunque supervisione umana, i rischi aumenterebbero di pari passo al grado di complessità del trattamento. Rischi che possono andare dal mancato accesso a un bene o servizio, all’impossibilità di esercitare attività o diritti fino a vere e proprie discriminazioni sociali.

Ecco perché il controllo di trattamenti così invasivi quali quelli di rating o scoring è da sempre un tema centrale per la protezione dei dati personali.

Proprio perché consentono valutazioni anche delicate sulla vita delle persone, foriere di vantaggi come di pregiudizi, i trattamenti di rating devono attenersi strettamente alla norme del GDPR nonché a quelle previste nel “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, approvate dal Garante privacy il 6 ottobre 2022, proprio per stabilire le regole per garantire l’esattezza e la qualità dei dati raccolti e analizzati.

Inoltre, altra norma centrale in tutti quei casi in cui ci sono valutazioni automatizzate o decisioni basate unicamente sul trattamento automatizzato produttivo di impatti significativi sulla persona è l’art. 22 del GDPR. La norma trova applicazione non solo nei trattamenti di rating ma, in generale, nelle analisi svolte da algoritmi o sistema di AI altamente impattanti sulla persona, compresi i trattamenti di profilazione. Per aumentare la tutela della persona dinanzi questi trattamenti capaci di “decidere” sul loro futuro, l’art. 22 individua come garanzie ulteriori per l’utente il diritto di esprimere la propria opinione, di contestare la decisione dell’algoritmo e di chiedere l’intervento umano nella sua valutazione.

Proprio per queste caratteristiche, la norma è stata considerata la disciplina “fondamentale” o “primordiale” della regolazione dei sistemi di intelligenza artificiale.

I trattamenti di rating sono in realtà più comuni di quanto si pensi, specie nei settori imprenditoriali come quello della fornitura di energia elettrica (credit scoring), e possono avere livelli di rischio diversi. Non è un caso quindi se anche la proposta di regolamento europeo sull’Intelligenza Artificiale (AI Act) propone il divieto di attività di rating e scoring per fini generali.

Credit scoring: cos’è, come funziona, quali sono i rischi e le tutele

Trattamenti di rating e interventi del Garante privacy

I rischi dei trattamenti di rating illeciti non si limitano a danni di tipo economico ma si risolvono in vere e proprie discriminazioni sociali, di per sé odiose, che possono diventare complesse da ostacolare, modificare o risolvere soprattutto se il trattamento è svolto da algoritmi e sistemi di AI.

Del concretizzarsi di tali rischi se ne legge sempre più frequentemente sulla stampa: dall’avvocato considerato “ospite non gradito” e al quale un sistema di riconoscimento facciale ha impedito l’accesso a un concerto di Natale, al calcolo del merito per l’accesso a finanziamenti, mutui, assicurazioni e servizi sociali, fino ad algoritmi per il calcolo della probabilità di “recidiva” che, specie nei processi giudiziari americani, hanno prodotto condanne più pesanti per persone di colore o appartenenti ad altre minoranze, o sistemi di selezione del personale che discriminano sulla base del genere.

I danni prodotti da queste tecnologie derivano proprio da una scarsa qualità dei dati e delle informazioni che sono alla base delle decisioni. Servirsi di dati di scarsa qualità vuol dire trattare come affidabili dati obsoleti ed errati che, in quanto tali, andrebbero aggiornati o cancellati, oppure dati non neutrali e che quindi sono portatori di pregiudizi (bias) che il processo valutativo, tanto più se automatizzato, perpetua e amplifica.

Nel corso degli anni il Garante ha avuto modo di esaminare diversi trattamenti di rating e di bloccare quelli svolti illecitamente tanto da poter affermare che il lavoro “quotidiano” del Garante per la protezione dei dati personali è sempre più quello di vietare quei trattamenti che minacciano la persona, la sua dignità e i suoi spazi di libertà.

Il primo e importante intervento del Garante sul tema è quello nei confronti della piattaforma di rating reputazionale della società Mevaluate (prov. n. 488 del 24 novembre 2016, doc. web n. 5796783). Nel rilevare che: «Il rating da questo elaborato potrebbe ripercuotersi pesantemente sulla vita (anche privata) degli individui censiti, influenzandone scelte e prospettive e condizionando la loro stessa ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici» il Garante ha ritenuto illecita la costituzione di siffatta piattaforma. Ciò anche in considerazione della violazione del principio di qualità dei dati dovuta al fatto che gli atti, i documenti o certificati posti alla base della valutazione sulla persona potevano essere viziati ex ante da falsità ideologica o caratterizzati da alterazioni materiali non facilmente riscontrabili, con il rischio di creare profili reputazionali inesatti e non rispondenti alla reale rappresentazione – e, quindi, all’identità personale, intesa anche quale immagine sociale − dei soggetti censiti.

Tale controversia è arrivata fino alla Corte di Cassazione che, con sentenza n. 14381 del 25 maggio 2021, nel confermare la lesività del trattamento e il blocco disposto dal Garante, ha ribadito l’importanza di un’adeguata trasparenza e informazione sulle caratteristiche dell’algoritmo.

Altri trattamenti analizzati dal Garante, in questi casi posti in essere tramite valutazioni interamente automatizzate e che ha visto l’applicazione dell’art. 22 del GDPR, sono quelli connessi alla gestione dell’attività lavorativa dei rider i quali ricevono direttive da appositi algoritmi. Questi, se progettati e sviluppati in modo scorretto, producono violazioni dei diritti dei lavori. Il Garante, al fine di individuare misure che impediscano utilizzi impropri o discriminatori dei meccanismi reputazionali, ha ribadito l’importanza di verificare l’esattezza e la pertinenza dei dati utilizzati dal sistema.

Con riferimento al monitoraggio del comportamento di persone su “larga scala”, un trattamento lato sensu valutativo lo si può avere anche tramite sistemi di sorveglianza biometrica. Nel parere sfavorevole sull’utilizzo del sistema di riconoscimento facciale “Sari Real Time” da parte del Ministero dell’interno (Parere n. 127 del 25 marzo 2021, doc. web n. 9575877), pensato per individuare automaticamente soggetti etichettati come ricercati dalle forze di polizia, il Garante ha rilevato che individuare con sistemi di videosorveglianza biometrica una persona oggetto di “attenzione” da parte della polizia vuol dire trattare l’indistinta comunità di persone come potenziali criminali e sottoporli a controllo. In tal senso: «il sistema in argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia; […] l’identificazione di una persona in un luogo pubblico comporta il trattamento biometrico di tutte le persone che circolano nello spazio pubblico monitorato, al fine di generare i modelli di tutti per confrontarli con quelli delle persone incluse nella “watch-list”. Pertanto, si determina una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui».

Le insidie dietro l’utilizzo delle nuove tecnologie sono quindi molte e, purtroppo, sembrano destinate ad aumentare nel futuro se si pensa alle più recenti indagini nei confronti di alcuni comuni italiani intenzionati ad adottare sistemi di “social scoring, ossia meccanismi di profilazione che producono una sorta di “cittadinanza a punti”: monitorando le azioni dei cittadini si possono, infatti, attribuire loro dei punteggi dai quali far discendere conseguenze giuridiche positive o negative; oppure può destare preoccupazione il fatto che sistemi di rating reputazionale sono ormai arrivati anche nelle scuole.

Tutti questi casi evidenziano così, in maniera chiara e semplice, i danni che possono derivare da un’errata valutazione dell’interessato: il vedersi attribuiti una qualifica o reputazione non veritiera può generare pregiudizi economici e discriminazioni sociali che si ripercuotono nel futuro della persona, come anche limitare la libertà della stessa che si ritroverà vincolata in uno status o condizione che non gli appartiene e che pregiudica il suo agire futuro. Rischi destinati ad aumentare vista la sempre più ampia disponibilità e facilità di utilizzo di algoritmi o sistemi di intelligenza artificiale.

È qui probabilmente il “futuro” delle persone il bene oggetto di tutela. Bene che acquisisce una certa importanza se riferito a soggetti minori di età.

Conclusioni

In conclusione, l’analisi di tali particolari trattamenti, caratterizzati da grandi vantaggi e opportunità ma che sono anche estremamente invasivi e rischiosi, se sviluppati scorrettamente sono forieri di situazioni negative non ammissibili in ordinamenti giuridici che hanno come centrale il rispetto della dignità della persona.

Proprio dinanzi tali trattamenti viene in luce l’utilità “pratica” della disciplina sul corretto trattamento dei dati personali e si comprende perché è importante che gli utenti siano correttamente informati su come sono trattati i loro dati e quali sono gli strumenti per averne il controllo.

Se la normativa sulla protezione dei dati personali è sempre più una disciplina che tutela gli spazi di libertà, crescita e sviluppo personale del singolo (e della collettività) – quindi, come si diceva, del suo libero agire in futuro – allo stesso tempo sarà evidente come il Garante per la protezione dei dati personali stia divenendo sempre più un’autorità a tutela dei diritti umani.

Tutela sempre più necessaria in una società governata da sistemi automatizzati che gestiscono ogni aspetto della vita umana e capaci di influenzarne scelte, azioni e possibilità: dal suggerimento di contenuti di interesse, all’acquisto di beni e svolgimento di qualunque attività (ricreativa, di studio, professionale, ecc.) sulle piattaforme digitali fino alla possibilità di esercitare diritti o accedere a servizi pubblici.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2