Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"
Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.
Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.
Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.
L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.
Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.
Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.
Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.
Nelle vicende giudiziarie di grave entità l’interesse pubblico a conoscere le notizie prevale sul diritto all’oblio delle persone coinvolte.
Con questa motivazione il Garante privacy ha dichiarato infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale. L’uomo era stato coinvolto nel 2006 in un processo per corruzione e truffa, che nel 2012 si era concluso con sentenza di patteggiamento e pena interamente coperta da indulto.
Dopo essersi rivolto a Google invano, l’ex consigliere aveva presentato ricorso al Garante chiedendo la rimozione di alcuni url relativi all’indagine in cui era rimasto coinvolto, che apparivano nei risultati delle ricerche associate al suo nome. Secondo l’uomo, la permanenza in rete di tali notizie, risalenti a circa dieci anni prima e ormai prive di interesse, gli avrebbe causato un danno all’immagine, alla vita privata e all’attuale attività lavorativa, peraltro non più connessa ad incarichi pubblici.
In accordo con le Linee guida dei Garanti europei, l’Autorità ha sottolineato che sebbene il trascorrere del tempo sia la componente essenziale del diritto all’oblio, questo elemento incontra un limite quando le informazioni di cui si chiede la deindicizzazione siano riferite a reati gravi e che hanno destato un forte allarme sociale. Inoltre, nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, nel caso specifico meritava considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima. Oltre a ciò, alcuni url richiamavano la notizia in articoli relativi ad una maxi inchiesta sulla corruzione pubblicati fino al 2015 e la loro relativa attualità dimostra l’interesse ancora vivo e attuale dell’opinione pubblica.
Le postille a fine articolo non sono sufficienti. I diritti delle persone che chiedono di aggiornare i dati devono essere garantiti con una maggiore visibilità.
L’aggiornamento di un articolo online deve essere immediatamente visibile al lettore, sia nel titolo sia nella cosiddetta preview, l’anteprima del contenuto. Lo ha affermato il Garante privacy accogliendo parzialmente il ricorso di un uomo che, coinvolto in una vicenda giudiziaria quando rivestiva un ruolo pubblico, era stato poi scagionato.
L’uomo si era rivolto al Garante lamentando che la presenza in rete di “vecchie” informazioni arrecava un danno alla sua reputazione, personale e professionale, non corrispondendo a quanto realmente avvenuto, come dimostrato dalla successiva archiviazione del procedimento penale a suo carico. In particolare l’uomo non era soddisfatto dalle modalità adottate da un quotidiano online, che si era limitato ad inserire una breve nota alla fine di due articoli dei quali aveva chiesto l’aggiornamento.
Seppur ritenendo lecito il trattamento dei dati contenuti negli articoli presenti nell’archivio online del quotidiano, l’Autorità ha rilevato che il diritto della persona di ottenere l’aggiornamento delle informazioni che lo riguardano deve essere rispettato e, per salvaguardare l’attuale identità sociale della persona, le modifiche all’articolo devono essere effettive e non limitate ad una postilla poco visibile.
Non giudicando quindi adeguate le modalità scelte dall’editore, il Garante ha chiesto di rendere visibile, sia nel titolo che nelle preview, l’esistenza di sviluppi della vicenda: mediante, ad esempio, una nota accanto o sotto il titolo dell’articolo.
Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.
La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016) sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.
La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.
Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.
Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.
Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.
Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.
In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).
Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.
Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.
Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.
Secondo l’Authority gli attuali strumenti non sono in grado di tutelare adeguatamente gli abbonati da forme invasive e moleste di marketing telematico.
A seguito di innumerevoli interventi del Garante privacy, nonché della recente sentenza della Corte di Cassazione sulle c.d. telefonate mute, il Presidente del Garante privacy, Antonello Soro, ha nuovamente ribadito l’esigenza di tutelare in maniera più incisiva i cittadini nei confronti di pratiche commerciali telefoniche sempre più invasive della vita privata e della quiete domestica degli utenti. Il Registro delle Opposizioni, come strumento di contrasto alle telefonate indesiderate, non sembra infatti aver conseguito il risultato sperato. Pochi sono attualmente gli utenti iscritti rispetto al numero effettivo di utenze, limitate le condizioni di iscrizione (solo telefoni fissi presenti negli elenchi) e pressoché inesistenti le responsabilità in capo ai call center che, incuranti del Registro, continuano a contattare i numeri telefonici registrati.
Per rafforzare le tutele dei cittadini e responsabilizzare maggiormente i promotori di campagne pubblicitarie si prospettano due percorsi da seguire. Da un lato, il Garante puntualizza la necessità di riformulare la normativa in materia di telemarketing, ampliando il novero di utenze iscrivibili nel Registro delle Opposizioni, includendo tutta la telefonia fissa o mobile, anche se non iscritta negli elenchi. Ritiene inoltre auspicabile l’introduzione di un chiaro regime di responsabilità tra il soggetto che materialmente chiama il cittadino (di solito il call center) e l’azienda per conto della quale viene effettuata la chiamata. Dall’altro lato, sembra essenziale promuovere misure che aumentino il grado di consapevolezza degli utenti sulla gestione dei propri dati, sensibilizzando al contempo le stesse imprese, anche attraverso la previsione di piani di incentivazione a favore delle società “diligenti”.
Da ultimo il Garante evidenzia che una riforma delle regole di settore gioverebbe peraltro gli stessi call center. Infatti, incoraggiando i committenti di campagne pubblicitarie a selezionare call center qualificati e affidabili, si eviterebbe di penalizzare quanti nel settore operano correttamente, portando ad una generale riqualificazione dello stesso lavoro degli operatori.
NOTA: Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.
Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.
Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.
Il Garante privacy respinge il ricorso di un ex terrorista che chiedeva la deindicizzazione di pagine web in cui erano riportati gravi reati di cui si era macchiato tra la fine degli anni 70 e i primi anni 80.
Dopo aver finito di scontare la sua pena nel 2009, l’uomo si era rivolto a Google chiedendo la rimozione di alcuni url e dei suggerimenti di ricerca che vengono visualizzati dalla funzione di “completamento automatico”, grazie alla quale inserendo nome e cognome dell’interessato compariva la parola “terrorista”.
Non avendo Google dato corso alla richiesta, l’ex terrorista si è rivolto al Garante per la Protezione dei Dati Personali lamentando che la permanenza in rete di contenuti risalenti così indietro nel tempo e fuorvianti rispetto all’attuale percorso di vita, era causa di gravi danni dal punto di vista personale e professionale. Il ricorrente, sostenendo di non essere un personaggio pubblico ma un libero cittadino, reclamava quindi il diritto all’oblio.
L’Autorità ha respinto il ricorso sulla base del fatto che le informazioni di cui si chiede la deindicizzazione fanno riferimento a reati particolarmente gravi, che rientrano tra quelli indicati nelle Linee guida sull’esercizio del diritto all’oblio adottate dal Gruppo di lavoro dei Garanti privacy europei nel 2014, reati per i quali le richieste di rimozione devono essere valutate più severamente.
Il Garante ha inoltre sottolineato come nella fattispecie le informazioni abbiano assunto una valenza storica e segnato la memoria collettiva. Si tratta di una delle pagine più buie della storia italiana, della quale il ricorrente non è stato un comprimario, ma un vero e proprio protagonista. Inoltre, nonostante il lungo lasso di tempo trascorso dagli eventi l’attenzione del pubblico è tuttora molto alta su quel periodo e sui fatti trascorsi, come dimostra l’attualità dei riferimenti raggiungibili mediante gli stessi url.
Il Garante ritenendo quindi prevalente l’interesse del pubblico ad accedere alle notizie in questione, ha dichiarato infondata la richiesta di rimozione degli url indicati dal ricorrente ed indicizzati da Google.
Il provvedimento è pubblicato QUI.
Il Garante per la protezione dei dati personali ha pubblicato un’infografica volta a fare il punto sui provvedimenti che introducono per amministrazioni pubbliche e aziende l’obbligo di comunicare i casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti, incendi e altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.
Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante privacy ha adottato negli anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.
I casi e gli adempimenti previsti dai provvedimenti del Garante riguardano le aree della Biometria, delle Società telefoniche, delle Pubbliche Amministrazioni e del Dossier Sanitario Elettronico. Sono riassunti in una infografica che, con mere finalità divulgative, riassume i casi finora esaminati.
Accolto il ricorso di un utente italiano a cui Facebook non aveva concesso il blocco dei falsi profili realizzati a suo danno.
Facebook deve rispondere dei profili falsi creati sulla sua piattaforma offrendo collaborazione e trasparenza. Il Garante ha reso noto in questi giorni un provvedimento del febbraio scorso nel quale si pronuncia in relazione a un caso che contrappone un noto medico di Perugia a Facebook Ireland Ltd. Il ricorso, presentato dall’uomo nel novembre del 2015, ha origine da un tentativo di estorsione attuato sulle pagine del famoso social network.
Il medico era stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato”. Il criminale aveva creato un falso account utilizzando foto e dati personali del medico perugino e aveva tentato di ricattarlo minacciando di diffondere fotomontaggi osceni di stampo pedopornografico presso amici, conoscenti e colleghi. L’uomo, che non aveva ceduto al ricatto, si era rivolto a Facebook affinché provvedesse a eliminare i profili fake e a fornire tutte le informazioni utili a limitare nel più breve tempo possibile il danno d’immagine in atto.
Facebook, stando a quanto dichiarato dai legali dell’uomo, non avrebbe provveduto ad agire nel merito, non consentendo in modo soddisfacente e completo l’acceso ai dati richiesti. In particolare, avrebbe semplicemente reso disponibile tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perché indicati con codici, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network.
Il Garante ha pertanto stabilito che Facebook Ireland Ltd, che possiede le informazioni richieste dall’uomo, debba comunicare «in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome». Il social dovrà inoltre provvedere al blocco del falso profilo per agevolare le eventuali indagini volte a risalire all’identità dei responsabili del tentativo di estorsione.
Allo scadere dei trenta giorni stabiliti per adempiere alle richieste del Garante, Facebook avrà circa due settimane per presentare un’opposizione al tribunale di Perugia, pena una multa e una condanna fino a due anni di detenzione.
Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.
Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.
Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.
La Suprema Corte è intervenuta sul tema delle telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing: vietato turbare la serenità degli utenti con telefonate silenziose.
Con sentenza numero 2196 del 4 febbraio 2016, la Cassazione ha rigettato i ricorsi della società di informatica Reitek Spa e di Enel Energia contro un provvedimento del Garante Privacy che nel 2013 prescriveva a Enel Energia, ai sensi dell’art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali, l’adozione di tutte le misure, anche di carattere tecnico, atte a garantire che il sistema impedisse la reiterazione di “chiamate mute” vietando la possibilità di richiamare una specifica utenza per un intervallo di tempo pari almeno a trenta giorni.
Il provvedimento era stato emesso a seguito delle proteste di utenti che lamentavano la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore. Il fenomeno è dovuto ad un problema organizzativo da parte delle società che si occupano di effettuare telefonate commerciali. Gran parte di queste aziende si serve di un sistema di instradamento automatico di telefonate per mettere in comunicazione le singole utenze dei cittadini con gli operatori di call center addetti alla promozione di servizi e prodotti. A volte, tuttavia, il sistema automatico può indirizzare verso i call center un numero di chiamate superiore all’effettiva disponibilità degli operatori. Così il telefono del cittadino squilla, ma dall’altra parte non c’è nessuno.
La Corte ha appoggiato il Tribunale di Roma, che aveva rigettato il precedente ricorso ritenendo scorretta la modalità di trattamento del dato messa in atto dal sistema di telemarketing, in quanto tale modalità aveva mirato a ottimizzare il successo delle chiamate passate agli operatori facendo ricadere il rischio, e il disagio, della chiamata “muta” sui soli destinatari.
La Suprema Corte ha ricordato come sia stato più volte affermato che, ai sensi degli artt. 4 e 11 cod. della privacy, i dati personali oggetto di trattamento vanno poi gestiti rispettando i canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del loro utilizzo.
A nulle sono valse le motivazioni delle ricorrenti che lamentavano come solo una piccola percentuale di utenti fosse investita dal problema. Secondo la Corte, infatti, affermare – come fatto da Enel Energia – che una simile eventualità era collocabile, in base ad algoritmi di sistema tesi a minimizzare il fenomeno, in una percentuale del 3% “si palesa irrilevante”. Infatti, “l’obiezione non sposta i termini del problema, così come non li sposta il notarile rilievo di Reitek circa il minimale numero di segnalazioni di telefonate “mute” giunte al Garante, perché l’abuso era associabile alla prescelta modalità di chiamate multiple, che rendeva manifesto il ribaltamento del rischio del disagio esclusivamente sui destinatari”.
Per la Cassazione solo questo alla fine conta per considerare esorbitante il metodo di utilizzo del dato personale in rapporto all’interesse o ai diritti e alle libertà fondamentali delle persone coinvolte.
Rigettata anche la motivazione delle ricorrenti secondo cui il consenso al trattamento dei dati, in base all’art. 130, comma 3-bis, non è richiesto in chi sia iscritto negli elenchi degli abbonati ai servizi di telefonia e non abbia esercitato il diritto di opposizione con modalità semplificate e anche in via telematica, mediante iscrizione della relativa numerazione nell’apposito registro pubblico delle opposizioni (c.d. opt-out). In tal proposito, la Cassazione ha sottolineato che la norma di cui all’art. 130, comma 3-bis, va interpretata in coerenza con la direttiva comunitaria 2002/58-CE sull’e-privacy che consente l’opt-out per le chiamate con operatore, non mai invece per le chiamate automatizzate. In pratica, la norma comunitaria riguarda il marketing diretto, effettuato mediante l’uso del telefono con l’operatore, i sistemi automatici di chiamata che causano le “telefonate mute”, sono escluse dalla norma proprio perché in esse l’operatore manca.
-
Dal 2001 specializzato in diritto di Internet e dell'Informatica
-
Tutti i contenuti di questo blog sono sottoposti ad una licenza Creative Commons
