Sotto la lente del Garante per la Protezione dei Dati Personali diversi enti locali che stanno mostrando un interesse crescente per iniziative basate su soluzioni di tipo premiale che fanno ricorso a meccanismi di scoring associati a comportamenti “virtuosi” del cittadino in diversi settori (ambiente, fiscalità, cultura, mobilità, sport).
Le istruttorie avviate dall’Autorità, sia d’ufficio sia su segnalazione, riguardano una serie di progetti promossi da soggetti pubblici e privati, che prevedono l’assegnazione di punteggi anche riguardo a raccolte di dati conferiti “volontariamente” dagli interessati.
Cos’è il social scoring
Con il termine di “social scoring” (credito sociale) si identificano quelle iniziative create al fine di sviluppare un sistema per classificare la reputazione dei propri cittadini.
Tali sistemi assegnano ad ogni cittadino un punteggio, rappresentante il suo “credito sociale”, sulla base di informazioni riguardanti la condizione economica e sociale di ogni singolo cittadino.
Ovviamente tali sistemi (imposti unilateralmente dall’alto) appartengo a regimi non propriamente democratici; tuttavia, anche nel nostro paese alcuni Enti locali hanno iniziato ad avvalersi di tali sistemi seppure solo su base volontaria.
Di seguito si passano in rassegna i progetti e le iniziative oggetto dell’istruttoria dell’Autorità.
Il c.d. “Progetto Pollicino”
Un’istruttoria appena avviata riguarda il c.d. “Progetto Pollicino” .
Si tratta di un’indagine statistica a carattere sperimentale – promossa dalla Fondazione per lo sviluppo sostenibile, dal Ministero della transizione ecologica e dal Ministero delle infrastrutture e della mobilità sostenibili – attraverso la quale il cittadino viene invitato a condividere i propri dati (apparentemente “in forma anonima”), per consentire un’analisi della mobilità.
Al termine dell’indagine, è previsto che il cittadino riceva premi offerti dai partner privati del Progetto.
L’indagine interesserà per primo il Comune di Bologna.
L’Autorità ha quindi richiesto chiarimenti alla Fondazione, al Comune di Bologna e ai Ministeri interessati per conoscere, in particolare, il ruolo dei soggetti pubblici e privati coinvolti, la base giuridica del trattamento, le modalità di funzionamento del sistema dell’app e i trattamenti ad essa connessi.
L’iniziativa “smart citizen wallet”
Un’altra istruttoria recentemente avviata su temi analoghi ha riguardato l’iniziativa “smart citizen wallet” del Comune di Bologna, nell’ambito della quale è previsto che i cittadini possano aderire su base volontaria ad un sistema che consente di accumulare “crediti” all’interno del proprio “wallet” (portafoglio), da spendere accedendo ad una serie di premi/incentivi messi a disposizione dal Comune e da partner accreditati (https://corrieredibologna.corriere.it/bologna/politica/22_marzo_29/bologna-patente-digitale-cittadini-virtuosi-punti-premi-un-app-tutti-servizi-5a861258-af3a-11ec-9372-638361423a51.shtml).
La c.d. “carta dell’assegnatario”
In precedenza, il Garante si è occupato di un progetto avviato dal Comune di Fidenza, che aveva introdotto, con proprio Regolamento, la cosiddetta “carta dell’assegnatario” degli alloggi di edilizia residenziale pubblica.
Anche in questo caso, è previsto un meccanismo di scoring associato al comportamento tenuto dagli assegnatari degli alloggi, attraverso un sistema di punteggio finalizzato al riconoscimento di benefici e sanzioni, inclusa la risoluzione e/o la decadenza del contratto di locazione, con possibili conseguenze pregiudizievoli in capo a categorie di soggetti vulnerabili.
Necessità della DPIA e ulteriori attività
Nel richiamare tutti gli enti locali a valutare con la massima attenzione eventuali future adozioni di progetti di “social scoring” o sue derivazioni, il Garante ribadisce la necessità che queste iniziative siano sempre e comunque anticipate da puntuali valutazioni di impatto e rispettino i principi fondamentali del Regolamento Ue.
Infatti, quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati.
I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.