Cittadinanza a punti: per il Garante preoccupanti i meccanismi di scoring messi in atto da diversi enti locali

Sotto la lente del Garante per la privacy diversi enti locali che stanno mostrando un interesse crescente per iniziative basate su soluzioni di tipo premiale che fanno ricorso a meccanismi di scoring associati a comportamenti “virtuosi” del cittadino in diversi settori (ambiente, fiscalità, cultura, mobilità, sport).

Le istruttorie avviate dall’Autorità, sia d’ufficio sia su segnalazione, riguardano una serie di progetti promossi da soggetti pubblici e privati, che prevedono l’assegnazione di punteggi anche riguardo a raccolte di dati conferiti “volontariamente” dagli interessati.

Gli interventi dell’Autorità si sono resi necessari a causa dei rischi connessi a meccanismi di profilazione che comportino una sorta di “cittadinanza a punti” e dai quali possano derivare conseguenze giuridiche negative sui diritti e le libertà degli interessati, inclusi i soggetti più vulnerabili.

L’Autorità si riserva l’adozione di eventuali provvedimenti conseguenti ai risultati delle istruttorie in corso.

Un’istruttoria appena avviata riguarda il “Progetto Pollicino”, un’indagine statistica a carattere sperimentale – promossa dalla Fondazione per lo sviluppo sostenibile, dal Ministero della transizione ecologica e dal Ministero delle infrastrutture e della mobilità sostenibili – attraverso la quale il cittadino viene invitato a condividere i propri dati (apparentemente “in forma anonima”), per consentire un’analisi della mobilità. Al termine dell’indagine, è previsto che il cittadino riceva premi offerti dai partner privati del Progetto. L’indagine interesserà per primo il Comune di Bologna. L’Autorità ha quindi richiesto chiarimenti alla Fondazione, al Comune di Bologna e ai Ministeri interessati per conoscere, in particolare, il ruolo dei soggetti pubblici e privati coinvolti, la base giuridica del trattamento, le modalità di funzionamento del sistema dell’app e i trattamenti ad essa connessi.

Un’altra istruttoria recentemente avviata su temi analoghi ha riguardato l’iniziativa “smart citizen wallet” del Comune di Bologna, nell’ambito della quale è previsto che i cittadini possano aderire su base volontaria ad un sistema che consente di accumulare “crediti” all’interno del proprio “walletC (portafoglio), da spendere accedendo ad una serie di premi/incentivi messi a disposizione dal Comune e da partner accreditati.

In precedenza il Garante si è occupato di un progetto avviato dal Comune di Fidenza, che aveva introdotto, con proprio Regolamento, la cosiddetta “carta dell’assegnatario” degli alloggi di edilizia residenziale pubblica. Anche in questo caso, è previsto un meccanismo di scoring associato al comportamento tenuto dagli assegnatari degli alloggi, attraverso un sistema di punteggio finalizzato al riconoscimento di benefici e sanzioni, inclusa la risoluzione e/o la decadenza del contratto di locazione, con possibili conseguenze pregiudizievoli in capo a categorie di soggetti vulnerabili.

Nel richiamare tutti gli enti locali a valutare con la massima attenzione eventuali future adozioni di progetti di “social scoring” o sue derivazioni, il Garante ribadisce la necessità che queste iniziative siano sempre e comunque anticipate da puntuali valutazioni di impatto e rispettino i principi fondamentali del Regolamento Ue.

 

La redazione PERK SOLUTION

Garante Privacy e sussidi Covid-19: i dati dei beneficiari vanno protetti

La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita.
È quanto ha ribadito il Garante per la privacy nel sanzionare il Comune di Palermo per 40.000 euro per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.
Nel reclamo presentato al Garante, un cittadino lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid senza esserne autorizzato e visualizzare i suoi dati personali.
Per assistere gli utenti nella compilazione delle richieste di sussidi, il Comune si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT) che aveva accreditato ad usare la piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.
In base alla documentazione acquisita, l’Autorità ha accertato che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune e visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.
Il Comune aveva infatti rilasciato, di base, a ciascuna OpT un’unica utenza di accesso, che l’organizzazione faceva utilizzare a tutti i propri addetti. Qualunque operatore poteva così accedere ai dati di tutte le domande, anche presentate presso altri OpT e che avevano già completato l’iter previsto. La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.
Nello stabilire l’entità della sanzione l’Autorità, pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per circa due mesi.