“Mevaluate” è una “piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche”. In termini meno burocratici, vuole essere l’arbiter della reputazione di persone e società, attraverso l’elaborazione di una serie di dati e la produzione di un giudizio sintetico sull’affidabilità del soggetto esaminato. Il Garante è rimasto ben meno che impressionato dall’idea e ha emesso un provvedimento negativo che di fatto fa cessare ogni velleità di prosecuzione dell’attività, almeno in Italia.
In questo caso si intrecciano vari argomenti ed opposte problematiche. La raccolta di dati su terzi ignari; la schedatura di massa; l’assenza di un consenso; la pretesa terzietà (o assenza di essa) in capo a chi organizza il servizio; l’insindacabilità di un giudizio “reputazionale” – qualsiasi cosa ciò significhi –. Tutti questi fattori, visti nell’ottica della protezione dei dati personali, sono chiaramente una pietra al collo per qualsiasi iniziativa simile.
Dall’altro lato, però, ci si chiede molto più prosaicamente: ma se la stessa attività la facesse, per nominarne uno, Google, in USA, cosa succederebbe? I risultati sarebbero gli stessi? I pesi che l’operatore dovrebbe subire? Ci si chiede per quale ragione, in un mondo globalizzato, in cui Internet nega (quasi) ogni confine, un europeo dovrebbe essere costretto a sentire il peso di una legislazione particolarmente protettiva (per altri), quando dall’altra parte dell’Oceano è tutto free range, pascolo libero?
Tempi del Garante
E dire che questi signori di Mevaluate hanno fatto le cose per benino e hanno chiesto il permesso del Garante. Già qui si rileva qualcosa di distonico: tra la richiesta e il parere sono trascorsi quasi diciotto mesi. In realtà, però, i mesi sono di meno, in quanto il Garante aveva già trasmesso, si rileva, un parere preliminare. Effettivamente però il problema del tempo che il Garante impiega a dare un parere e la necessità di ricorrere allo stesso prima di iniziare il trattamento (e dunque l’attività) è un bel freno. È capitato anche a persone che assisto, le quali non hanno potuto iniziare un’attività di raccolta di dati biometrici per quasi un anno, anche se di fatto le osservazioni del Garante alla fine si sono limitate a richieste di chiarimenti. In un mondo che sempre di più si basa sul trattamento di dati, quasi sempre dati personali, ciò è un freno all’innovazione e uno svantaggio competitivo che, come il livello di tassazione, potrebbe scoraggiare molti imprenditori dall’iniziare un’attività nel continente e spostarsi, per testare e lanciare un prodotto, laddove la legislazione è più rilassata, per poi tentare l’avventura da noi.
Tuttavia, se si notano le osservazioni del Garante, è difficile non essere d’accordo sul fatto che qualche problema non solo questa attività, ma qualsiasi attività di raccolta dati per la creazione di profili reputazionali è molto, molto pericolosa e dovrebbe essere se non impedita, pesantemente regolamentata. Se anche qualcuno potrebbe pensare “tanto non ho niente da nascondere” per cui la privacy è un orpello inutile, provi questa persona a vedersi negato un posto di lavoro, un fido bancario, l’ammissione del figlio a una scuola privata sulla base di informazioni, magari pure sbagliate, raccolte da terzi e valutate alla carlona. Come sempre, la ragione non sta da una parte sola.
Neoluddismo?
Non si tratta qui solo di esaminare la possibile scarsa qualità dell’attività proposta da Mevaluate (su cui pure nutro dubbi, ma è un altro paio di maniche). Il problema è più generale. Investe, come aveva già accennato Alfonso Fuggetta, il se e il come si possa esercitare un’attività il cui oggetto è la raccolta di dati e l’estrazione di informazioni sintetiche. O peggio, come nel caso in esame, l’attività consiste in giudizi in tutto o in parte automatizzati. Il che è poi ciò che offrono società che offrono il rating creditizio delle persone.
L’assenza di un chiaro e rassicurante quadro normativo, al di fuori della generica legislazione di protezione, è infatti presa dal Garante come un elemento non secondario per considerare non consentito il trattamento. Né questo, né un altro simile. Esiste una via d’uscita? Industrie stabilite come il giornalismo, le attività investigative, il direct marketing, hanno trovato un conforto sul lato normativo grazie all’adozione di codici di deontologia. Ma chi non ha un’industria con rappresentati, lobbisti, associazioni di categoria, eccetera, come fa? Come creare un codice di condotta per un’attività che ancora non esiste? Può il legislatore, anche quello “deontologico”, normare ogni e possibile nuova attività nel momento in cui nasce?
Ciò creerebbe una specie di neoluddismo che è deleterio, in parte, per gli stessi diritti che si vorrebbero tutelare. Privilegerebbe l’industria “brick & mortar” rispetto agli innovatori di territori inesplorati, con risultati paradossali.
E si tratta di un paradosso non da poco: non può nascere un’industria perché non esiste un quadro normativo. Non può nascere un quadro normativo senza un’industria, perché nessuna legislazione può ragionevolmente nascere in vitro. Allora il meccanismo è che arrivano i barbari, creano il mercato perché non si fanno tanti problemi, mettono il legislatore davanti a un fait accompli. Uber-style. Per smania di troppa regolamentazione, si crea una de-regolamentazione nei fatti, seguita da una de-regolamentazione vera e propria, seguita da un sentimento di impunità che incoraggia, di fatto, a privilegiare l’atteggiamento aggressivo e oltre la legge (se non direttamente illegale).
Un po’ ciò che avvenne sul finire degli anni ’70 e primi anni ’80 del secolo scorso con l’avvento della televisione “commerciale”. Una legislazione monopolistica assurda e antiquata venne più volte sfidata dalle TV libere. Il sistema reagì duramente con l’intervento di alcuni “pretori d’assalto” che per qualche anno misero a tacere ogni velleità e restaurarono l’ordine previgente. Fino a che un palazzinaro ignoto ai più non si reinventò nel settore e creò ciò che ora è riconosciuto come un “patrimonio della nazione”. Come andò a finire lo sappiamo, intervenne l’allora Presidente del Consiglio e prese atto che non si poteva andare avanti con la strategia del gatto e del topo, e che i tempi erano maturi. Così dal monopolio si passò di fatto al duopolio.
Sviluppi futuri
Come noto, è stato approvato e sta per entrare in pieno vigore un regolamento europeo sulla protezione dei dati personali, che sostituisce la Direttiva, anche se non abolisce espressamente il Codice sulla protezione dei dati personali. Tale novità normativa è destinata a modificare in parte la situazione, in quanto istituisce un principio di unitarietà delle decisioni dei Garanti europei (one stop shop), in modo che chi voglia stabilirsi in Europa non debba fare il giro delle sette parrocchie per ottenere le autorizzazioni e i pareri necessari, ma potrà rivolgersi a quello dello Stato Membro di principale stabilimento. Ciò semplificherà la vita agli operatori ed è facile prevedere un maggiore “turismo” intra-europeo per accedere al Garante più “amichevole”, il che non è necessariamente un male, essendo possibile una limitata concorrenza regolatoria, che potrebbe essere benefica. Ricordiamo comunque che i Garanti europei si consultano regolarmente in una “working party” istituita dall’art. 29 dell’abolita direttiva.
Inoltre, con il Regolamento, l’obbligo di segnalazione preventiva (quella che ha portato al provvedimento in esame) viene abolito, per cui si instaurerà un principio di autovalutazione e semmai di controlli a valle, più in linea con un’economia in rapida evoluzione. Il che va nella direzione auspicata in questo articolo, nell’ottica della semplificazione e dell’incremento del time-to-market, anche se vi sarà una maggiore incertezza giuridica. In ciò i tempi del Garante, brevi rispetto a un giudizio ordinario, ma pur sempre non trascurabili, potrebbero ancora lasciare pendente a lungo tale incertezza, per cui si potrebbe tornare in molti casi a preferire un interpello preventivo.
Le incertezze non sono facilmente vincibili con il semplice esame della normativa. Si osservi ad esempio quanto è successo con l’inattesa dai più introduzione di un forte diritto all’oblio ante litteram, in quanto tale diritto verrà formalmente codificato solo dal Regolamento. Proprio il diritto all’oblio, generico e largamente discrezionale potrebbe essere una pietra d’inciampo, anche nei casi dubbi come quello di Mevaluate, che potrebbe – o meglio, avrebbe potuto, a questo punto – essere basato su informazioni coperte da diritto all’oblio all’insaputa dell’interessato.
Carlo Piana
