In una società libera non c’è spazio per la cittadinanza a punti
28 Giugno 2022
Giugno 28, 2022
Negli ultimi mesi abbiamo notato un crescente interesse delle Pubbliche Amministrazioni verso l’implementazione di strumenti (app e piattaforme) di tipo “premiale” per incentivare i cittadini ad assumere comportamenti ritenuti “virtuosi”.
Queste pratiche, ancora in fase di sperimentazione, comporteranno un trattamento di dati personali massivo dovuto al monitoraggio costante di coloro che decideranno di accedere ai programmi, che per ora sono su base volontaria.
Il nostro timore è che ciò che viene oggi descritto come un semplice sistema di incentivi possa invece assumere i connotati di un vero e proprio programma di “social scoring”, con valutazione sistematica dei comportamenti e processi decisionali automatizzati che potrebbero anche avere conseguenze giuridiche sui cittadini. L’assegnazione di un punteggio di merito, corredato dall’assunzione di decisioni automatizzate e – potenzialmente dall’utilizzo di intelligenza artificiale – è ai nostri occhi una seria minaccia ai diritti e libertà delle persone.
Dal punto di vista giuridico, questo tipo di trattamento di dati sfida la materia della protezione dei dati personali per carenza dei principi di proporzionalità e di limitazione delle finalità – oltre a porre questioni di legittimità in ordine alla base giuridica. Ad esempio, nel caso in cui si volesse utilizzare la base giuridica dell’interesse pubblico, le amministrazioni dovrebbero essere in grado di fondare il trattamento su un atto normativo chiaro, preciso e dall’applicazione prevedibile.
Con questo comunicato vogliamo rendere manifesta la nostra contrarietà a qualsiasi tentativo – pubblico o privato – diretto all’attivazione di progetti di “social scoring”, oltre che comunicare al pubblico le azioni che abbiamo già intrapreso per tutelare i diritti fondamentali dei cittadini riguardo ai progetti già in corso di sviluppo – in particolare nelle città di Roma, Bologna e Ivrea.
Alcuni approfondimenti sui sistemi in corso di sviluppo a Roma, Bologna e Ivrea |
Lo Smart Citizen Wallet a Roma |
Lo Smart Citizen Wallet a Bologna |
La piattaforma Smart Ivrea + Sorveglianza ed economia comportamentale: i casi di Venezia e Ivrea |
A partire dal mese di Aprile il dipartimento legale di Privacy Network ha inviato una serie di richieste di accesso civico generalizzato ai comuni di Roma, Bologna e Ivrea.
Abbiamo chiesto ai Comuni di illustrarci i processi e il trattamento di dati previsto e di condividere con noi la documentazione tecnica ad oggi disponibile, per ricevere garanzie o quantomeno rassicurazioni sul fatto che i progetti in oggetto fossero improntati al rispetto della normativa sulla protezione dei dati personali.
Nello specifico, abbiamo chiesto informazioni sulla natura dei dati coinvolti, sulle finalità e le basi giuridiche, sugli eventuali sistemi di profilazione dei cittadini, sull’uso di sistemi di intelligenza artificiale e sulla presenza o meno di processi decisionali automatizzati. Infine, abbiamo richiesto l’accesso ad ogni documentazione riguardante le valutazioni d’ impatto privacy, alle informative o policy interne e qualunque altra documentazione a supporto dei progetti.
Le risposte che abbiamo ricevuto, purtroppo, sono state prive di sostanza.
In un caso ci è stato comunicato che non era possibile dare riscontro alle nostre domande, in quanto il trattamento dei dati non era ancora stato realizzato; circostanza, questa, di per sé allarmante, dal momento che le valutazioni sulla protezione dei dati personali dovrebbero essere fatte proprio prima di iniziare il trattamento.
In un altro caso ci è stata fornita solamente una copia dell’informativa privacy, con la promessa di ulteriori approfondimenti, mai pervenuti. Mentre, un’altra richiesta risulta tuttora pendente.
Dal contenuto e tenore delle risposte emerge dunque la totale assenza di consapevolezza circa gli obblighi imposti dalla normativa di settore e una scarsissima cultura della privacy all’interno delle pubbliche amministrazioni interessate.
Rivolgendoci al Comune di Bologna, con una lettera formale al Data Protection Officer, al Segretario generale e al Direttore generale dell’ente, abbiamo espresso la nostra forte preoccupazione per lo stato dell’arte emerso a seguito delle istanze di accesso. Con la medesima lettera, Privacy Network si è anche offerta di fornire, nei limiti dei propri mezzi e del proprio ruolo, il supporto necessario ad intraprendere i passi giusti.
Nel frattempo, il Garante per la Protezione dei Dati, l’8 Giugno 2022, ha comunicato in via ufficiale l’apertura di un’istruttoria motivata dai “rischi connessi a meccanismi di profilazione che comportino una sorta di “cittadinanza a punti” e dai quali possano derivare conseguenze giuridiche negative sui diritti e le libertà degli interessati, inclusi i soggetti più vulnerabili”.
I timori del Garante sono pienamente in linea con i nostri.
Purtroppo, le risposte delle amministrazioni coinvolte non fanno che alimentarli: è ancora diffusa l’idea che progetti così sperimentali e pericolosi possano essere intrapresi senza mettere la protezione dei dati personali e dei diritti delle persone al centro degli stessi; senza alcuna valutazione del rischio, nessuna analisi sulla base legale, né alcuna valutazione della proporzionalità dei trattamenti rispetto alle finalità definite.
Il dato più rilevante è la scarsissima attenzione al tema della trasparenza: esclusi i roboanti proclami e le belle parole, non sappiamo nulla o quasi sul sistema di gestione dei dati che ne deriverà, né abbiamo elementi per comprendere le logiche di decisione dei sistemi algoritmici che verranno utilizzati. Le Pubbliche Amministrazioni interrogate non sono state in grado di dimostrare il loro impegno nella tutela della privacy e dei diritti delle persone nello sviluppo di questi sistemi.
Rinnoviamo quindi il nostro appello per un dialogo istituzionale serio e profondo sulle implicazioni e sugli effetti dei sistemi di social scoring, ma riteniamo che per farlo si debba necessariamente partire dalle indicazioni dell’Unione Europea, che si è già pronunciata sull’argomento.
La proposta di Regolamento sull’Intelligenza Artificiale (AI Act) include i sistemi di social scoring tra le tecnologie che comportano un rischio molto elevato per i diritti delle persone, dal quale derivano severe limitazioni al loro utilizzo. Una presa di posizione forte, che è frutto di una valutazione sui possibili effetti dirompenti di queste tecnologie, come discriminazione, sorveglianza di massa e censura di alcuni comportamenti.
Non possiamo ignorare la grande pericolosità di questi sistemi, che a nostro avviso non dovrebbero trovare alcuno spazio in una società libera.
Infine, vale anche la pena considerare che se i sistemi proposti dai comuni di Roma, Bologna, Ivrea rientreranno nei parametri vietati dall’IA ACT, dovranno in ogni caso essere dismessi una volta approvato il regolamento europeo, con inevitabile e gravissimo spreco di denaro pubblico.
Per cui, è davvero difficile riuscire a comprendere, anche da questo punto di vista, la ragione delle recenti fughe in avanti da parte di alcune Pubbliche Amministrazioni italiane, nonostante la chiara direzione politica intrapresa dalle istituzioni europee e dalla società civile, che da tempo dibatte sull’argomento – come anche noi facciamo da anni in Italia.
È quanto mai urgente una riflessione aperta e condivisa su questi temi, per mettere in luce quali sono i potenziali rischi discriminatori di questa tecnologia, per rendere gli attori coinvolti davvero consapevoli delle possibili conseguenze.