Pensieri d’estate: dato personale e valutazione soggettiva.
In questa quiete immobile d’Agosto mi sono preso dello snob.
Capita, anche perchè da tempo mi espongo su X/Twitter sia su temi tecnici, che mi competono, sia su temi differenti che rivelano tratti della personalità, idee, episodi di vita, fatti e circostanze che possono essere raccolti e messi in relazione gli uni con gli altri.
Ovviamente ho le spalle larghe e questo giudizio mi è scivolato addosso senza lasciare alcuna traccia, ma il fatto mi ha dato modo di appuntare un pensiero da sviluppare e ora mi pongo alcune domande.
Che un utente su Twitter (ora X) mi ritenga snob costituisce un dato personale?
Più in generale, una valutazione soggettiva è un dato personale?
Se lo è, posso esercitare i miei diritti su di essa, al pari di ogni altro dato personale, ad esempio, costringendo una persona che ho di fronte a condividere il suo personalissimo giudizio sulla mia persona?
Se non ottengo risposta, posso chiedere l’intervento del Garante e, dopo 30 giorni, in caso di rifiuto, posso aspettarmi una giusta sanzione per il mancato riscontro?
Posso eventualmente chiedere la rettifica del giudizio se, per ipotesi, non ritengo il dato corretto?
A prescindere dalle opinioni, come cambia la natura del dato soggettivo se è oggettivamente corretto oppure oggettivamente errato?
E se questo giudizio viene inavvertitamente diffuso, magari creando un danno, si configura un data breach?
E come cambia la natura del dato se la valutazione viene solo pensata, oppure se viene scritta o, ancora, se viene pubblicata online o salvata in un archivio strutturato?
Queste domande, volutamente un po provocatorie, non sono peregrine e trovano applicazione in una moltitudine di casi pratici: basta pensare a tutte le valutazioni espresse da datori di lavoro, head hunter, auditor, commissioni esaminatrici o insegnanti, medici e terapeuti, banche, assicurazioni, ecc.
Beh, intanto il dato valutativo solamente pensato è totalmente escluso dall’applicazione del GDPR, quindi non ha alcun senso parlarne.
Se la valutazione prende forma e viene scritta, potrebbe ancora essere priva di ogni implicazione purchè resti in un ambito di uso “domestico” e privato.
Ma se la valutazione prendesse forma in un ambito non domestico, quindi, professionale, lavorativo, istituzionale, oppure se confluisse in un archivio, tutto cambierebbe e l’applicazione del GDPR diventerebbe identica a quella di qualsiasi altro dato personale.
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
Dovere di gestione di un eventuale data breach
Inoltre sarebbe ovviamente necessaria anche una base di legittimazione e, in via preliminare, una informativa da rendere all’interessato.
Buona fortuna a chi ha sorvolato allegramente sulle implicazioni del trattamento di dati valutativi.
Tutte queste implicazioni associate ad un dato valutativo sono difficili da accettare principalmente per una ragione: il giudizio si riferisce ad una persona, ma ne coinvolge anche un’altra, il suo autore.
Il dato valutativo si riferisce a Tizio, che magari è un monellaccio, ma appartiene a Caio che ha formulato un proprio personalissimo parere.
Torna alla mente Čechov, Il giardino dei ciliegi e la fatidica richiesta di Lopachin: “Permettetemi di farvi una domanda, che cosa ne pensate di me?”
E, di fronte a questa pretesa di accesso ad un dato personale, Torfimov cofessa: “Penso, Ermolaj Alekseiè, che siete un uomo ricco e che diventerete presto milionario. Come nell'ordine della natura è necessaria la bestia feroce che mangia tutto ciò che incontra sulla sua strada, così sei necessario anche tu.”
Anche avendone dritto, a volte, certe domande è meglio non farle.
La questione è sorprendente anche sotto il profilo normativo.
Il vecchio Codice Privacy, prima dell’avvento del GDPR, prevedeva espressamente i “dati valutativi” (art. 8, comma 4)
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.
Oggi l’articolo 8 del Codice Privacy è abrogato e l’unico appiglio utile ci arriva in soccorso dalla definizione di dato personale contenuta nel GDPR: “«dato personale» : qualsiasi informazione riguardante una persona fisica identificata o identificabile”. La definizione comprende sicuramente ogni dato anche valutativo se è riferito ad una persona poichè il termine “qualsiasi” è indubitabilmente ampio ed inclusivo.
Anche il considerando 75 del GDPR ci parla di dati valutativi: (... n.d.r.)
I rischi per i diritti e le libertà delle persone fisiche … possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: ... in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali… .
Tuttavia, questi elementi non sono utili per sgomberare il campo da interpretazioni, forzature di parte e posizioni di comodo. In ottica intransigente e sistematica, ci sono abbastanza elementi per includere le valutazioni soggettive tra i dati personali ma, in ottica più maliziosa, si potrebbe anche sostenere l’esatto contrario.
Il garante è intervenuto sul tema in diversi momenti, sotto la vigenza di differenti norme e, quindi, ha modificato la propria posizione nel tempo. I recenti provvedimenti riguardano tuttavia situazioni troppo particolari per permettere di estrarre principi di carattere generale e per supportare una corretta interpretazione del dato valutativo.
Cercando meglio negli archivi è possibile trovare un testo, a mio parere, dirimente: WP 139. Quanto mi sento vecchio a ricordare questo testo che appare oggi una reliquia.
“Dal punto di vista della natura dell'informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona; può quindi includere informazioni "oggettive" come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni "soggettive" come opinioni o valutazioni.
Quest'ultimo tipo di informazioni rappresenta un'ampia parte del trattamento dei dati personali nei settori bancario, per la valutazione dell'affidabilità di chi richiede un prestito ("Tizio è un cliente affidabile") e assicurativo ("Tizio probabilmente non morirà presto"), o nel mercato del lavoro ("Tizio è un buon lavoratore e merita una promozione").
Perché l'informazione diventi un 'dato personale' non è necessario che sia vera o dimostrata.”
Personalmente mi basta. Fin dagli albori della data protection, dunque, questo concetto era perfettamente chiaro e le intenzioni del legislatore decisamente esplicite. Ad oggi il concetto permane e il fatto che il GDPR non preveda alcuna distinzione per i dati valutativi, ai miei occhi, pare una semplice conferma: è un elemento consolidato, acquisito, ormai integrato a nella definizione senza bisogno di richiami espliciti e senza necessità una previsione differenziata.
Registro comunque molti tentativi di sottrarre elementi valutativi al concetto di dato personale e temo che sarà necessario tornare sull’argomento, per fortuna non mancano certo le occasioni: si potrebbe sfruttare l’imminente revisione del GDPR e non mancano gli strumenti interpretativi grazie a chiarimenti ufficiali delle autorità Garanti, magari con un documento di indirizzo o un provvedimento a carattere generale.