L’annunciato piano digitale del Comune di Bologna punta sullo sviluppo del c.d. “gemello digitale” dei cittadini, ovverosia quella copia virtuale generata dall’estrazione di talune informazioni che certamente comporta il beneficio di accelerare taluni processi ma attrae il rischio di tutte quelle semplificazioni che ad esempio possono derivare dall’inevitabile clusterizzazione dei soggetti. E se l’obiettivo è lo sviluppo di un vero e proprio “Smart Citizen Wallet”, ovverosia un credito sociale per comportamenti virtuosi che consentono l’accesso a vantaggi dedicati, al momento previsti per lo più in formato di scontistica, l’entusiasmo dell’innovazione è stemperato da qualche timore sul piano operativo.
Infatti, non posso che sorgere alcune poco confortanti ombre che richiamano scenari alla Black Mirror. E per quanto possano essere conditi dal sapor bolognese, le rassicurazioni circa l’adesione volontaria al sistema di scoring attraverso la garanzia che il sistema sia “a prova di privacy” appaiono al momento poco soddisfacenti. Si potrà affermare che il sistema sia veramente conforme alla normativa in materia di protezione dei dati personali – e di conseguenza rispettoso dei diritti e delle libertà fondamentali dei cittadini – quando verrà diffusa la notizia circa l’esito della consultazione preventiva dell’Autorità garante per la protezione dei dati personali. Tale passaggio è fuor di dubbio un adempimento all’obbligo prescritto dall’art. 36 GDPR, mentre l’evidenza di un estratto della valutazione d’impatto e le relative policy informative non potranno che migliorare la partecipazione dei cittadini e consentir loro di prestare un consenso pienamente valido.
Repetita iuvant: ogni migliore intento si estingue se non c’è un effettivo riscontro di trasparenza per il cittadino digitale. E per quanto si sia voluta comprimere la piena tutela di diritti e libertà fondamentali in nome di una pretesa semplificazione con l’estensione abnorme della condizione di liceità relativa al compito di interesse pubblico o connesso all’esercizio di pubblici poteri come dai novellati art. 2-ter e 2-sexies Cod. Privacy, i presidi essenziali resistono e anzi devono intendersi rafforzati. Così l’art. 6.3 GDPR deve essere innanzitutto un ineliminabile criterio di riferimento sia per l’atto fondante (norma di legge o di regolamento o da atti amministrativi generali) sia per ogni declinazione operativa sin dal momento della progettazione.
Al di là della previsione di garanzie per l’adempimento delle norme in materia di protezione dei dati personali, in tali contesti una particolare attenzione deve essere dedicata all’aspetto della proporzionalità fra trattamento e obiettivo legittimo perseguito. Condizione necessaria è pertanto lo svolgimento di un’analisi preliminare dei rischi al netto di tutta una serie di distorsioni valutative che possono derivare da prese di posizione o ambizioni ideologiche, spesso apodittiche e di conseguenza molto pericolose.
