
Ricordate l’app ioPollicino, finita – insieme ad altre iniziative – sotto la lente del Garante Privacy nelle istruttorie relative a progetti di social scoring? È stata annunciata la chiusura della prima fase del progetto: una sperimentazione durata 30 giorni nel Comune di Bologna, con 2400 download, 1827 autorizzazioni alla geolocalizzazione e circa un migliaio di utenti “che hanno tenuto operativa l’app per 7 giorni”.
Il comunicato si conclude però con un “Grazie anche a chi ha criticato il progetto, scambiando Pollicino per un personaggio di Orwell invece che per il protagonista di una delle più belle fiabe di Perrault. Anche loro hanno contribuito a raggiungere uno degli obiettivi del Progetto Pollicino: acquisire consapevolezza sull’importanza della raccolta di dati sulla mobilità, su come farlo con discrezione e per uno scopo utile a tutti.”.
La tecnica retorica impiegata – peraltro molto diffusa nel mondo dei social media – all’apparenza sembra voler spostare l’attenzione su altro. Ovverosia sull’importanza della raccolta dei dati e su quello “scopo utile a tutti” che mai potrebbero essere né sono mai stati argomenti contestati o criticati. Certo, un po’ preoccupa l’idea presentata di una raccolta fatta “con discrezione”. Rispondendo con tono ironico, qualcuno potrebbe ben sperare che ciò si faccia senza eccedere nell’essere discreti, tenendo ben conto dei doveri di trasparenza e senza paura di disturbare gli interessati informandoli in modo chiaro circa le sorti dei propri dati personali.
Leggendo la Privacy Policy, sorgono però alcuni dubbi che si spera troveranno migliori chiarimenti con la presentazione dei risultati del progetto del 22 settembre, o all’esito delle istruttorie del Garante Privacy con cui sarà data evidenza alle valutazioni d’impatto svolte, ad esempio.
Innanzitutto, viene detto al punto 6 “I dati raccolti” che “L’app IoPollicino non richiede d’inserire il Suo nome e cognome. Tutti i dati raccolti sui Suoi spostamenti saranno trattati in forma anonima”, eppure vengono raccolti in modo automatico dati del dispositivo, dati di utilizzo e dati sulla posizione. Nonché, se conferiti dall’utente, sono raccolti anche dati di questionari per “partecipare attivamente all’indagine”.
Eppure, i dati identificativi indiretti non sono affatto dati anonimi. Anzi, sono dati personali, come viene confermato dalla previsione di un termine di cancellazione degli stessi al successivo punto 7, a cura del responsabile del trattamento “sui sistemi cloud utilizzati”. Sistemi che, come dichiarato nel punto 2, risiedono su Amazon Web Services. Il titolare, invece, prevede già di conservare “in un proprio spazio cloud” (non meglio definito) tutti i dati raccolti “per finalità statistiche e di ricerca scientifica legate alla riduzione degli impatti negativi dei trasporti, anche se per ricerche al di fuori dell’attività dell’Osservatorio nazionale della sharing mobility.”. Inoltre, è previsto (come si evince dal punto 3 “Finalità del trattamento di dati”) l’inserimento facoltativo dopo sette giorni di utilizzo di una e-mail di contatto per accedere a premi e codici promozionali e per ricevere informazioni sull’esito dell’indagine. E dunque il conferimento di un dato di contatto contribuisce alla facilità di identificazione dell’interessato, e dunque ancor più si rimane perplessi nell’apprendere di una raccolta presentata come “anonima”. Semmai, l’anonimizzazione avviene nel momento in cui i dati sono aggregati per finalità statistiche e di pianificazione per la comunicazione ai destinatari individuati nel punto 8.
Anche la base giuridica indicata può far sorgere alcuni dubbi, dal momento che presenta l’insolita convivenza dell’esecuzione di un compito di interesse pubblico e del consenso. Un consenso che condiziona il conferimento facoltativo dei dati, ma che se non viene espressamente manifestato per la geolocalizzazione ha “come conseguenza l’impossibilità i poter utilizzare le funzionalità dell’app IoPollicino e partecipare attivamente all’indagine.”.
Forse quel comunicato voleva sminuire o contenere le preoccupazioni relative ai diffusi entusiasmi dei progetti di data altruism? Eppure, altro non si richiede che il rispetto delle prescrizioni normative in materia di protezione dei dati personali e maggiore trasparenza. E qualora non ci siano sufficienti evidenze, è bene ricordare che ogni cittadino ha diritto non solo ad essere preoccupato ma anche ad agire. Ad esempio formulando una richiesta FOIA. O una segnalazione all’autorità di controllo.