Il Garante chiude la porta al web scraping fiscale (e lancia un messaggio a tutte le aziende)

La recente presa di posizione del Garante per la protezione dei dati personali sull’uso di informazioni raccolte dal web per stimare il rischio di evasione fiscale ha un significato che va ben oltre il caso specifico. L’Autorithy ha chiarito che non è lecito analizzare dati reperibili online per elaborare profili di rischio, anche se tali informazioni appaiono pubblicamente accessibili. Pubblico non significa libero. Non vuol dire utilizzabile indiscriminatamente da tutti.

Nessuna azienda, pubblica o privata, può raccogliere e utilizzare dati trovati su internet senza rispettare le regole del Regolamento europeo 2016/679. Anche se un dato è visibile in un post, un sito o una recensione, resta soggetto ai principi di liceità, correttezza, minimizzazione e proporzionalità previsti dall’articolo 5 del GDPR. La disponibilità pubblica di un’informazione non equivale alla libertà di riuso.

In concreto...

E conosciamo bene come, invece, questo principio essenziale, anche etico, venga ignorato sistematicamente. Esempi concreti? Quanti ne vogliamo.

«Buongiorno, la chiamo per offrirle in offerta i nostri servizi e un set di pentole inox incluso nel prezzo, ho trovato il suo numero sul web, l’ho preso dall’albo professionale, era online.»

Lo stesso vale, ad esempio, per i social professionali o per piattaforme come Wikipedia. Chi crea il proprio profilo lo fa per presentarsi, per cercare lavoro, ottenere visibilità, costruire un’immagine credibile. Non per essere sommerso da messaggi automatici o proposte di sedicenti consulenti e fuffaguru che sfruttano le informazioni pubbliche per fini promozionali. Anche in questi casi, la finalità del trattamento non può essere inventata a posteriori: l’uso dei dati deve rispettare il contesto in cui l’interessato li ha resi disponibili, le motivazioni e lo scopo che perseguiva. 

Il fatto che io, avvocato, abbia messo a disposizione dell’utenza la mia mail e il mio telefono non vuol dire che lo abbia fatto per ricevere ogni giorno tre offerte di banche dati, codici, sedicenti procacciatori di clienti. **Per chi già non lo sapesse (spero pochi) è violazione del GDPR.**

Dati pubblici e il fisco

Nel caso del fisco, il Garante ha voluto evitare un precedente pericoloso: l’idea che basti trovare un’informazione online per poterla elaborare in un algoritmo. Ogni dato, anche pubblico, deve essere raccolto per finalità determinate, con modalità trasparenti e proporzionate allo scopo. Questo principio vale per l’Agenzia delle Entrate come per una startup digitale o un’impresa di e-commerce. La lezione per le imprese è chiara così come il messaggio che si vuole lanciare: non serve temere la normativa, ma capirla. Serve una governance dei dati che parta dalla conoscenza delle fonti, dalla verifica delle basi giuridiche e dal controllo sull’intero ciclo del trattamento. La vera ricchezza dell’impresa digitale non sono i dati, ma la fiducia di chi li affida.

La Digital Trust

La Digital Trust è la nuova valuta dell’economia dell’informazione e si costruisce solo con trasparenza, coerenza e responsabilità. Chi vuole innovare in modo sicuro deve muoversi con metodo, etica e misura. È qui che modelli come Cybermetrica trovano piena applicazione, perché collegano il dato alla sua finalità, al contesto e all’impatto, rendendo la compliance non un peso ma una forma di garanzia e di fiducia. Alla fine, il principio è più umano che tecnico. Anche se qualcosa è visibile a tutti, non per questo appartiene a chiunque. E la differenza tra trasparenza e sorveglianza sta proprio nel rispetto di quel confine.

Per approfondire > Accountability: la responsabilità proattiva base della Digital Trust