Rating reputazionale, algoritmi e processi automatizzati: importante pronuncia della Corte di cassazione

Con l'ordinanza n. 14381/2021, la Prima Sezione della Corte di Cassazione si occupa di una vicenda particolarmente interessante, sotto il profilo del diritto alla protezione dei dati personali.

Sono sempre più frequenti, infatti, piattaforme web e APP che si propongono di censire - anche con il consenso degli interessati - il raiting reputazionale di persone fisiche, soggette alla disciplina di protezione dei dati personali.

La vertenza nasceva da un ricorso - accolto - del Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Roma (n. 5715 del 4 aprile 2018) che aveva parzialmente annullato il provvedimento del citato Garante datato 24 novembre 2016, col quale la predetta Autorità aveva disposto il divieto di qualunque operazione di trattamento dei dati personali (presente e futura) effettuata da un soggetto in connessione ai servizi offerti tramite una piattaforma web, per contrasto con gli artt. 2, 3, 11, 23, 24 e 26 del Codice per la protezione dei dati personali (d.lgs. 196/2003).

In particolare, il servizio censurato dal Garante si concretizzava in una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali concernenti anche persone fisiche, col fine di contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale, il cd. rating reputazionale dei soggetti censiti, per modo da consentire a eventuali terzi una verifica di reale credibilità.

Nella sentenza cassata, il Tribunale aveva annullato parzialmente il provvedimento del Garante, esclusivamente con riferimento al trattamento dei dati personali per l'attività inerente il raiting concernente soggetti terzi non iscritti alla piattaforma.

Secondo il Tribunale, non avrebbe potuto negarsi all'autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato "valutativi", in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici.

Sebbene si tratti di un caso dell'anno 2016, deciso sotto la vigenza del previgente d.lgs. Codice per la protezione dei dati personali (e dunque prima dell'entrata in vigore del Regolamento europeo 679/2016 e delle conseguenti modifiche apportate dal d.lgs. 101/2018), i principi espressi dalla Corte sono perfettamente applicabili anche nell'attuale impianto normativo (il concetto di "consenso informato" richiesto dal vigente Regolamento richiama in pieno il concetto di "consenso chiaramente individuato" richiesto dall'abrogato art. 23 del d.lgs. 196/2003).

Ai fini della liceità del trattamento basato sul consenso, il presupposto indefettibile continua ad essere un consenso validamente prestato, mediante una "manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato" (art. 4, comma 1, n. 11 del Regolamento), attraverso l'utilizzo di un "linguaggio chiaro e comprensibile", che consenta all'interessato di "operare una scelta autenticamente libera" (considerando 42 al Regolamento).

In tale quadro normativo, il principio del "consenso informato" presuppone, quindi, che il consenso dell'interessato debba essere effettivamente consapevole in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente.

Secondo la Cassazione, dunque, la valutazione di liceità di un trattamento destinato a definire il raiting reputazionale dei soggetti, basata sul consenso, non può essere prospettata senza una previa considerazione degli elementi suscettibili di incidere sulla serietà della manifestazione del consenso, e tra questi anche e proprio gli elementi implicati e considerati nell'algoritmo utilizzato dalla piattaforma, il funzionamento del quale è essenziale al calcolo del rating.

Alla luce delle suddetta considerazioni, la Cassazione ha elaborato dunque il seguente principio di diritto, pienamente condivisibile: "in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati".

In termini operativi, sarà quindi indispensabile che il titolare del trattamento non si limiti soltanto ad acquisire un generico consenso degli interessati, ma che l'informativa predisposta espliciti in modo chiaro e completo il trattamento, ivi incluso il funzionamento dell'algoritmo destinato a governare il processo automatizzato, al fine di potersi dire rilasciato un idoneo consenso informato da parte dell'interessato.

Giova, infine, segnalare che la Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (c.d. legge sull'intelligenza artificiale) del 21 aprile 2021, considera ad alto rischio l'uso di sistemi di intelligenza artificiale ai fini della valutazione o della classificazione dell'affidabilità delle persone fisiche sulla base del loro comportamento sociale o di caratteristiche personali in determinati scenari, vietando l'uso di tali sistemi (c.d. social scoring) da parte di autorità pubbliche o per loro conto (art. 5 della Proposta di Regolamento).

*a cura dell'avv. Alessandro Candini, DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più