Rating reputazionale su internet, algoritmo in chiaro e consenso specifico
La Cassazione, sentenza n. 14381 depositata oggi, definisce i limiti di validità del consenso prestato ad una piattaforma web
Stretta della Cassazione in materia di privacy sulle piattaforme web per la creazione di profili reputazionali. L'algoritmo di funzionamento deve essere conosciuto ed oggetto di un consenso specifico da parte del cliente. Lo ha stabilito la Prima sezione civile, sentenza n. 14381 depositata oggi, accogliendo il ricorso del Garante privacy nei confronti di Mevaluate Onlus. Un'Associazione che si propone di contrastare "fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare in maniera imparziale il cd. rating reputazione, in modo da consentire a terzi una verifica di reale credibilità".
Una pronuncia di stretta attualità dunque che affermando un principio di diritto cerca di mettere ordine in un ambito sprovvisto di una regolamentazione specifica su cui però si stanno muovendo diversi attori. Il Tribunale di Roma aveva invece dato un sostanziale via libera al sistema di consenso della piattaforma affermando che spetta al mercato "stabilire l'efficacia e la bontà del risultato o del servizio prestato".
Una lettura non condivisibile per la Suprema corte secondo cui il problema non è "confinabile nel perimetro della risposta di mercato", riguardando piuttosto la "validità del consenso". Non potendo "logicamente affermarsi – afferma la sentenza - che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati".
Il Tribunale di Roma dovrà dunque procedere ad un nuovo giudizio uniformandosi al seguente principio di dritto: "in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato". "Ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati".