Rating reputazionale sul web, il consenso deve riguardare il funzionamento dell’algoritmo
La Prima sezione civile, sentenza n. 28358 depositata oggi, ha accolto il ricorso di una Associazione onlus nei confronti del Garante privacy
La Suprema corte torna sulle modalità di manifestazione del consenso per l’adesione alle piattaforme di rating reputazionale sul web quando si ha a che fare con un sistema di valutazione automatico basato su degli algoritmi, chiarendo che il soggetto deve essere messo in grado di conoscere il procedimento che conduce al risultato e su tale procedimento deve fornire il proprio consenso. La Prima sezione civile, sentenza n. 28358 depositata oggi, ha accolto – dopo un ping pong tra giudici di merito e di legittimità - il ricorso di una Associazione onlus nei confronti del Garante privacy. E ha così annullato il provvedimento con cui (il 24 novembre 2016) l’Authority per la protezione dei dati personali aveva vietato (ai sensi dell’art. 154, comma 1, lett. d), d.lgs. n. 196 del 2003) il trattamento presente o futuro dei dati personali da parte della Associazione effettuata tramite il sistema denominato “Infrastruttura Immateriale Mevaluate per la Qualificazione Professionale”.
Il sistema mirava a costituire una piattaforma web, con il relativo archivio informatico, al fine di elaborare “profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri” e di “calcolare, invece, in maniera imparziale, il ‘rating reputazionale’ dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità”.
In primo grado il Tribunale di Roma aveva accolto (parzialmente) il ricorso dell’associazione contro il Garante ma poi la Suprema corte con ordinanza del 25 maggio 2021 n. 14381, aveva cassato con rinvio la decisione del tribunale, ritenendola viziata sotto il profilo delle condizioni di legittimità del trattamento dei dati personali. Per la Cassazione il consenso deve ritenersi «validamente prestato» solo quando il soggetto sia stato previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali. Mentre – proseguiva -, nella specie, esso difetta per la scarsa trasparenza dell’algoritmo impiegato allo specifico fine, né rileva, come invece ritenuto dal tribunale, la risposta del mercato”. “E – concludeva– non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.
Nel giudizio di rinvio (sentenza del 22 giugno 2022, n. 9995) il Tribunale di Roma ha respinto il ricorso dell’Associazione affermando che il regolamento “non spiega le modalità, o schema esecutivo, con cui è generato il rating dell’associato, ma descrive solo in termini comparatistici l’incidenza dei singoli dati presi in considerazione; non è spiegato come viene elaborato un risultato, ma solo come le variabili vengono valutate rispetto ad altre. Sarebbe stato necessario, invece, indicare il “peso specifico” delle componenti considerate dall’algoritmo nella determinazione del risultato e le modalità con cui si giunge a esso.
Contro questa decisione ha proposto nuovamente ricorso l’Associazione affermando che il Regolamento Mevaluate illustra all’aspirante socio lo schema esecutivo dell’algoritmo e gli elementi di cui si compone il rating reputazionale. Viene chiarito che vi sono 5 parametri per le persone fisiche e 4 per le persone giuridiche, consistenti in un punteggio negativo in tre voci (reati, inadempimenti verso il fisco, vertenze tra privati) e in un punteggio positivo in due voci (lavoro/impegno civile, istruzione/formazione). In totale il sistema comprende più di seicento indicatori. Ad esempio, per la categoria reati, vi sono le sottocategorie di fatti-reati, enunciate in via di progressiva minore gravità; per la categoria fiscale e contributiva, si individuano 5 classi, a seconda degli importi; per la categoria civile delle persone fisiche, del pari rilevano le sottocategorie di controversie, in ordine di gravità decrescente (famiglia, lavoro, altri inadempimenti contrattuali, danni extracontrattuali e successioni), ciascuna con un “peso” proporzionale al disvalore ecc..
E la Suprema corte gli ha dato ragione. La sentenza rescindente, spiega la Cassazione, richiedeva un accertamento in merito alla trasparenza e alla conoscenza delle caratteristiche funzionali dell’algoritmo. “Ciò che si richiedeva, cioè, non è che l’associato debba conoscere ex ante con certezza l’esito finale delle valutazioni che il sistema di intelligenza artificiale opera – perché altrimenti sarebbe quanto meno inutile – ma il procedimento che conduce alle medesime”. Quando, come nella specie, prosegue la Corte, i dati personali sono destinati a essere “lavorati” da un algoritmo, dovrà dunque anche tale modalità essere coperta dal consenso.
Pertanto, a integrare i presupposti del “libero e specifico” consenso è richiesto che l’aspirante associato sia in grado di conoscere l’algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all’utente in modo non ambiguo e in maniera dettagliata, come capace di condurre al risultato in un tempo finito.
Che il procedimento, prosegue, “sia altresì idoneo ad essere tradotto in linguaggio matematico è tanto necessario e certo, quanto irrilevante: ed invero, non è richiesto né che tale linguaggio matematico sia osteso agli utenti, né, tanto meno, che essi lo comprendano”. Ciò che rileva, invece, è che sia “possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga opportunamente comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati “in chiaro”.
Ora, sulla base degli accertamenti compiuti dal giudice del merito, t ali parametri di riferimento erano tutti presenti nel regolamento. Mentre, continua la Cassazione, non si comprende la pretesa che fosse indicato il “peso specifico dei vari criteri – posto che si tratta di termine scientifico, concernente il rapporto tra il peso e il volume di una materia, non sempre essendo opportuno il travaso al diritto dei termini di altre scienze – si potrà anche non concordare con la logica o con taluno dei criteri sottesi al sistema illustrato nel regolamento, che il primo motivo del ricorso riporta: ma non è questione ora rilevante, richiedendosi, ai fini del trattamento dei dati personali su consenso dell’interessato, soltanto che il sistema dei parametri ostesi fosse sufficientemente determinato”.
