Rating reputazionale sul web: l'algoritmo deve essere conosciuto e serve un consenso specifico da parte dell'utente
29 Marzo 2022
Massima
L'algoritmo di funzionamento deve essere conosciuto ed oggetto di un consenso specifico da parte del cliente.
A stabilirlo la Cassazione la quale ha accolto il ricorso del Garante privacy nei confronti di un'associazione che si propone di contrastare "fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare in maniera imparziale il cd. rating reputazione, in modo da consentire a terzi una verifica di reale credibilità". Il caso
Una iniziativa di una associazione onlus aveva ideato un metodo di attribuzione di valutazione e recensione delle persone, in particolare professionisti. L'associazione si riprometteva di realizzare una piattaforma web (con annesso archivio informatico) preordinata alla elaborazione di profili reputazionali concernenti persone fisiche e giuridiche. Ciò avrebbe consentito di contrastare fenomeni basati sulla creazione di profili reputazionali non sinceri, calcolando in maniera imparziale, affidabile e oggettivamente misurabile il "rating reputazionale" dei soggetti censiti, in modo da consentire a eventuali terzi di poter verificare la loro reale credibilità. L'iniziativa è passata al vaglio della Autorità garante per la protezione dei dati personali, la quale con provvedimento del novembre 2016 dichiarava che il trattamento di dati personali connesso ai servizi offerti da questa associazione non risultava conforme al Codice Privacy e conseguentemente vietando qualunque operazione di trattamento (presente o futura) dei dati personali degli interessati. L'esito della valutazione dei fatti posta all'attenzione della Corte di Cassazione conduce non tanto a rilevare sul fatto che sia legittimo o meno un sistema di formazione di un elenco (banca dati) riguardante la reputazione di persone, professionisti o aziende, quanto, piuttosto, sulle modalità di concessione ad un sistema di elaborazione di trattare i dati personali. Nei fatti, il provvedimento del Garante era stato impugnato ed il Tribunale di Roma aveva parzialmente accolto il ricorso. Secondo il tribunale non avrebbe potuto negarsi all'autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato "valutativi", non essendo neppure il primo servizio teso a fornire una valutazione della attendibilità, citando l'esempio del rating aziendale. Inoltre, secondo il tribunale, il trattamento era, in ogni caso, validato dal consenso dell'interessato, regolarmente raccolto, e quindi espressione di autonomia privata. Le motivazioni del tribunale non trovano accoglimento presso la Suprema Corte che cassa la sentenza. La questione
L'algoritmo di funzionamento deve essere solamente conosciuto o deve anche essere oggetto di un consenso specifico da parte del cliente? Le soluzioni giuridiche
La Corte di legittimità, con ordinanza n. 14381/2021, ha stabilito che: “la scarsa trasparenza dell'algoritmo impiegato allo specifico fine non è stata disconosciuta dall'impugnata sentenza la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe ‘il momento valutativo del procedimento', a fronte del quale spetterebbe invece al mercato ‘stabilire l'efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma'.
Il problema, per la liceità del trattamento, è costituito dalla validità del consenso che si assume prestato al momento dell'adesione. E non può logicamente affermarsi che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi riconoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati”. La Corte di Cassazione, ha quindi ritenuto illecito il trattamento dei dati personali operato per misurare il cd. «rating reputazionale» degli utenti di una piattaforma on-line, non essendo sufficiente il generico consenso alla Privacy al momento dell'iscrizione a un portale web.
In particolare, la Cassazione ha ribadito, innanzitutto, il principio per cui il trattamento dei dati personali da parte di privati o di enti pubblici economici è lecito, ai sensi dell'art. 23 del d.lgs. n. 196 del 2003, cd. Codice della Privacy, solo se basato sul consenso, purché questo sia anche validamente prestato, ovvero sia stato espresso liberamente e specificamente in riferimento ad un trattamento «chiaramente individuato», documentato per iscritto, sole se l'interessato ha ricevuto tutte le informazioni di cui all'art. 13 e se è stato manifestato in forma scritta, quando relativo a dati sensibili. Tale premessa, prosegue la Corte, comporta che il trattamento dei dati personali, per essere «chiaramente individuato», presuppone che il consenso sia stato previamente informato con riferimento a un trattamento ben definito negli elementi essenziali, per potersi dire che sia stato espresso liberamente e specificamente. Nel caso deciso, invece, di fronte alla riconosciuta scarsa trasparenza del funzionamento dell'algoritmo utilizzato per il calcolo del rating reputazionale, cassando la sentenza di merito, gli ermellini hanno ritenuto illecito il trattamento dei dati personali, non ritenendo sufficiente e validamente espresso il consenso prestato al momento dell'adesione al portale. Per la Cassazione tale consenso inziale non può certamente comprendere l'accettazione di un sistema automatizzato, basato su un algoritmo, per la valutazione oggettiva di dati personali, non essendo stati resi conoscibili lo schema esecutivo in cui l'algoritmo stesso si esprime né gli elementi considerati dal processo. Nel rinviare la causa al Tribunale di merito, la sentenza fissa il principio per cui, in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato, con la conseguenza che per una piattaforma web per l'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, basata su un algoritmo di calcolo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto se lo schema esecutivo dell'algoritmo e gli elementi di cui si compone rimangano ignoti o non conoscibili da parte degli interessati. Osservazioni
Quella analizzata è una pronuncia di stretta attualità che affermando un principio di diritto cerca di mettere ordine in un ambito sprovvisto di una regolamentazione specifica su cui si stanno muovendo diversi attori. Mentre il Tribunale di Roma aveva dato un sostanziale via libera al sistema di consenso della piattaforma affermando che spetta al mercato "stabilire l'efficacia e la bontà del risultato o del servizio prestato", per la Suprema corte rappresenta una lettura non condivisibile secondo cui il problema non è "confinabile nel perimetro della risposta di mercato", riguardando piuttosto la "validità del consenso". Non potendo logicamente affermarsi, secondo la Cassazione, che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati. Il Tribunale di Roma dovrà dunque procedere ad un nuovo giudizio uniformandosi al seguente principio di diritto: "in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato". Ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati". |