Privacy e algoritmi, è sufficiente che all’utente sia chiarito il procedimento

La Corte di Cassazione è tornata ad occuparsi di trattamento dei dati personali e consenso allo stesso in caso di adesione a una piattaforma web che comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva dei dati. La pronuncia della Corte annulla con rinvio la sentenza di merito impugnata da un'associazione, offrendo un'interessante interpretazione sul grado di informazione che va fornita agli utenti in ordine al meccanismo di funzionamento degli algoritmi che “lavorando” i dati personali.  

La vicenda del caso di specie tre origine da un provvedimento del Garante della Privacy con cui è stato vietato all'associazione ricorrente il trattamento dei dati personali effettuato tramite un sistema finalizzato a costituire una piattaforma web, con il relativo archivio informatico, per l'elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale, il "rating reputazionale" dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità.

Adito il Tribunale dall'associazione, il giudice del merito ha ritenuto il trattamento svolto con mezzi informatici non adeguatamente trasparente con riguardo all'algoritmo di calcolo del c.d. rating reputazionale, fulcro dell'intero sistema progettato al riguardo. Per il Tribunale la descrizione dell'algoritmo, contenuta nel Regolamento per la determinazione del rating, non soddisfa il principio per cui il consenso deve essere “validamente prestato”: ciò, in quanto il regolamento non spiega le modalità, o schema esecutivo, con cui è generato il rating dell'associato, ma descrive solo in termini comparatistici l'incidenza dei singoli dati presi in considerazione; non è spiegato come viene elaborato un risultato, ma solo come le variabili vengono valutate rispetto ad altre, ovvero se incidono di più o di meno, in senso favorevole o in senso sfavorevole, nel calcolo. Secondo i giudici di merito, sarebbe stato necessario, invece, indicare il "peso specifico" delle componenti considerate dall'algoritmo nella determinazione del risultato e le modalità con cui si giunge ad esso, compresi i meccanismi di interazione tra i vari fattori.

Proprio questo ragionamento del Tribunale viene ora messo in discussione dalla Cassazione, adita dall'associazione: “non si comprende – scrivono gli Ermellini nella sentenza - la pretesa che fosse indicato il "peso specifico" dei vari criteri - posto che si tratta di termine scientifico, concernente il rapporto tra il peso e il volume di una materia, non sempre essendo opportuno il travaso al diritto dei termini di altre scienze - si potrà anche non concordare con la logica o con taluno dei criteri sottesi al sistema illustrato nel regolamento, che il primo motivo del ricorso riporta: ma non è questione ora rilevante, richiedendosi, ai fini del trattamento dei dati personali su consenso dell'interessato, soltanto che il sistema dei parametri ostesi fosse sufficientemente determinato”.

Come evidenziato dalla Corte, nel caso, in esame non è in questione se l'algoritmo, per funzionare algebricamente e quindi per il processo informatico, possedesse tali requisiti (“non è la questione matematica a venire in rilievo: se non nei limiti in cui essa serva a comprendere se il consenso prestato dal soggetto possa dirsi consapevole ed informato; ossia se il consenso sia stato «validamente prestato»”).

Come noto, i requisiti del consenso sono la prestazione libera e specifica in riferimento ad un trattamento chiaramente individuato e le previe informazioni di cui all'art. 13 D.Lgs. 196/2003, ossia, in particolare, circa le finalità e le modalità del trattamento. Quando, come nella specie, i dati personali sono destinati ad essere "lavorati" da un algoritmo, dovrà dunque anche tale modalità essere coperta dal consenso. Nella vicenda in esame, per la Cassazione, ad integrare i presupposti del "libero e specifico" consenso, affinché esso sia legittimo e valido, è richiesto che l'aspirante associato sia in grado di conoscere l'algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all'utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito. Che, poi, il procedimento, come spiegato con i termini della lingua comune, sia altresì idoneo ad essere tradotto in linguaggio matematico per i Supremi giudici “è tanto necessario e certo, quanto irrilevante: ed invero, non è richiesto né che tale linguaggio matematico sia osteso agli utenti, né, tanto meno, che essi lo comprendano. Ciò che rileva, invece, è che sia possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga opportunamente comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati "in chiaro", come descritti nel regolamento più volte citato”.

Fonte: Cass. 10 ottobre 2023 n. 28358