Il consenso per la Privacy è valido solo se espresso liberamente e specificamente riguardo a un trattamento chiaramente individuato, con la conseguenza che per una piattaforma web finalizzata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, basata su un algoritmo di calcolo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto se lo schema esecutivo dell’algoritmo e gli elementi di cui si compone rimangano ignoti o non conoscibili da parte degli interessati.
Cassazione Civile
Importante pronuncia della Corte di Cassazione, con l’ordinanza della I Sezione Civile 25 maggio 2021, n. 14381, che ha ritenuto illecito il trattamento dei dati personali operato per misurare il cd. «rating reputazionale» degli utenti di una piattaforma on-line, non essendo sufficiente il generico consenso della Privacy al momento dell’iscrizione a un portale web.
Rating reputazionale
La vicenda decisa dagli ermellini riguarda il funzionamento di una piattaforma web e del relativo archivio informatico finalizzata a sviluppare i profili reputazionali di persone fisiche e giuridiche, contro il diffuso fenomeno della creazione di profili artefatti o non veritieri, attraverso un algoritmo di calcolo imparziale del ratingreputazionale dei soggetti analizzati, per consentire una verifica della loro reale credibilità al momento della conclusione di contratti o per la gestione di rapporti economici.
Tribunale di Roma
In sede di merito, il Tribunale di Roma aveva accolto il ricorso del gestore della piattaforma contro il provvedimento del Garante per la Protezione dei Dati Personali, che aveva vietato, ai sensi dell’art. 154, primo comma, lett. d), del Dlgs. n. 163 del 2016, qualunque operazione di trattamento dei dati personali, presente e futura, ritenendo la Corte sufficiente il consenso al trattamento dei dati personali fornito dagli utenti al momento della registrazione sulla piattaforma on-line e considerando che esistono sul web, in Italia e all’estero, molteplici fenomeni di valutazione e di certificazione da parte di privati, riconosciuti anche a fini di attestazione di qualità o di conformità a norme tecniche.
Hanno sostenuto i giudici romani che, in mancanza di una idonea cornice normativa istitutiva del rating reputazionale, pur potendo il funzionamento dell’algoritmo incidere pesantemente sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, con ripercussione del rating sulla vita privata degli individui censiti, al tempo stesso non può negarsi all’autonomia privata di organizzare simili sistemi di accreditamento attraverso un servizio valutativo finalizzato all’ingresso in un dato mercato dei soggetti analizzati.
Consenso valido
La Cassazione ha ribadito, innanzitutto, il principio per cui il trattamento dei dati personali da parte di privati o di enti pubblici economici è lecito, ai sensi dell’art. 23 del Dlgs. n. 196 del 2003, cd. Codice della Privacy, solo se basato sul consenso, purché questo sia anche validamente prestato, ovvero sia stato espresso liberamente e specificamente in riferimento ad un trattamento «chiaramente individuato», documentato per iscritto, sole se l’interessato ha ricevuto tutte le informazioni di cui all’art. 13 e se è stato manifestato in forma scritta, quando relativo a dati sensibili.
Trattamento chiaro
Tale premessa, prosegue la Corte, comporta che il trattamento dei dati personali, per essere «chiaramente individuato», presuppone che il consenso sia stato previamente informato con riferimento a un trattamento ben definito negli elementi essenziali, per potersi dire che sia stato espresso liberamente e specificamente.
Nel caso deciso, invece, di fronte alla riconosciuta scarsa trasparenza del funzionamento dell’algoritmo utilizzato per il calcolo del rating reputazionale, cassando la sentenza di merito, gli ermellini hanno ritenuto illecito il trattamento dei dati personali, non ritenendo sufficiente e validamente espresso il consenso prestato al momento dell’adesione al portale.
Per la Cassazione tale consenso inziale non può certamente comprendere l’accettazione di un sistema automatizzato, basato su un algoritmo, per la valutazione oggettiva di dati personali, non essendo stati resi conoscibili lo schema esecutivo in cui l’algoritmo stesso si esprime né gli elementi considerati dal processo.
Principio di legittimità
Nel rinviare la causa al Tribunale di Merito, la sentenza fissa il principio per cui, in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato, con la conseguenza che per una piattaforma web per l’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, basata su un algoritmo di calcolo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto se lo schema esecutivo dell’algoritmo e gli elementi di cui si compone rimangano ignoti o non conoscibili da parte degli interessati.
Unisciti alle menti principali della tecnologia legale e ricevi mensilmente le ultime notizie e gli aggiornamenti su legge, tecnologia legale, intelligenza artificiale e molto altro.