La Suprema Corte ha chiuso una complicata querelle giudiziaria in materia di rating reputazionale definendo i requisiti necessari ai fini della validità del consenso prestato dagli interessati per il trattamento dei dati effettuato da piattaforme web che utilizzano sistemi automatizzati di rating reputazionale basati su algoritmi.
Dopo anni di battaglie giudiziarie la Prima sezione civile della Corte di Cassazione, con la sentenza n. 28358 del 10 ottobre scorso, ha accolto il ricorso di una associazione onlus (“Associazione”) avverso il provvedimento sanzionatorio n. 488 del 24 novembre del 2016 (“Provvedimento”) del Garante italiano per la Protezione dei Dati Personali. La Suprema Corte ha deciso la questione nel merito con conseguente annullamento del Provvedimento con il quale l’autorità Garante imponeva il divieto al trattamento dei dati personali effettuato dall’Associazione tramite il sistema automatizzato deputato a calcolare il rating reputazionale dei soggetti censiti, il quale mirava a costituire una piattaforma web, con il relativo archivio informatico, al fine di elaborare [..] profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale, il "rating reputazionale" dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità.
Il provvedimento sanzionatorio emesso dal Garante privacy e la decisione in primo grado
Secondo il Garante italiano il consenso prestato dagli interessati che volevano aderire alla piattaforma era da considerarsi invalido in quanto il regolamento pubblicato dall’Associazione titolare del trattamento era ritenuto inadeguato a consentire a questi ultimi di comprendere adeguatamente il funzionamento della piattaforma e il rischio sui propri diritti e libertà individuali conseguente al trattamento.
Con la sentenza n. 9995 del 22 giugno 2022, il Tribunale di Roma rigettava nel merito il ricorso promosso dall’Associazione sostenendo che il regolamento pubblicato non spiegava le modalità, o schema esecutivo, con cui è generato il rating dell’associato, ma descrive solo in termini comparatistici l’incidenza dei singoli dati presi in considerazione senza dare le dovute e spiegazioni sui criteri computazionali che portano all’elaborazione del risultato finale. Il Tribunale reputava necessario che fosse presente anche una chiara indicazione circa il “peso specifico” delle singole voci oggetto di valutazione da parte dell’algoritmo.
Il ricorso in Cassazione e lo schema esecutivo dell’algoritmo
Avverso la decisione del Tribunale di Roma, l’Associazione proponeva ricorso per Cassazione sostenendo che il regolamento oggetto di disputa illustrava esaustivamente all’interessato lo schema esecutivo dell’algoritmo e tutti i parametri utilizzati dalla piattaforma per il calcolo del rating reputazionale specificando. L’Associazione specificava, inoltre, che la piattaforma era soggetta a brevetto europeo presso l’Ufficio Europeo di Brevetti (European Patent Office), pertanto tutta la documentazione ad essa relativa – ivi incluso lo “schema di funzionamento matematico dell’algoritmo” - era pubblica e facilmente accessibile da chiunque.
La ricorrente presentava, inoltre, negli atti di causa, la definizione generale di “schema esecutivo dell’algoritmo” secondo cui i passi che costituiscono lo schema devono essere "elementari", ovvero non ulteriormente scomponibili (atomicità); [..] interpretabili in modo diretto e univoco dall'esecutore, sia esso umano o artificiale (non ambiguità); l'algoritmo deve essere finito, ossia composto da un numero definito di passi legati ad una quantità definita di dati in ingresso (finitezza); l'esecuzione dello schema deve avvenire entro un tempo finito (terminazione); l'esecuzione dello schema algoritmico deve condurre ad un unico risultato (effettività).
La decisione della Suprema Corte: le condizioni di validità per la raccolta del consenso
La Suprema Corte, intervenendo nel merito della questione, ha ribadito come l’oggetto della controversia non fosse garantire all’associato la conoscenza ex ante e con certezza dell’esito finale delle valutazioni che il sistema di intelligenza artificiale opera – perché altrimenti sarebbe quanto meno inutile – ma il procedimento che conduce alle medesime. Sarebbe dunque irrilevante, in materia di previsioni affidate ad un algoritmo, rendere agli interessati informazioni di tipo matematico in merito alle computazioni effettuate dall’algoritmo, se non nei limiti in cui essa serva a comprendere se il consenso prestato possa dirsi consapevole ed informato. Ciò che rileva, pertanto, al fine di considerare valido – cioè informato – il consenso prestato dall’interessato in fase di adesione è che questi sia messo nella condizione di comprendere le modalità operative delle piattaforme web che utilizzano sistemi automatizzati di rating reputazionale.
Per questi motivi, dunque, perché il consenso risulti “libero” e “specifico”, e quindi validamente prestato, non è richiesto che l’interessato conosca il processo computazionale dell’algoritmo, ma è sufficiente (e necessario) che sia in grado di comprenderne lo schema operativo generale quale procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all'utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito.
Rendendo agli interessati una informativa che esponga in modo chiaro e facilmente comprensibile lo “schema esecutivo dell’algoritmo”, tale obiettivo di conoscibilità può pertanto dirsi raggiunto secondo la Suprema Corte.
Il titolare del trattamento deve dunque consentire agli interessati, tramite un’informativa chiara, completa ed esaustiva, di conoscere il procedimento attraverso il quale l’algoritmo utilizzato dalla piattaforma di rating reputazionale giunge al risultato finale e rispetto al quale sono chiamati a fornire il proprio consenso.
Poiché tutti i requisiti richiesti ai fini della validità del consenso erano presenti nel regolamento, regolarmente pubblicato sul sito web dell’Associazione e consultabile agevolmente dagli interessati – insieme alla simulazione della piattaforma - già prima della compilazione del modulo di iscrizione, la Cassazione ha accolto nel merito il ricorso presentato avverso il provvedimento del Garante privacy che è stato annullato dalla Suprema Corte.