Il consenso privacy non è valido se non è possibile comprendere le modalità di trattamento dei dati tramite un algoritmo

La Cassazione ha contestato la validità del consenso privacy al trattamento dei dati personali perchè non era possibile comprendere come i dati fossero trattati da un algoritmo.

Con sentenza n. 14381/2021, la Cassazione ha contestato la validità del consenso al trattamento dei dati personali prestato ad una piattaforma di rating reputazionale automatizzato di profili web perché le modalità di trattamento dei dati personali tramite l’algoritmo usato dalla piattaforma non erano indicate chiaramente.

La sentenza della Cassazione costituisce il tassello finale di una controversia incorsa nel 2016 tra il Garante per la protezione dei dati personali e Mevaluate Onlus, avente al centro il tema quanto mai attuale della trasparenza dell’algoritmo di sistemi di intelligenza artificiale e dei margini di validità del consenso privacy al trattamento dei dati personali.

Il modello avanzato da Mevaluate Onlus si proponeva di generare dei profili reputazionali di profili web al fine contrastare il fenomeno dei profili fake. In tal senso, tale trattamento avrebbe permesso ai consociati di presentare delle proprie “credenziali di affidabilità” a clienti e potenziali clienti. La società si proponeva di effettuare i trattamenti di dati personali strumentali alla creazione dei profili sulla base del consenso degli interessati. Tuttavia, tale consenso sarebbe stato prestato dagli interessati in assenza di adeguate informazioni circa il funzionamento dell’algoritmo alla base del sistema di rating.

La decisione della Suprema Corte accoglie il ricorso del Garante privacy avverso una Sentenza del Tribunale di Roma che aveva, a sua volta, parzialmente accolto il ricorso proposto da Mevaluate che si era vista vietare dal Garante la possibilità di implementare il proprio sistema di rating automatizzato.

Nella sentenza impugnata, il Tribunale di Roma aveva asserito che la conoscenza della logica alla base dell’algoritmo non fosse un presupposto di validità del consenso privacy, ma attenesse piuttosto ad una valutazione del mercato, a cui spetta “stabilire l’efficacia e la bontà del risultato o del servizio prestato”.

Tuttavia, tale interpretazione incontra lo sfavore della Cassazione, che sottolinea come le criticità privacy della piattaforma non siano “confinabili nel perimetro della risposta di mercato”, riguardando piuttosto i margini di validità del consenso prestato. In tal senso, non è ragionevole affermare che l’adesione a una piattaforma da parte dei clienti possa comprendere anche l’accettazione di un sistema automatizzato per la valutazione oggettiva di dati personali, “laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati“.

Nel risolvere il quesito, la Cassazione ha interpretato le disposizioni vigenti all’epoca della controversia basandosi esclusivamente sul Codice Privacy. Tuttavia, la sentenza solleva importanti riferimento alla disciplina attuale introdotta dal GDPR in materia di diritti dell’interessato ed attività di trattamento automatizzato. In tal senso, l’interessato ha diritto  ad ottenere “informazioni significative sulla logica algoritmica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento”.

A seguito del giudizio della Cassazione, il Tribunale di Roma dovrà procedere ad un nuovo giudizio conformandosi al principio di dritto secondo cui “in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato”.  Consequenzialmente, nel caso di una piattaforma web preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.

Questa decisione è rilevante perché è applicabile non solo con riferimento ai sistemi di intelligenza artificiale e agli algoritmi, ma in tutti i casi in cui l’informativa privacy non è sufficientemente trasparente e non consente all’interessato di comprendere le modalità di trattamento dei dati personali.

Su un simile argomento può essere interessante l’articolo “Commissione europea: pubblicata la Proposta di Regolamento sull’intelligenza artificiale”.