Consenso al trattamento dati validamente prestato solo con la conoscenza dell’algoritmo
Solo la conoscenza dell'algoritmo produce un consenso consapevole - e quindi valido - al trattamento dei dati personali. Cassazione Sentenza n. 14381/2021
La Corte di Cassazione, Sezione I°, con Sentenza n. 14381 depositata in data 25 maggio 2021 depone un principio di diritto in materia di trattamento informatizzato dei dati personali, che se confermato ed applicato estensivamente potrebbe portare ad una rivoluzione dell’attuale prassi del trattamento informatizzato dati dell’utente internet.
Un colpo, anche, a quella retorica sull’intelligenza artificiale degli ultimi anni, descritta come risolutiva dei mille problemi dell’umanità ma sulla cui trasparenza viene tenuto un pesante velo di copertura 1.
Cosa è successo nel caso di specie?
Una iniziativa, fra l’altro italiana, di una associazione onlus (ma in realtà una società di diritto anglosassone come si evince dal sito della Holding dove si legge “Mevaluate's logo, claim and website are property of Mevaluate Holding Ltd (Ireland). ® All rights reserved”, e già qui si permetta di suggerire che il livello di trasparenza non è dei più adeguati) aveva ideato un metodo di attribuzione di valutazione e recensione delle persone, in particolare professionisti.
L’associazione di riprometteva di realizzare una piattaforma web (con annesso archivio informatico) preordinata alla elaborazione di profili reputazionali concernenti persone fisiche e giuridiche. Ciò avrebbe consentito di contrastare fenomeni basati sulla creazione di profili reputazionali non sinceri, calcolando in maniera imparziale, affidabile e oggettivamente misurabile il "rating reputazionale" dei soggetti censiti, in modo da consentire a eventuali terzi di poter verificare la loro reale credibilità.
L’iniziativa è passata al vaglio della Autorità per la protezione dei dati personali, la quale con provvedimento del novembre 2016 2 dichiarava che il trattamento di dati personali connesso ai servizi offerti da questa associazione non risultava conforme al Codice Privacy (artt. 2, 3, 11, 13, 23, 24 e 26 del Codice), e conseguentemente vietando qualunque operazione di trattamento (presente o futura) dei dati personali degli interessati.
Non ci si sofferma sulle motivazione apportate dal Garante Privacy, che scendono nel dettaglio dell’operazione messa in piedi dalla suddetta associazione. Ciò che qui interessa è l’esito della valutazione dei fatti posta all’attenzione della Corte di Cassazione. La sentenza della Corte di Cassazione non rileva tanto sul fatto se sia legittimo o meno un sistema di formazione di un elenco (banca dati) riguardante la reputazione di persone, professionisti o aziende, quanto, piuttosto, sul come sia permesso ad un sistema di elaborazione di trattare i dati personali.
Nei fatti, il provvedimento del Garante era stato impugnato e il Tribunale di Roma aveva parzialmente accolto il ricorso. Secondo il tribunale non avrebbe potuto negarsi all'autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato "valutativi", non essendo neppure il primo servizio teso a fornire una valutazione della attendibilità, citando l’esempio del rating aziendale 3.
Inoltre, secondo il tribunale, il trattamento era, in ogni caso, validato dal consenso dell’interessato – regolarmente raccolto – e quindi espressione di autonomia privata.
Le motivazioni del tribunale non trovano accoglimento presso la Suprema Corte che cassa la sentenza.
La conoscenza dell’algoritmo per un consenso consapevole
La Corte segnala che già il Garante aveva sollevata la questione della impossibilità di conoscere l'algoritmo utilizzato per determinare il rating reputazionale.
Nonostante la sbandierata – nei presupposti – trasparenza e metodicità nonché verificabilità della elaborazione del risultato finale, il Garante aveva appurato che mancava all’interessato la conoscenza di come, in definitiva, saltava fuori dal cappello dell’intelligenza artificiale il rating finale.
Da parte della Corte di Cassazione il consenso, prestato da parte dell’interessato, viene posto in relazione alla conoscenza dell’algoritmo da parte dello stesso.
Scrive la Corte che già propri precedenti hanno stabilito che “ ai fini della liceità del trattamento basato sul consenso, l'art. 23 del d.lgs. n. 196 del 2003 (cd. codice privacy) presuppone non solo il consenso, ma anche che il consenso sia validamente prestato (v. Cass. n. 17278-18, Cass. n. 16358-18)”. E cita che, secondo l’art. 23 del Codice Privacy, il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento "chiaramente individuato", se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13.
E qui sta il nucleo centrale delle argomentazioni della S.C.: “ In simile quadro di regole e principi l'espressione "chiaramente individuato" - che contraddistingue il trattamento del dato personale - presuppone che il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente. A tal riguardo è onere del titolare del trattamento fornire la prova che l'accesso e il trattamento contestati siano riconducibili alle finalità per le quali sia stato validamente richiesto - e validamente ottenuto - un consenso idoneo”.
E conclude affermando che “non può logicamente affermarsi che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati.”
Infine declama il seguente principio di diritto:
“in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all 'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati”.
Perché ciò è importante, anzi, rivoluzionario?
Se si estrapola il concetto dal caso specifico trattenendo solamente il sinallagma
“consenso consapevole” = “conoscenza dell’algoritmo”
che è poi il fondamento dei tutta l’argomentazione della Corte, ne ricaviamo che l’interessato non concede mai il proprio consenso, al trattamento dati, (poiché non consapevole) negli innumerevoli casi di trattamento automatizzato dei dati ad esempio da parte delle grandi piattaforme social (tipo facebook o twitter), oppure nell’erogazione della pubblicità on line basata sugli interessi, o qualunque altro servizio basato su algoritmi complessi e, fra l’altro, continuamente variabili nel tempo.
La Corte fa esplicito riferimento allo “schema esecutivo in cui l'algoritmo si esprime” e non a semplici informazioni base e semplificate.
Sorge, è evidente, un palese contrasto di interessi laddove il consenso si da per consapevolmente prestato solamente quando sia conoscibile “lo schema esecutivo” dell’algoritmo se si pensa che dall’altro lato i detentori dello stesso algoritmo solitamente celano gelosamente la tecnologia ad esso sottostante.
La Corte di Cassazione sinteticamente ci ricorda che l’interesse economico sottostante al grado di evoluzione e sofisticazione del software non può mai determinare un impoverimento della tutela della privacy.
Ne ricavo un implicito richiamo all’utilizzo della trasparenza del software, un inneggiare all’open source che per legge (italiana) dovrebbe essere il parametro di riferimento come abbiamo approfondito in “Preferenza per il software libero e open source nella Pubblica Amministrazione”.
Pare che la tutela della privacy e, per estensione, il Garante per il trattamento dei dati personali, sia diventato un raro baluardo a difesa dei diritti dei cittadini, non da ultimo proprio in materia di giustizia (e non solo: vedasi la posizione in ordine al green pass): “Soro (Garante Privacy) scrive al Ministro Bonafede per le udienze telematiche”.
Avv. Luca Marco Rasia
______________
1 - Questo e altre problematiche vengono a galla quando si tenta di affidare ad un software la soluzione di delicate questioni che fino ad oggi sono state affidate alla sensibilità dell’umano. Vedasi anche in questa Rivista “L’intelligenza artificiale applicata alla giustizia. I 5 principi etici dell'AI” oppure “Intelligenza artificiale: profili di responsabilità giuridica, tra diritto e fantascienza”
2 - Vedi il provvedimento nel sito dell’Autorità in “Piattaforma web per l’elaborazione di profili reputazionali - 24 novembre 2016”.
3 - A tal proposito già il provvedimento del Garante Privacy si era espresso e cito: “Al riguardo, non può trascurarsi, infatti, che gli altri sistemi di "accreditamento" riconosciuti attualmente dall´ordinamento derivano da previsioni di legge che ne individuano espressamente, salvo il rinvio a discipline più di dettaglio, le principali caratteristiche (v., ad esempio, il già citato "rating di legalità", ovvero il "rating di impresa" di cui all´art. 83, comma 10 del d.lgs. n. 50/2016); ciò appare coerente, del resto, con l´obiettivo di rendere disponibili alla collettività strumenti di valutazione universalmente riconosciuti, in grado di fornire agli utenti, attraverso un avallo formale che ne stabilisca puntualmente i requisiti e i limiti, elementi di giudizio certi e oggettivi, nonché imparziali e affidabili.”
---------------------------------------
Di seguito il testo di
Corte di Cassazione Sez. I, Sentenza n. 14381 dep. 25/05/2021
Fatti di causa
Se sei registrato esegui la procedura di Login, altrimenti procedi subito alla Registrazione. Non costa nulla!