Cosa succede se non spieghi nell’informativa privacy il funzionamento dell’algoritmo?

La Corte di Cassazione ha fatto chiarezza sul punto, pronunciandosi recentemente con ordinanza n. 14381 del 25 maggio 2021 nell’ambito di una vicenda che vede coinvolta una Onlus e l’Autorità Garante per la protezione dei dati personali, in relazione alla creazione di una piattaforma web di rating reputazionale.

La pronuncia arriva a seguito di un procedimento instaurato dalla Onlus che si era vista negare dall’Autorità Garante la possibilità di realizzare una piattaforma web preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche. Il sistema era volto anzitutto a contrastare fenomeni basati sulla creazione di profili reputazionali “artefatti” o “inveritieri”, mediante il calcolo “imparziale, affidabile e oggettivamente misurabile” del “rating reputazionale” dei soggetti censiti, in modo da consentire a eventuali terzi di poter verificare la loro reale credibilità.

La credibilità degli interessati veniva in primo luogo valutata da consulenti reputazionali sulla base dei documenti caricati sulla piattaforma dagli stessi interessati. Verificata la veridicità dei documenti, il sistema provvedeva a calcolare mediante un sofisticato algoritmo matematico un “punteggio” complessivo da assegnare agli interessati (c.d. “rating reputazionale”) atto a determinarne il grado di affidabilità del singolo utente.

Il servizio presupponeva l’iscrizione ad una Onlus e veniva attivato su adesione volontaria degli utenti. Le loro informazioni e documenti e, quindi, i loro dati personali (compresi i profili reputazionali) sarebbero stati trattati solo previo espresso consenso. Consenso che avrebbe riguardato anche le successive operazioni di trattamento effettuate da terzi (visualizzazione, estrazione e riutilizzo dei dati e dei documenti).

L’Autorità Garante ha ritenuto il trattamento troppo pervasivo per gli interessati, a causa della delicatezza delle informazioni coinvolte, del possibile impatto sugli interessati e delle modalità di trattamento, disponendo quindi il divieto di qualunque operazione di trattamento presente e futura.  L’Associazione intentava quindi ricorso per richiedere l’annullamento del provvedimento al Tribunale di Roma, che ha ritenuto leciti i servizi forniti mediante la piattaforma ed il trattamento di dati svolto, sostenendo che l’adesione volontaria al servizio fosse l’espressione del superiore principio di autonomia privata.

Il Garante, contestando il rispetto del principio di trasparenza e la validità del consenso acquisito dalla Onlus, promuoveva allora ricorso in Cassazione, in quanto l’utente non era stato informato sul funzionamento dell’algoritmo utilizzato per l’assegnazione del rating.

Sul punto, infatti, va ricordato che gli artt. 13 e 14 del Reg. UE 679/2016 impongono al titolare del trattamento dei dati di inserire nell’informativa privacy indicazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

A sostegno della tesi esposta dal Garante, la Suprema Corte ha rilevato che durante il giudizio di primo grado “la scarsa trasparenza dell’algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta”. La Corte ha proseguito affermando che:

  • il giudice di prime cure non aveva valutato il rispetto dei requisiti di trasparenza e validità del consenso, ossia la conoscenza da parte dell’interessato del trattamento effettuato mediante l’algoritmo;
  • con riferimento ai sistemi di intelligenza artificiale, il consenso fornito dall’utente può essere considerato valido solo qualora quest’ultimo sia stato informato dal titolare sulle logiche di funzionamento alla base dell’algoritmo.

Logiche che, in concreto, non erano state rese note dalla Onlus.

Inoltre, ai sensi dell’art. 22 del GDPR, l’utente ha il diritto di non essere sottoposto ad una “decisione basata unicamente sul trattamento automatizzato”, salvo alcune specifiche eccezioni. In alcuni casi, inoltre, l’interessato vanta il diritto di richiedere un processo decisionale che preveda l’intervento umano e di esprimere la propria opinione a riguardo, oltre che di contestarne la decisione.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?