Una recente decisione della Cassazione (24.3.2021, n. 14.381), con brevi e chiari incisi, mette in crisi i sistemi di trattamento dei dati personali basati sull’algoritmo. Un algoritmo consiste in un sistema di elaborazione di dati finalizzato alla soluzione di un problema. Ve ne sono di vari tipi: quelli che associano volti e nomi; quelli che distinguono il soggetto dallo sfondo; quelli che riconoscono se due file sono identici o simili; quelli che associano musica e titoli. Poi ve ne sono alcuni, come quello oggetto della sentenza in esame, che rendono una valutazione sulla persona partendo dall’analisi di una serie di dati.

Gli algoritmi di questo genere sono molto diffusi nel sistema del credito e, in generale, nell’ambito di sistemi di scambio o nell’ambito dei contratti, poiché permettono di stimare l’affidabilità dei contraenti. Non a caso sono definiti sistemi reputazionali. Nel caso in esame è proprio un sistema reputazionale ad essere oggetto dell’attenzione del Garante della privacy, prima, e della Cassazione, poi. Il sistema in esame prevede che gli associati della Onlus parte di causa, previo consenso, venissero profilati mediante una piattaforma web, preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, diretta a arginare il fenomeno dei cosiddetti fake profile, cioè di false identità digitali create per i più vari fini.

Il sistema, per come viene descritto nella sentenza, sembra effettivamente lodevole e di positivo impatto sociale; tuttavia, ciò non può valere come giustificazione per l’operatività dello stesso in violazione – accertata nel merito e confermata in sede di legittimità – della disciplina di cui al Regolamento Ue 679/2016. In particolare, i giudici di legittimità, seguendo la linea difensiva avanzata dal Garante della privacy, affermano che il sistema in esame difetta di trasparenza e di valida espressione del consenso, anche richiamando a supporto precedenti pronunzie (Cass. 17278/2018 e Cass. 16358/2018).

La Cassazione ricorda, dapprima, che il consenso è valido solo se è espresso in modo libero e incondizionato, nonché su ogni specifico tipo di trattamento “chiaramente individuato”, rilevando la necessaria forma scritta per il trattamento dei dati particolari. Dando rilievo al criterio della “chiara individuazione”, il Garante specifica che alla base del trattamento dev’esservi un consenso previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali. Inoltre, ricorda che la chiara individuazione dev’essere provata dal titolare del trattamento.

Arrivati a questo punto, la Cassazione pone al centro la trasparenza dell’algoritmo, stabilendo che la valutazione del trattamento passa dall’analisi del funzionamento dell’algoritmo di calcolo del rating. Sul punto la Cassazione è poi chiarissima nello stabilire che l’algoritmo in causa è dotato di scarsa trasparenza. Infatti, secondo i giudici, un algoritmo del quale non sia chiaro il funzionamento inficia in modo inevitabile la validità del trattamento del dato, poiché il consenso, anche se sussistente, sarebbe viziato radicalmente dalla mancanza di conoscenza del trattamento, data proprio dalla scarsa chiarezza del funzionamento dello stesso.

Nemmeno si può sostenere, secondo la Cassazione, che l’adesione ad un’associazione possa valere a sanare i vizi sulla legittimità del trattamento, poiché un conto è l’adesione giuridica e morale ai fini dell’associazione, altro è la manifestazione di volontà al trattamento dei dati personali. Sul punto la pronuncia, implicitamente aderendo alle questioni di diritto sollevate dal Garante della privacy, riconosce la superiorità del diritto al trattamento dei dati personali rispetto a ogni altro diritto, data la sua natura di diritto fondamentale stabilito dalla Cedu.

Da ultimo, i giudici di legittimità concludono affermando il seguente principio di diritto: "In tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati".

Con questa chiara statuizione la Corte pone un onere in capo a chiunque voglia eseguire un trattamento dei dati mediante algoritmo, cioè quello di informare l’interessato al trattamento di come l’algoritmo impiegato elabora i dati personali dell’interessato stesso.

Stefano Iacobucci insegna all'università di Ferrara