La Suprema Corte Civile, Sezione Prima alla quale è affidata la materia della protezione dei dati (per competenza interna) questa volta è stata chiamata a pronunciarsi, con l’ordinanza in commento, sulla legittimità di un sistema algoritmico che alimentava una piattaforma web concepita per il rating reputazionale di persone fisiche e giuridiche.
Lo scopo della piattaforma pure nobile: porre fine ai profili “artefatti o inveritieri”.
Il sistema matematico/algoritmico basato sul calcolo imparziale del rating reputazionale degli utenti censiti consentirebbe una verifica di reale credibilità. Così scrivono i Giudici.
Scendiamo nel merito.
GDPR, i ruoli privacy devono essere funzionali: così si è espressa la Cassazione
Indice degli argomenti
Trasparenza dell’algoritmo: i fatti di causa
Un’Associazione/ente giuridico evidentemente esperto nel settore informatico, ha costituito, già da prima del GDPR, una piattaforma web e annesso archivio informatico, per elaborare dei profili sia di persone che di società sui quali calcolare in modo imparziale tratti legati alla sfera della reputazione.
In estrema sintesi, un rating reputazionale. Il tutto al fine di contrastare falsi profili.
Il precedente del Garante privacy
Nel novembre del 2016, agli albori dell’entrata in vigore del GDPR, l’allora Autorità Garante Privacy, formata dal precedente Collegio, ha vietato all’Associazione per cui è causa “il trattamento presente o futuro dei dati personali” effettuato dalla piattaforma.
L’Ente ha impugnato questo provvedimento avanti al Tribunale di Roma che ha accolto parzialmente il ricorso, annullando il provvedimento “per tutto quanto non concerneva il trattamento dei dati personali per l’attività inerente al cd profilo contro riguardante soggetti terzi non associati”, come si ha modo di leggere nella pronuncia in commento.
Il Garante della Privacy, a sua volta, ha impugnato ricorrendo per Cassazione sulla base del fatto che la piattaforma web avrebbe inciso negativamente sulla dignità delle persone.
La Suprema Corte, per contro, ha cassato con rinvio la decisione del Giudice di prime cure, ritenendola “… viziata sotto il profilo delle condizioni di legittimità del trattamento dei dati personali degli stessi aderenti al sistema in base al consenso”.
La partita si gioca dunque sui due pilastri portanti in concreto: l’informativa e il consenso privacy.
Le ragioni della decisione
Le ragioni della decisioni, nella sostanza, si basano sul meccanismo informativa e consenso. Non a caso scrivono gli Ermellini al riguardo che il consenso deve essere “… espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato, e tale è solo quello in cui il soggetto sia stato previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali”.
Ne consegue che per verificare se sia o meno legittimo l’utilizzo dell’algoritmo occorre valutare se quest’ultimo risponda a tutti i crismi dettati dalla disciplina del consenso, e secondo la Cassazione, nel caso di specie “sono presenti tutti gli elementi per considerare il consenso validamente prestato” poiché, sempre nella vicenda che ci occupa, “è richiesto che l’aspirante associato sia in grado di conoscere l’algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all’utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito”.
Ecco la chiave: non importa quando complicata sia la formula matematica sottesa al sistema algoritmico, basta che l’iter procedimentale venga spiegato all’utente/interessato in modo semplice. D’altra parte, non è richiesto agli utenti, né avrebbe senso che lo fosse, di comprendere il linguaggio scientifico a fondamento delle soluzioni algoritmiche.
È infatti più che sufficiente gli utenti siano resi edotti della sussistenza di un algoritmo, e nulla di più.
Ecco perché la Cassazione perviene alla conclusione che la piattaforma web sia in linea con la privacy valutando “il procedimento svolto attraverso l’algoritmo… trasparente”.
A differenza di quanto invece ha sempre pensato il Garante a fronte di una rilevante mole di dati di natura (anche) personali confluenti tutti nella piattaforma e nel suo relativo archivio telematico.
Il punto saliente
Nell’individuare il punto saliente, ecco che notiamo come ancora una volta torni in auge l’informativa e, a braccetto, il consenso anche laddove la legittimità del trattamento concerni l’utilizzo dell’algoritmo. In pratica, condividendo in toto quanto scritto in un altro articolo “il consenso è valido, se l’algoritmo è spiegato semplice”.
D’altra parte, il consenso già prima del GDPR e a maggior ragione dopo, dovendo essere una manifestazione di volontà esplicita, espressa, specifica e inequivocabile frutto di una scelta libera a fronte di una dichiarazione di scienza (l’informativa) la quale deve essere compresa da tutti e quindi resa comprensibile a chiunque.
Diversamente, si genera un vizio, tanto nella forma quanto nel contenuto, tale da inficiare la validità del consenso prestato. Tutto qui; ed è essenziale se non anche elementare capire questi due concetti intimamente connessi, già rudimenti dell’intero sistema.
GDPR, decisione storica della Cassazione: ecco i parametri delle sanzioni privacy
Algoritmi sì, ma in linea con la privacy
La tesi sostenuta dall’ente/Associazione nel giudizio di Cassazione risiede in gran parte nel concetto di “schema esecutivo” dell’algoritmo.
Facciamo un passo indietro, chiedendoci che cos’è un algoritmo? È “la ricetta del budino al cioccolato” con la stessa semplicità con la quale mi è stato autorevolmente insegnato. In altri termini, si tratta di un insieme di passaggi predefiniti che risolvono problemi/compiti, attraverso delle funzioni e grazie a una sequenza di passaggi determinati che in matematica sono descritti da un’equazione che si compone di variabili e funzioni che la collegano.
Tornando all’ordinanza in disamina, lo “schema esecutivo” di un algoritmo specifica, dunque, i passi da seguire in sequenza al fine di arrivare al risultato.
Non a caso la Cassazione rammenta che “l’algoritmo è un procedimento di risoluzione di un problema: da determinati dati di ingresso (input) derivano soluzioni (output)”.
Ecco perché i Giudici di legittimità scrivono che “l’algoritmo deve essere finito, ossia composto da un numero definito di passi legati ad una quantità definita di dati in ingresso”; e non solo aggiungono poi anche che “l’esecuzione dello schema deve avvenire entro un tempo finito” conducendo ad un unico risultato. In pratica, i parametri di riferimento di un sistema algoritmico sono:
- finitezza
- terminazione
- effettività
Ecco perché gli Ermellini ritengono l’algoritmo in parola rispettare tutti i crismi previsti da “i passaggi elementari, univoci, di numero finito, operabili in un tempo determinato e con un risultato unico”.
L’insegnamento
In definitiva, quello che si richiede più in generale, e questo vuol essere anche l’insegnamento della Suprema Corte, non è tanto la possibilità per l’associando/aspirante socio di conoscere prima l’esito finale delle valutazioni che il sistema compie, ma il procedimento che conduce alle stesse.
Per la validità del consenso, dunque, come si legge in un passo della pronuncia “ciò che rileva è che sia possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati in chiaro come descritti dal Regolamento per determinare il rating”. Tutto qui.
