TUTELA DEI DATI PERSONALI
Corte di Cassazione: valido il consenso al trattamento dei dati mediante algoritmo reputazionale se sono conoscibili le modalità del suo funzionamento.
Il Garante Privacy aveva vietato ad una Onlus il trattamento presente o futuro dei dati personali effettuato tramite il suo sistema Alfa, per contrasto con gli artt. 2, 3, 1, 23, 24 e 26 del D.Lgs. n. 196/2003. Nello specifico, tale sistema mirava a costituire una piattaforma web, con il relativo archivio informatico, al fine dell'elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili fake e di calcolare in maniera imparziale, il c.d. rating reputazionale dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità.
Promosso un procedimento a seguito di ricorso da parte della Onlus, il Tribunale, decidendo a seguito di rinvio, disattendeva le ragioni della ricorrente e confermava quanto stabilito dall'Authority.
La questione giunge così davanti alla Corte Suprema. In tale sede, la Onlus lamenta, tra le altre, che il Tribunale non si sarebbe uniformato a quanto stabilito dal Giudice di legittimità in sede di rinvio, il quale «aveva ritenuto lecito il consenso prestato sulla base della conoscibilità dello schema esecutivo dell'algoritmo e gli elementi di cui si compone».
In risposta alla doglianza, la Cassazione osserva innanzitutto che il Tribunale doveva verificare, sulla base delle regole dell'iniziativa de qua, se il trattamento svolto con mezzi informatici fosse adeguatamente trasparente con riguardo all'algoritmo di calcolo del c.d. rating reputazionale, fulcro dell'intero sistema progettato. Con la sentenza rescindente, dunque, si richiedeva non «che l'associato debba conoscere ex ante con certezza l'esito finale delle valutazioni che il sistema di intelligenza artificiale opera – perché altrimenti sarebbe quanto meno inutile – ma il procedimento che conduce alle medesime».
Presupposto ciò, l'algoritmo è un procedimento di risoluzione di un problema: da determinati dati di ingresso (input) derivano soluzioni (output). Lo “schema esecutivo” di un algoritmo specifica, pertanto, i passi da eseguire in sequenza, per giungere al risultato.
Quando, come nel caso di specie, «i dati personali sono destinati ad essere “lavorati” da un algoritmo, dovrà dunque anche tale modalità essere coperta dal consenso». Di conseguenza, ad integrare i presupposti del “libero e specifico” consenso, affinché esso sia legittimo e valido, è richiesto che «l'aspirante associato sia in grado di conoscere l'algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all'utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito». Che, poi, «il procedimento (..) sia altresì idoneo ad essere tradotto in linguaggio matematico è tanto necessario e certo, quanto irrilevante: ed invero, non è richiesto né che tale linguaggio matematico sia osteso agli utenti, né, tanto meno, che essi lo comprendano». Ciò che rileva, invece, «è che sia possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga opportunamente comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati “in chiaro”, come descritti nel regolamento più volte citato».
Sulla base di questi presupposti, può rilevarsi che, a seguito degli accertamenti compiuti dal Giudice del merito, tali parametri di riferimento erano tutti presenti nel caso di specie. Pertanto, il ricorso presentato dalla Onlus viene accolto con ordinanza n. 28358 del 10 ottobre.
(Fonte: SEAC Giuridica - Titolarità dei contenuti: SEAC Giuridica).
Promosso un procedimento a seguito di ricorso da parte della Onlus, il Tribunale, decidendo a seguito di rinvio, disattendeva le ragioni della ricorrente e confermava quanto stabilito dall'Authority.
La questione giunge così davanti alla Corte Suprema. In tale sede, la Onlus lamenta, tra le altre, che il Tribunale non si sarebbe uniformato a quanto stabilito dal Giudice di legittimità in sede di rinvio, il quale «aveva ritenuto lecito il consenso prestato sulla base della conoscibilità dello schema esecutivo dell'algoritmo e gli elementi di cui si compone».
In risposta alla doglianza, la Cassazione osserva innanzitutto che il Tribunale doveva verificare, sulla base delle regole dell'iniziativa de qua, se il trattamento svolto con mezzi informatici fosse adeguatamente trasparente con riguardo all'algoritmo di calcolo del c.d. rating reputazionale, fulcro dell'intero sistema progettato. Con la sentenza rescindente, dunque, si richiedeva non «che l'associato debba conoscere ex ante con certezza l'esito finale delle valutazioni che il sistema di intelligenza artificiale opera – perché altrimenti sarebbe quanto meno inutile – ma il procedimento che conduce alle medesime».
Presupposto ciò, l'algoritmo è un procedimento di risoluzione di un problema: da determinati dati di ingresso (input) derivano soluzioni (output). Lo “schema esecutivo” di un algoritmo specifica, pertanto, i passi da eseguire in sequenza, per giungere al risultato.
Quando, come nel caso di specie, «i dati personali sono destinati ad essere “lavorati” da un algoritmo, dovrà dunque anche tale modalità essere coperta dal consenso». Di conseguenza, ad integrare i presupposti del “libero e specifico” consenso, affinché esso sia legittimo e valido, è richiesto che «l'aspirante associato sia in grado di conoscere l'algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all'utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito». Che, poi, «il procedimento (..) sia altresì idoneo ad essere tradotto in linguaggio matematico è tanto necessario e certo, quanto irrilevante: ed invero, non è richiesto né che tale linguaggio matematico sia osteso agli utenti, né, tanto meno, che essi lo comprendano». Ciò che rileva, invece, «è che sia possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga opportunamente comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati “in chiaro”, come descritti nel regolamento più volte citato».
Sulla base di questi presupposti, può rilevarsi che, a seguito degli accertamenti compiuti dal Giudice del merito, tali parametri di riferimento erano tutti presenti nel caso di specie. Pertanto, il ricorso presentato dalla Onlus viene accolto con ordinanza n. 28358 del 10 ottobre.
(Fonte: SEAC Giuridica - Titolarità dei contenuti: SEAC Giuridica).
