Vai menu di sezione

Cassazione Civile, sez. I – ordinanza n. 28358/2023: lecito il rating reputazionale a mezzo di algoritmo quando l’utente ne conosce il procedimento
10 ottobre 2023

Con l’ordinanza n. 28358 del 2023 la prima sezione della Corte di cassazione civile ha confermato la liceità del rating reputazionale operato tramite un algoritmo quando l’interessato abbia avuto conoscenza del suo procedimento e prestato un valido e libero consenso al suo utilizzo.

Numero
28358
Anno
2023

I fatti

L’associazione ricorrente creava una piattaforma web in grado di elaborare, mediante un algoritmo, il profilo reputazionale di persone fisiche e giuridiche a partire dalle informazioni fornite dagli stessi utenti. In questo modo, gli utenti potevano creare un proprio profilo reputazionale (“profilo a favore”), ma anche verificare la credibilità di soggetti terzi tramite l’elaborazione di un “profilo contro”.

Nel 2016 il Garante per la Protezione dei Dati Personali sanzionava l’associazione per aver violato la normativa in materia di privacy. Secondo l’Autorità, mancava anzitutto un’idonea base giuridica del trattamento di profilazione, non potendosi questa rinvenire nel consenso degli utenti ad utilizzare la piattaforma. In secondo luogo, non poteva considerarsi libero il consenso dei soggetti esterni alla piattaforma di cui veniva creato il “profilo contro”.

L’associazione impugnava il provvedimento innanzi al Tribunale di Roma, che lo annullava parzialmente, ritenendo illegittimo il solo trattamento concernente i “profili contro” dei terzi non associati alla piattaforma. Il Garante della Privacy presentava ricorso davanti alla Corte di cassazione.

 

L’ordinanza n. 14381 del 25/05/2021 e il nuovo giudizio del Tribunale di Roma

Contrariamente a quanto affermato in primo grado, la Corte di cassazione riteneva illegittimo anche il trattamento dei dati personali degli utenti della piattaforma. In particolare, la Corte escludeva che l’adesione a una piattaforma potesse comprendere anche l'accettazione di un sistema automatizzato basato su un algoritmo per la valutazione oggettiva di dati personali qualora non fossero stati resi conoscibili lo schema esecutivo e gli elementi considerati dall’algoritmo nelle sue elaborazioni.

La trasparenza dell’algoritmo sarebbe, pertanto, requisito fondamentale per verificare la formazione di un libero e valido consenso al trattamento.

La pronuncia del Tribunale di Roma veniva cassata con rinvio. Nel nuovo giudizio, il Tribunale respingeva il ricorso dell’associazione. Secondo i giudici, l’associazione avrebbe dovuto spiegare come viene elaborato un risultato, indicando il “peso specifico” delle componenti valutate dall’algoritmo e le modalità (“schema esecutivo”) con cui si genera il rating, le quali ricomprendono anche i meccanismi di interazione tra i vari fattori. L’associazione, invece, aveva fornito solo «un elenco dei fattori presi in considerazione per il rating delle varie categorie, senza precisare come questi dati vengano poi elaborati dall’algoritmo».

A seguito di tale decisione, l’associazione impugna la sentenza andando nuovamente innanzi alla prima sezione della Corte di cassazione.

 

L’ordinanza n. 28358 del 10/10/2023

Con il primo motivo di ricorso, l’associazione contesta che il Tribunale di Roma abbia dato un’interpretazione eccessivamente ampia di “schema esecutivo”, arrivando a far coincidere tale concetto con il funzionamento matematico dell’algoritmo. Secondo la ricorrente, la condivisione di tali informazioni tecniche – in ogni caso rinvenibili nella richiesta di brevetto europeo, così come addotto con il secondo motivo di ricorso – «non attiene all'esigenza di trasparenza e conoscibilità dell'algoritmo, in quanto presuppone conoscenze altamente specialistiche».

La spiegazione dello “schema esecutivo” deve quindi consistere nella descrizione di un procedimento i cui passi siano numericamente definiti (finitezza), non ulteriormente scomponibili (atomicità) e interpretabili in modo diretto e univoco dall’esecutore umano o artificiale (non ambiguità). L’esecuzione dello schema deve avvenire entro un tempo finito (terminazione) e condurre a un unico risultato (effettività).

La Corte di cassazione ha individuato, come nodo centrale della questione, la necessità di verificare se le informazioni fornite dall’associazione siano state idonee a rendere conoscibile l’algoritmo nella misura necessaria ad esprimere un valido consenso al suo utilizzo per il rating reputazionale. Infatti, il consenso al trattamento dei dati è valido, libero e informato solo quando l’interessato sia stato previamente e debitamente informato circa le finalità e le modalità del trattamento.

La Corte ha ritenuto che l'aspirante associato debba essere in grado di conoscere l'algoritmo, inteso come «procedimento affidabile per ottenere un certo risultato o risolvere un certo problema», per poter acconsentire al suo utilizzo. Tale procedimento deve essere descritto all'utente «in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito».

La Corte ha dunque affermato che ciò che gli utenti devono conoscere ex ante e con certezza è il procedimento che conduce alle valutazioni finali, non il contenuto di esse. Di conseguenza, elementi quali il “peso specifico” dei fattori valutati dall’algoritmo non sono rilevanti. Più in generale, la Cassazione ha sottolineato come la questione del funzionamento matematico assuma rilevanza solamente nella misura in cui fornisca indicazioni circa la validità del consenso informato.

Il testo dell'ordinanza è disponibile al seguente link e nel box download

Laura Piva
Pubblicato il: Martedì, 10 Ottobre 2023 - Ultima modifica: Sabato, 02 Marzo 2024
torna all'inizio