Si è conclusa con l’ordinanza della Corte di Cassazione n. 14381/21, depositata lo scorso 25 maggio, la vicenda giudiziaria che ha visto finire nel mirino del Garante della privacy l’associazione Mevaluate. La Corte ha accolto il ricorso del Garante, cassando la sentenza impugnata e rinviando al Tribunale di Roma anche per le spese processuali. Questa pronuncia e il ragionamento sottostante cristallizzano quanto previsto dal GDPR, che espressamente riconosce agli interessati, laddove i loro dati personali siano destinati a essere utilizzati per l’assunzione di una decisione automatizzata, il diritto, tra l’altro, di ricevere in via preventiva alla manifestazione del consenso informazioni significative sulla logica utilizzata nell’algoritmo, nonché l’importanza e le conseguenze previste di tale trattamento.
Ricostruiamo per sommi capi la vicenda, fino alle motivazioni dell’ordinanza del 25 maggio.
La vicenda giudiziaria
Il provvedimento del Garante per la Privacy
Con provvedimento in data 24 novembre 2016 il Garante per la protezione dei dati personali aveva disposto, ai sensi dell’art. 154, comma 1, lett. d), Codice Privacy (d.lgs. n. 163 del 2016), il divieto di qualunque operazione di trattamento dei dati personali (presente e futura) effettuata dall’associazione Mevaluate per contrasto con gli artt. 2, 3, 11, 23, 24 e 26 del Codice medesimo. Nel mirino del Garante era finita, in particolare, la piattaforma web gestita dalla predetta associazione il cui obiettivo consisteva nel contrastare fenomeni basati sulla creazione di profili non veritieri e nel calcolare il c.d. “rating reputazionale” dei soggetti censiti, al fine di consentire a eventuali terzi una verifica di reale credibilità. Nella sostanza l’associazione in questione si proponeva di elaborare dei profili reputazionali per consentire agli associati di presentare delle proprie “credenziali” a clienti e potenziali clienti o, comunque, nelle dinamiche commerciali e professionali.
Il pronunciamento del Tribunale di Roma
Il Tribunale di Roma, al quale l’associazione chiedeva di annullare il provvedimento, riteneva non condivisibile la ragione di illiceità della piattaforma e del connesso trattamento dei dati personali, facendo salva l’efficacia del divieto quanto al solo trattamento dei dati personali per l’attività inerente il cd. “Profilo Contro”, riguardante soggetti terzi non associati a Mevaluate Onlus; di contro era dichiarato lecito il trattamento dei soggetti associati in quanto non avrebbe potuto negarsi all’autonomia privata la facoltà di organizzare sistemi di accreditamento.
Il ricorso in Cassazione: inconoscibilità dell’algoritmo e consenso
L’Avvocatura dello Stato, per conto del Garante, ricorreva quindi in Cassazione lamentandosi, tra i vari motivi, dell’omesso esame del fatto decisivo rappresentato dalla dedotta inconoscibilità dell’algoritmo utilizzato per l’assegnazione del punteggio di rating.
Il Tribunale nell’accogliere – almeno parzialmente – il ricorso della società in questione aveva ritenuto che la conoscenza della logica alla base del funzionamento dell’algoritmo non fosse presupposto di validità del consenso ma attenesse piuttosto a una valutazione successiva e eventuale del mercato nel cui ambito l’algoritmo in questione avrebbe potuto essere giudicato inadeguato, imperfetto o mal funzionante.
Le motivazioni della Corte di Cassazione: scarsa trasparenza dell’algoritmo e consenso manifesto
Diametralmente opposta è la conclusione della Corte di legittimità, che al riguardo ha concluso con ordinanza n. 14381/21, depositata lo scorso 25 maggio: “La scarsa trasparenza dell’algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta dall’impugnata sentenza la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe ‘il momento valutativo del procedimento’, a fronte del quale spetterebbe invece al mercato ‘stabilire l’efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma’. Questa motivazione non può essere condivisa giuridicamente, in quanto il problema non era (e non è) confinabile nel perimetro della risposta del mercato – sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli – rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi riconoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.