giurisprudenza

Trasparenza dell’algoritmo, informativa e consenso: la Cassazione fa il punto



Indirizzo copiato

L’ordinanza numero 28358, pubblicata il 10 ottobre 2023, afferma che l’utente deve essere messo a conoscenza dello schema esecutivo dell’algoritmo, ma non delle operazioni matematiche che determinano i risultati

Pubblicato il 23 ott 2023

Massimo Borgobello

Avvocato a Udine co-founder dello Studio Legale Associato BCBLaw PHD e DPO Certificato 11697:2017



trasparenza algoritmo

La Corte di Cassazione si è espressa sulla trasparenza dell’algoritmo. Nell’ordinanza numero 28358, pubblicata il 10 ottobre 2023, affronta il tema in relazione alle informative fornite agli utenti nelle ipotesi in cui sia necessario il consenso degli stessi ai sensi dell’articolo 13 del G.D.P.R.

Per sintetizzare, l’utente deve essere messo a conoscenza dello schema esecutivo dell’algoritmo, ma non delle operazioni matematiche che determinano i risultati.

La vicenda processuale

L’ordinanza scaturisce da un doppio giudizio determinato dall’impugnazione di un provvedimento dell’Autorità Garante per il trattamento dei dati personali del 2016.

Il primo giudizio di impugnazione aveva visto una parziale vittoria dell’associazione ricorrente (il nome è anonimizzato), che aveva impostato un sistema che “mirava a costituire una piattaforma web, con il relativo archivio informatico, al fine dell’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale, il “rating reputazionale” dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità”.

Il Garante privacy aveva proposto ricorso per cassazione; la Suprema Corte aveva cassato con rinvio la decisione del Tribunale di Roma, “ritenendola viziata sotto il profilo delle condizioni di legittimità del trattamento dei dati personali degli stessi aderenti al sistema in base a consenso, che, ai sensi dell’art. 23 d.lgs. n. 196 del 2003, deve essere «validamente prestato», ossia «espresso liberamente e specificamente» in riferimento ad un trattamento «chiaramente individuato», e tale è solo quello in cui il soggetto sia stato previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali: mentre, nella specie, esso difetta per la scarsa trasparenza dell’algoritmo impiegato allo specifico fine, né rileva, come invece ritenuto dal tribunale, la risposta del mercato. «E – concludeva questa Corte – non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati»”.

Il secondo giudizio di merito aveva visto soccombere società ricorrente, per difetto di informativa e, quindi di consenso degli interessati.

Secondo il Tribunale di Roma, infatti, il Regolamento su cui era basato l’algoritmo “non spiega le modalità, o schema esecutivo, con cui è generato il rating dell’associato, ma descrive solo in termini comparatistici l’incidenza dei singoli dati presi in considerazione; non è spiegato come viene elaborato un risultato, ma solo come le variabili vengono valutate rispetto ad altre, ovvero se incidono di più o di meno, in senso favorevole o in senso sfavorevole, nel calcolo. Sarebbe stato necessario, invece, indicare il “peso specifico” delle componenti considerate dall’algoritmo nella determinazione del risultato e le modalità con cui si giunge ad esso, compresi i meccanismi di interazione tra i vari fattori; comunque, afferma il giudice, «nel regolamento è contenuta una valutazione comparatistica del peso che ha ciascun parametro/dato fornito dall’interessato, presa in considerazione dall’algoritmo per arrivare a una valutazione»”.

Da qui il rigetto da parte del Tribunale di Roma: “analizzati alcuni punti del regolamento, il Tribunale ha concluso nel senso che «[i]n definitiva il regolamento non esplicita lo schema esecutivo dell’algoritmo, ma fornisce solo un elenco dei fattori presi in considerazione per il rating delle varie categorie, senza precisare come questi dati vengano poi elaborati dall’algoritmo», e tal conclusione resta nonostante l’assistenza del consulente, così come prevista dal regolamento, perché l’intervento di questi non è programmato al momento della manifestazione del consenso, ma solo all’atto della creazione del profilo”.

Trasparenza dell’algoritmo: l’ordinanza

L’Associazione soccombente ha, quindi, proposto ricorso per cassazione; tema principale del ricorso, secondo la Corte è il rilievo per cui “è necessario comprendere il concetto di “schema esecutivo dell’algoritmo”, la cui definizione di portata generale è la seguente: «I passi che costituiscono lo schema devono essere “elementari”, ovvero non ulteriormente scomponibili (atomicità); i passi che costituiscono lo schema devono essere interpretabili in modo diretto e univoco dall’esecutore, sia esso umano o artificiale (non ambiguità); l’algoritmo deve essere finito, ossia composto da un numero definito di passi legati ad una quantità definita di dati in ingresso (finitezza); l’esecuzione dello schema deve avvenire entro un tempo finito (terminazione); l’esecuzione dello schema algoritmico deve condurre ad un unico risultato (effettività)»”.

Questo passaggio è dirimente per capire le ragioni per cui la Cassazione ha ribaltato il giudizio di merito, a partire dal paragrafo 4 dell’ordinanza: “Al giudice del merito era stato demandato di verificare, sulla base delle regole dell’iniziativa de qua, se il trattamento svolto con mezzi informatici fosse adeguatamente trasparente con riguardo all’algoritmo di calcolo del c.d. rating reputazionale, fulcro dell’intero sistema progettato al riguardo.

Secondo la sentenza rescindente, infatti, il necessario accertamento in punto di fatto – al fine di reputare la validità del consenso in ragione della sussistenza di una conoscenza effettiva consapevolezza delle finalità e modalità di espletamento del trattamento – riguardava la trasparenza e la conoscenza delle caratteristiche funzionali dell’algoritmo. Ciò che si richiedeva, cioè, non è che l’associato debba conoscere ex ante con certezza l’esito finale delle valutazioni che il sistema di intelligenza artificiale opera – perché altrimenti sarebbe quanto meno inutile – ma il procedimento che conduce alle medesime.

“4.2. – In matematica, un procedimento da seguire viene descritto sinteticamente da un’equazione, la quale si compone di variabili e di funzioni che le collegano.

L’algoritmo è un procedimento di risoluzione di un problema: da determinati dati di ingresso (input) derivano soluzioni (output). Lo ‘schema esecutivo’ di un algoritmo specifica, pertanto, i passi da eseguire in sequenza, per giungere al risultato.

Gli studiosi della materia precisano che un algoritmo è costruibile, se i dati ed il procedimento rispettano alcuni requisiti”.

Dall’analisi concettuale di cosa sia un algoritmo e di come esso funzioni, la Cassazione è passata a specificare cosa debba essere indicato con chiarezza nelle informative affinché il consenso dell’interessato sia valido, perché non è il risultato finale a dover essere prevedibile, ma il metro di valutazione.

La Corte, quindi, si è espressa nei seguenti termini al paragrafo 4.3 dell’ordinanza: “Il punto invero è che, nella vicenda per cui è causa – come in altre, dove similmente rileva nell’ordinamento la conoscibilità di previsioni affidate ad un algoritmo – non è la questione matematica a venire in rilievo: se non nei limiti in cui essa serva a comprendere se il consenso prestato dal soggetto possa dirsi consapevole ed informato; ossia se, come afferma l’ordinanza rescindente della Corte, il consenso sia stato, ai sensi dell’art. 23 d.lgs. n. 196 del 2003, «validamente prestato». Secondo l’art. 23 d.lgs. n. 196 del 2003, applicabile ratione temporis con riguardo al provvedimento del garante opposto, il consenso rende lecito il trattamento di dati personali da parte di privati, e, continua la norma, può riguardare l’intero trattamento ovvero una o più operazioni dello stesso. Esso «è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13»”.

Conclusioni

Trasparenza e diritto di informativa non sono sinonimi di indicazione espressa delle operazioni matematiche che costituiscono l’algoritmo, anzi.

Se un’informativa fosse scritta con linguaggio matematico si esporrebbe alla violazione opposta: sarebbe, infatti, incomprensibile per i più, pur nella massima trasparenza.

Dato che per ottenere un valido consenso ai fini del G.D.P.R. è necessario che il titolare si esprima in termini ampiamente comprensibili all’interessato, anche per mezzo di icone, l’informativa sugli algoritmi è raggiunta nel momento in cui si spiegano con chiarezza i termini delle funzioni e dei meccanismi dell’algoritmo.

Questo non significa che, in condizioni date, gli interessati non possano essere messi a conoscenza anche delle operazioni matematiche alla base dell’algoritmo: ad esempio in materia di diritto d’accesso verso la Pubblica Amministrazione nelle ipotesi di algoritmi utilizzati per procedure selettive.

Ma nel caso di privati, la trasparenza algoritmica viene in rilievo unicamente se connessa all’informativa fornita dal titolare all’interessato – e al relativo consenso.

La Cassazione ha precisato bene il punto, anche se la questione pareva già chiara sulla base dei principi di diritto già espressi in precedenza.

Articoli correlati