È del 25 maggio 2021 la sentenza della prima sezione civile della Corte di Cassazione che detta un nuovo principio di diritto in un ambito fortemente attuale, in cui manca ancora regolamentazione, come quello delle piattaforme web creatrici di profili reputazionali di persone fisiche e giuridiche.
La sentenza n. 14381 cassa il giudizio di primo grado del Tribunale di Roma, in cui il Garante della Privacy si vedeva richiedere l’annullamento del provvedimento di divieto di trattazione dei dati personali emesso nei confronti di un’Associazione finalizzata a contrastare i fenomeni basati sulla creazione di profili artefatti o inveritieri e calcolare in maniera imparziale il rating reputazionale dei soggetti aderenti in modo da permettere ad eventuali soggetti terzi di verificare la reale credibilità della persona.
Mentre il Tribunale di Roma, con la sentenza n. 5715/2018, accoglie parzialmente il ricorso dell’Associazione, annullando il provvedimento del Garante per la protezione dei dati personali, adducendo la facoltà di un privato ad organizzare i propri sistemi con autonomia in vista dell’ingresso sul mercato per concludere contratti e gestire rapporti economici – lasciando tutto in mano all’autonomia privata ed al mercato – ed affermando che “la realtà attuale, nazionale e sovranazionale, conosce diffusamente fenomeni di valutazione e di certificazione da parte di privati, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche” e che la mancanza di regolamentazione del “rating reputazionale” non possa essere letta come un difetto di leicità del sistema; la Corte di Cassazione ha analizzato la questione su un profilo totalmente differente.
Infatti, nel ricorso davanti alla Corte, il Garante Privacy ritiene immotivato l’annullamento del suo provvedimento nei confronti dell’Associazione da parte del Tribunale di Roma perché: il punteggio di rating della piattaforma è creato da un sistema automatizzato per la trattazione dei dati che si avvale di un algoritmo non conosciuto o conoscibile dal fruitore del servizio, quando invece sarebbe necessario il requisito della trasparenza per rendere consapevole il soggetto del consenso prestato nel momento di adesione alla piattaforma. Vi è così, secondo il Garante, la violazione del principio di leicità, correttezza e trasparenza.
Il focus della Suprema Corte si è concentrato sulla leicità del trattamento basato sul consenso. Infatti, il c.d. Codice Privacy (d.lgs. n. 196 del 2003) prevede non solo che per il trattamento dei dati personali debba essere espresso il consenso, ma che il consenso sia validamente prestato. Il consenso è trattato all’art. 23 del Codice Privacy che dispone: “1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato. 2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.”.
Secondo la Corte di Cassazione, ricollegandosi al dettato normativo, con l’espressione “chiaramente individuato”, il consenso si può definire espresso liberamente e specificatamente solo se preventivamente ci sia stata informazione in merito al trattamento definito nei suoi elementi essenziali. È il titolare del trattamento a dover fornire la prova che il trattamento sia riconducibile alle finalità per cui è stato validamente richiesto ed ottenuto il consenso. È per questo motivo che esprimere il consenso generico all’adesione alla piattaforma non può comprendere l’accettazione ad un sistema automatizzato che tratta i dati personali se non viene reso conoscibile il modo in cui l’algoritmo esegue il trattamento.
Cassando la sentenza del Tribunale di Roma, la Cassazione stabilisce il seguente punto di diritto: “in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato” aggiungendo: “ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.”
© RIPRODUZIONE RISERVATA
