Il ricorso sempre più sistematico ai sistemi di intelligenza artificiale per l’elaborazione ed il trattamento di dati personali impone l’osservanza delle prescrizioni in ambito privacy.
L’intelligenza artificiale, infatti, si esplica attraverso il ricorso ad algoritmi il cui funzionamento, essendo altamente complesso, rende altamente probabile che l’utente, interessato dal trattamento dei propri dati personali, possa non avere le competenze e le corrette ed esaustive informazioni per comprendere le implicazioni.
La non conoscibilità del tipo di trattamento dei dati personali, declinandosi nella lesione del principio della trasparenza da osservarsi per il trattamento dei dati, non può che determinare l’illiceità stessa del trattamento.
A tal proposito si è recentemente espressa la Suprema Corte di Cassazione, I sezione civile, con ordinanza n. 14381/2021 del 24 marzo 2021 e pubblicata lo scorso 25 maggio.
La questione posta al vaglio della prima sezione della Suprema Corte dall’Autorità Garante per la protezione dei dati personali (il Garante della Privacy) ha ad oggetto i requisiti di liceità del consenso prestato dall’utente in relazione a servizi di cd. rating reputazionale, ossia al ricorso ad un algoritmo che permette di acquisire e riunire sistematicamente informazioni dettagliate su onestà, abilità, competenze e meriti di una persona fisica o giuridica.
In sintesi, attraverso il rating reputazionale si misura il grado di fiducia meritato da una persona, sia essa fisica o giuridica.
Il Garante della Privacy ha proposto ricorso avverso la decisione del Tribunale di Roma che aveva parzialmente accolto il ricorso di una ONLUS per l’annullamento di un provvedimento con il quale lo stesso Garante aveva disposto il divieto di qualunque operazione di trattamento dei dati personali effettuata dalla Onlus per servizi aventi il fine di contrastare fenomeni basati sulla creazione di profili cd. “fake”, dunque artefatti e comunque inveritieri, calcolandone il cd. rating.
Il Tribunale accoglieva parzialmente il ricorso della Onlus, annullando il provvedimento del Garante della Privacy, non condividendo le ragioni di illiceità del trattamento della piattaforma ravvisate dal Garante stante l’assenza di una idonea cornice normativa, pur essendo tale sistema di rating potenzialmente idoneo ad incidere sulla rappresentazione economica e sociale di un’ampia categoria di soggetti.
Lo stesso Tribunale faceva tuttavia salva l’efficacia del divieto nella parte in cui l’attività di riferiva a dati personali di soggetti terzi, non associati alla Onlus.
I motivi per i quali il Garante ha impugnato la statuizione resa dal Tribunale di Roma riguardavano essenzialmente la non conoscibilità da parte dei soggetti titolari dei dati personali trattati dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza funzionale a rendere consapevole il consenso prestato dall’interessato.
La Corte ha precisato che, ai fini della liceità del trattamento basato sul consenso, ai sensi dell’art. 23 D. Lgs. 196/2003 (il Codice Privacy), tale consenso non sia da intendersi sic et simpliciter quale espressione di autonomia del privato, bensì quale consenso validamente prestato.
Tale consenso può dirsi tale solo se espresso liberamente e specificamente rispetto ad un trattamento “chiaramente individuato”.
Nel caso di specie, la liceità del trattamento basato sulla serietà della manifestazione del consenso avrebbe dovuto coincidere con la conoscibilità del meccanismo di funzionamento dell’algoritmo di rating. La scarsa trasparenza di quest’ultimo, seppur individuata nelle argomentazioni del Tribunale, non era stata adeguatamente valorizzata, sulla base della considerazione che “spetterebbe al mercato stabilire l’efficacia e la bontà del risultato, ovvero del servizio prestato dalla piattaforma”, in virtù della bontà del risultato o del servizio prestato.
Deve rilevarsi il diritto dell’individuo a non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato che produce effetti giuridici che lo riguardano in modo significativo, come sancito dall’art. 22 del GDPR. Questa disposizione, pur riferendosi alla profilazione, definita a grandi linee all’art. 4 del GDPR quale forma di elaborazione dei dati volta a “valutare alcuni aspetti personali relativi a un individuo, in particolare per analizzare o prevedere questioni riguardanti le prestazioni lavorative, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, il luogo o i movimenti di quell’individuo” deve ritenersi espandibile anche al rating reputazionale, salvo opportuni adattamenti.
La sentenza del Tribunale di Roma è stata cassata con rinvio indicando il principio di diritto secondo il quale in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato.
Il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
L’intelligenza artificiale, quantomeno laddove tratti dati personali, deve quindi essere preventivamente intellegibile nelle sue implicazioni dall’intelligenza umana di chi è chiamato a prestare il consenso al trattamento dei suoi dati personali.
Coautore Camilla Lentini
