la sentenza

“L’algoritmo deve essere trasparente”, la Cassazione rilancia il GDPR

Nel giorno del terzo compleanno del GDPR, la Corte di Cassazione deposita una sentenza che riprende un principio centrale del regolamento. Non c’è consenso senza trasparenza. Ecco perché è punto importante

Pubblicato il 26 Mag 2021

Guido Scorza

Autorità Garante Privacy

algoritmo_531875605

È stata depositata proprio nel giorno del terzo compleanno del GDPR, la sentenza con la quale la Corte di Cassazione – per la verità applicando la disciplina previgente all’entrata in vigore del GDPR – ha messo nero su bianco un principio centrale nell’economia delle nuove regole europee in materia di protezione dei dati personali e, soprattutto, del governo dell’intelligenza artificiale.

Non c’è consenso senza trasparenza dell’algoritmo

Il principio in questione dice che quando si chiede a una persona il consenso a trattare i propri dati personali perché siano dati in pasto a un algoritmo al fine di pervenire a una decisione automatizzata capace di incidere sui propri diritti, il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo.

Commissione UE: “Ecco la vera forza del Regolamento AI”

In altre parole, meno tecniche ma più accessibili anche ai non addetti ai lavori: il consenso non vale se l’algoritmo non è trasparente semplicemente perché non può essere consapevole per davvero un consenso a un trattamento di dati personali senza conoscere esattamente come verranno utilizzati per giungere a una determinata decisione.

La sentenza della Cassazione

I giudici della Corte di Cassazione, nell’accogliere il ricorso del Garante avverso una Sentenza del Tribunale di Roma che aveva, a sua volta, parzialmente accolto il ricorso proposto da una società che si era vista vietare dal Garante la possibilità di implementare un complesso sistema di rating reputazionale hanno interpretato le disposizioni all’epoca (2016) dettate dal Codice Privacy in materia di caratteristiche dell’interessato.

Nella sostanza, infatti, la società in questione si proponeva di elaborare dei profili reputazionali degli associati a un’associazione al fine di consentire a questi ultimi di presentare delle proprie “credenziali” a clienti e potenziali clienti o, comunque, nelle dinamiche commerciali e professionali e si proponeva di porre in essere i trattamenti di dati personali strumentali all’elaborazione di tali profili sulla base del consenso degli interessati, un consenso, tuttavia, prestato senza che agli interessati fosse illustrato preventivamente il funzionamento dell’algoritmo utilizzato per l’elaborazione del profilo.

Il Tribunale nell’accogliere – almeno parzialmente – il ricorso della società in questione aveva ritenuto che la conoscenza della logica alla base del funzionamento dell’algoritmo non fosse presupposto di validità del consenso ma attenesse piuttosto a una valutazione successiva e eventuale del mercato nel cui ambito l’algoritmo in questione avrebbe potuto essere giudicato inadeguato, imperfetto o mal funzionante.

Non così secondo i Giudici della Cassazione che nel bocciare la decisione dei Giudici di primo grado scrivono: “La scarsa trasparenza dell’algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta dall’impugnata sentenza la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe ‘il momento valutativo del procedimento’, a fronte del quale spetterebbe invece al mercato ‘stabilire l’efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma’. Questa motivazione non può essere condivisa giuridicamente, in quanto il problema non era (e non è) confinabile nel perimetro della risposta del mercato – sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli – rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi riconoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.

Non si può dire di si, insomma, al trattamento dei nostri dati personali attraverso un algoritmo del quale il titolare del trattamento non ci ha preventivamente raccontato logiche e dinamiche di funzionamento.

Un principio importante

Difficile non condividere il ragionamento degli ermellini che, d’altra parte, oggi è cristallizzato in quanto previsto dal GDPR che espressamente riconosce agli interessati, laddove i loro dati personali siano destinati a essere utilizzati per l’assunzione di una decisione automatizzata, il diritto, tra l’altro, di ricevere, evidentemente preventivamente rispetto all’eventuale prestazione del consenso al trattamento, “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento”.

Tanto, peraltro, a prescindere dalla circostanza che il GDPR, almeno in principio, stabilisce che “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” (art. 22.1, GDPR).

E questa regola soffre poche eccezioni, ovvero che la decisione:

  • a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  • b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  • c) si basi sul consenso esplicito dell’interessato.”.

La disciplina sulla protezione dei dati personali, dunque, come la Sentenza di ieri della Suprema Corte di Cassazione suggerisce, sembra davvero rappresentare un volano irrinunciabile e, and oggi, il presidio più prezioso nel governo dell’intelligenza artificiale come, d’altra parte, sembra confermare la proposta di Regolamento dell’Unione europea proprio in materia di intelligenza artificiale che, sotto molteplici profili – incluso quello oggetto della Sentenza – di fatto applica il metodo GDPR proprio dell’intelligenza artificiale.

I Giudici della Cassazione, insomma, hanno fatto un bel regalo di compleanno al GDPR sottolineandone implicitamente la modernità e la centralità nel governo del futuro prossimo venturo, società degli algoritmi inclusa.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2