È stata depositata proprio nel giorno del terzo compleanno del GDPR, la sentenza con la quale la Corte di Cassazione – per la verità applicando la disciplina previgente all’entrata in vigore del GDPR – ha messo nero su bianco un principio centrale nell’economia delle nuove regole europee in materia di protezione dei dati personali e, soprattutto, del governo dell’intelligenza artificiale.
Non c’è consenso senza trasparenza dell’algoritmo
Il principio in questione dice che quando si chiede a una persona il consenso a trattare i propri dati personali perché siano dati in pasto a un algoritmo al fine di pervenire a una decisione automatizzata capace di incidere sui propri diritti, il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo.
In altre parole, meno tecniche ma più accessibili anche ai non addetti ai lavori: il consenso non vale se l’algoritmo non è trasparente semplicemente perché non può essere consapevole per davvero un consenso a un trattamento di dati personali senza conoscere esattamente come verranno utilizzati per giungere a una determinata decisione.
La sentenza della Cassazione
I giudici della Corte di Cassazione, nell’accogliere il ricorso del Garante avverso una Sentenza del Tribunale di Roma che aveva, a sua volta, parzialmente accolto il ricorso proposto da una società che si era vista vietare dal Garante la possibilità di implementare un complesso sistema di rating reputazionale hanno interpretato le disposizioni all’epoca (2016) dettate dal Codice Privacy in materia di caratteristiche dell’interessato.
Nella sostanza, infatti, la società in questione si proponeva di elaborare dei profili reputazionali degli associati a un’associazione al fine di consentire a questi ultimi di presentare delle proprie “credenziali” a clienti e potenziali clienti o, comunque, nelle dinamiche commerciali e professionali e si proponeva di porre in essere i trattamenti di dati personali strumentali all’elaborazione di tali profili sulla base del consenso degli interessati, un consenso, tuttavia, prestato senza che agli interessati fosse illustrato preventivamente il funzionamento dell’algoritmo utilizzato per l’elaborazione del profilo.
Il Tribunale nell’accogliere – almeno parzialmente – il ricorso della società in questione aveva ritenuto che la conoscenza della logica alla base del funzionamento dell’algoritmo non fosse presupposto di validità del consenso ma attenesse piuttosto a una valutazione successiva e eventuale del mercato nel cui ambito l’algoritmo in questione avrebbe potuto essere giudicato inadeguato, imperfetto o mal funzionante.
Non così secondo i Giudici della Cassazione che nel bocciare la decisione dei Giudici di primo grado scrivono: “La scarsa trasparenza dell’algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta dall’impugnata sentenza la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe ‘il momento valutativo del procedimento’, a fronte del quale spetterebbe invece al mercato ‘stabilire l’efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma’. Questa motivazione non può essere condivisa giuridicamente, in quanto il problema non era (e non è) confinabile nel perimetro della risposta del mercato – sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli – rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi riconoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.
Non si può dire di si, insomma, al trattamento dei nostri dati personali attraverso un algoritmo del quale il titolare del trattamento non ci ha preventivamente raccontato logiche e dinamiche di funzionamento.
Un principio importante
Difficile non condividere il ragionamento degli ermellini che, d’altra parte, oggi è cristallizzato in quanto previsto dal GDPR che espressamente riconosce agli interessati, laddove i loro dati personali siano destinati a essere utilizzati per l’assunzione di una decisione automatizzata, il diritto, tra l’altro, di ricevere, evidentemente preventivamente rispetto all’eventuale prestazione del consenso al trattamento, “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento”.
Tanto, peraltro, a prescindere dalla circostanza che il GDPR, almeno in principio, stabilisce che “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” (art. 22.1, GDPR).
E questa regola soffre poche eccezioni, ovvero che la decisione:
- a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- c) si basi sul consenso esplicito dell’interessato.”.
La disciplina sulla protezione dei dati personali, dunque, come la Sentenza di ieri della Suprema Corte di Cassazione suggerisce, sembra davvero rappresentare un volano irrinunciabile e, and oggi, il presidio più prezioso nel governo dell’intelligenza artificiale come, d’altra parte, sembra confermare la proposta di Regolamento dell’Unione europea proprio in materia di intelligenza artificiale che, sotto molteplici profili – incluso quello oggetto della Sentenza – di fatto applica il metodo GDPR proprio dell’intelligenza artificiale.
I Giudici della Cassazione, insomma, hanno fatto un bel regalo di compleanno al GDPR sottolineandone implicitamente la modernità e la centralità nel governo del futuro prossimo venturo, società degli algoritmi inclusa.