Con la recente ordinanza n. 28358 del 10 ottobre 2023, la Cassazione ha dato nuova linfa all’annosa questione dei limiti di liceità del rating reputazionale nonché e al contempo al complesso dibattito in tema di trasparenza dell’algoritmo.
Il provvedimento
La Suprema Corte, nel proprio provvedimento, afferma che se un soggetto aderisce ad una piattaforma web ciò non può automaticamente implicare che il soggetto accetti di essere soggetto agli algoritmi automatizzati che consentono alla piattaforma di funzionare. Tale accettazione dell’algoritmo automatizzato (anche se ai sensi dell’art. 22 GDPR sarebbe forse più corretto parlare di legittimità di utilizzo dell’algoritmo automatizzato piuttosto che di sua “accettazione”) è subordinata alla conoscibilità dello schema esecutivo in cui l’algoritmo si esprime e gli elementi a tale scopo considerati.
Quel che più è interessante, però, è che secondo la Cassazione tali requisiti sono pienamente soddisfatti nel caso di un algoritmo di rating reputazionale in cui: “le fattispecie oggetto di valutazione reputazionale risultano codificate ed hanno carattere tipico e tassativo e sono di facile interpretazione; ad ogni fattispecie è attribuito uno specifico valore determinato in base a valutazioni di carattere etico che garantiscono la coerenza dei risultati; i vari passaggi per l’elaborazione del rating, che perviene sempre ad un unico risultato, sono specificamente indicati e guidati”.
Dalla sanzione del Garante nel 2016
Per comprendere meglio il portato di questa decisione della Cassazione bisogna partire dal principio, ovvero il provvedimento del Garante Privacy con cui, il 24 novembre 2016, l’Autorità ha vietato ad una azienda che si occupava di rating reputazionale di proseguire nel trattamento di dati attraverso la piattaforma dalla stessa realizzata e gestita.
L’azienda (la stessa che si era distinta – negativamente – anche per l’invio di comunicazioni finalizzate alla partecipazione alla loro piattaforma alle PEC dei professionisti iscritti in albi) ha quindi impugnato il provvedimento del Garante dando vita, ad un complesso percorso giudiziario che oggi si chiude con il provvedimento del 10 ottobre, dopo che la Cassazione aveva già pronunciato sul caso nel 2021 (Ordinanza 25 maggio 2021, n. 14381) affermando che: “non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.
Quindi è toccato di nuovo al Tribunale di Roma determinare se nel caso dell’agenzia di rating reputazionale rispettasse o meno i requisiti di conoscibilità tracciati dal Giudice delle leggi, e il Tribunale lo ha fatto confermando la sanzione del Garante e rigettando il ricorso dell’azienda sul punto.
I precedenti pronunciamenti della Cassazione
A questo punto l’Azienda si è di nuovo rivolta alla Cassazione che ha smentito il Tribunale di Roma ed ha affermato che l’algoritmo, per come è presentato agli utenti con i suoi parametri e 600 indicatori e con una simulazione effettuabile prima di prestare il consenso, soddisfa i requisiti normativi che non impongono che l’interessato debba conoscere ex ante con certezza l’esito finale delle valutazioni che l’algoritmo opera, ma il procedimento che conduce alle medesime.
In questo passaggio della sentenza la Cassazione, forse per una svista, afferma che il sistema sviluppato dall’agenzia di rating sarebbe un “sistema di intelligenza artificiale” sebbene non risulti in nessun’altro punto della sentenza che si tratterebbe di un siffatto algoritmo, né l’azienda lo afferma ed anzi insiste sull’aspetto deterministico e sulla chiarezza dell’algoritmo, che non fa altro se non sommare e sottrarre “punti” ai soggetti che si sottopongono al rating secondo uno schema predeterminato (tanto che potrebbe provvedervi sia un computer che un soggetto umano).
Nel 2015 era stata inoltre depositata la richiesta di brevetto dell’algoritmo, con conseguente agevole conoscibilità dello schema di funzionamento matematico dell’algoritmo depositato in una alla domanda e pubblicato dall’EUIPO.
La Suprema Corte prosegue argomentando che per verificare la legittimità dell’utilizzo dell’algoritmo è necessario valutare se lo stesso rispetti i criteri dell’art. 23 D.Lgs. 196/2003 vigente nel 2016, che (prima dell’entrata in vigore del GDPR) affermava che il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13 (informativa).
Nel caso di specie la Cassazione afferma che sono presenti tutti gli elementi per considerare il consenso validamente prestato in quanto, traducendo il portato dell’art. 23 D.Lgs. 196/2003 alla situazione specifica all’esame della Corte, questa afferma che per aversi un valido consenso “è richiesto che l’aspirante associato sia in grado di conoscere l’algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema, che venga descritto all’utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito.”
Secondo gli Ermellini, quindi, è essenziale che il procedimento sia spiegato con termini comuni, mentre il linguaggio matematico dell’algoritmo è del tutto inutile (e del resto sarebbe difficilmente comprensibile agli utenti).
Sulla base di queste considerazioni la Cassazione ha annullato il provvedimento che il Garante aveva emesso nel 2016 e che di fatto con quest’ultima sentenza perdeva l’ultima “ragione di sussistenza” dopo un progressivo scardinamento che ne aveva, già in precedenza, minato il più esteso impianto secondo cui la piattaforma dell’azienda di rating reputazionale era in sé illegittima a prescindere dalla questione della trasparenza dell’algoritmo, che costituiva solo un “tassello” del plesso motivazionale sulla cui base il Garante aveva imposto il fermo lavori all’azienda sanzionata.
La prospettiva del Garante
In particolare, secondo l’originaria impostazione del Garante, la piattaforma di rating reputazionale, pur se basata sul consenso degli interessati, non era lecita perché:
- la delicatezza dei dati trattati e il fatto che l’implementazione della piattaforma potrebbe ripercuotersi pesantemente sulla vita (anche privata) degli individui censiti, influenzandone scelte e prospettive e condizionando la loro stessa ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici, portava ad escludere la compatibilità fra il sistema di rating e il valore fondamentale della dignità degli individui;
- la libertà del consenso è esclusa se il soggetto è portato ad accedere al sistema di rating reputazionale dietro “minaccia” della mancata stipula di un contratto o quale condizione per la permanenza di un vincolo negoziale.
Non è detto però che la prospettiva del Garante sia definitivamente tramontata, anche considerando che le sentenze si riferiscono a fatti precedenti l’entrata in vigore del GDPR, che ha irrobustito le tutele nei confronti degli interessati in molti settori (in particolare mettendo in crisi uno dei pilastri della profilazione effettuata tramite lo strumento di rating, ovvero il trattamento di dati relativi a reati dei soggetti che si sottopongono allo screening).
L’attenzione del Garante è comunque alta sul tema ed infatti nel 2022 l’Autorità ha richiesto dei chiarimenti ad un’azienda di rating reputazionale (e di nuovo parliamo della medesima azienda sanzionata nel 2016, che nel frattempo ha cambiato nome) che proponeva il suo strumento di rating reputazionale a studenti maggiorenni e minorenni.
La fragile tutela di fronte all’algoritmo
Se si potrebbe quindi pensare che l’entrata in vigore del GDPR ci tuteli da questi sistemi di rating, va però sottolineato che la tutela di fronte alle decisioni automatizzate è un punto controverso della normativa comunitaria, che infatti all’art. 22 prescrive una serie di garanzie non esattamente blindate nei confronti di tali sistemi.
Secondo il GDPR, infatti, gli interessati hanno diritto a non essere sottoposti ad una decisione basata unicamente sul trattamento automatizzato (formulazione cui consegue il rischio che un’attività decisoria che presenta un controllore umano, pur di facciata, sfugga alla disciplina) se questa produce effetti giuridici o è comunque in grado di analogamente incidere sulla sua persona.
La disciplina non si applica però nel caso in cui l’interessato presti il consenso o ciò sia consentito da contratto o previsto dalla legge. È poi prevista la possibilità di chiedere un intervento umano e gli interessati hanno diritto di ottenere informazioni significative sulla logica utilizzata dal sistema decisionale automatizzato, nonché sull’importanza e le conseguenze previste di tale trattamento.
In buona sostanza sembra molto difficile censurare un software di rating come quello censurato dal Garante nel 2016 sulla base di questa normativa, essendo che l’azienda ha ottenuto il consenso degli utenti informandoli compiutamente sulle logiche utilizzate dal sistema. Sarebbero sufficienti pochi correttivi (informazioni sulle conseguenze previste dal trattamento e introduzione di una possibilità di reclamo avanti ad un revisore umano) per rendere il trattamento coerente con il GDPR.
Se oggi l’intelligenza artificiale preoccupa molti, non bisogna dimenticare che anche algoritmi non “intelligenti” come quello in esame, possono avere conseguenze di rilevantissimo impatto sulla nostra vita, specie se uno strumento del genere dovesse infine diffondersi spingendo così sempre più persone ad adottarlo, magari semplicemente per evitare in sede di contrattazione con clienti o potenziali datori di lavoro di essere scartati per aver evitato di sottoporsi al rating come fatto da altri candidati.
L’algoritmo di rating reputazionale di cui parliamo oggi è infatti pienamente deterministico e trasparente nella sua estrinsecazione, eppure il suo portato può essere ben più incisivo di qualsivoglia impenetrabile algoritmo di IA.
Ne consegue che nessuna ulteriore protezione sarebbe offerta in relazione a questi sistemi dal Regolamento in tema di IA che le istituzioni europee stanno predisponendo, semplicemente perché il ragionamento non si applicherà a software di questo tipo.
Conclusioni
E l’insindacabile ragionamento della Cassazione nella sentenza oggetto di esame, che, come detto, potrebbe essere riproposto anche nella vigenza del GDPR, con pochi correttivi, porta a concludere che nel nostro ordinamento un sistema di rating reputazionale è perfettamente attuabile e legittimo, con tutte le preoccupanti conseguenze del caso.
E se ci preoccupa la prospettiva di un sistema di rating reputazionale basata sul consenso (perché potrebbe trattarsi di un consenso coartato dalla necessità di “passare” per la sottoposizione a rating per ottenere contatti o credibilità nelle relazioni economiche) in realtà esistono anche sistemi di rating che prescindono dal nostro consenso, e che lavorano sulla base delle fonti pubblicamente disponibili che ci riguardano, realizzando dossier su persone che nemmeno ne hanno notizia.
È il caso ad esempio di World Check e dei suoi epigoni, che creano profili sulla base di dati ricavati da fonti aperte (prevalentemente di persone politicamente esposte ed individui associati a rischi finanziari o criminali) e i cui database sono utilizzati da molte amministrazioni ed attività per verificare l’affidabilità di soggetti di interesse o potenziali partner commerciali.
Questi database (di dubbia legittimità ai sensi del GDPR), di fatto costituiscono una inquietante frontiera del rating reputazionale, specie se immaginiamo un futuro in cui questi rating assumano sempre maggior rilevanza, magari spingendoci a controllare furiosamente su internet le notizie che ci riguardano e/o a pagare per ottenere più notizie “positive” al fine di alzare il nostro rating.
