Il TAR detta regole restrittive per i DPO persone giuridiche

Valutare dipendenti, fornitori e clienti. Attenzione a dire algoritmo!

Dopo che la Corte di Cassazione, con la sentenza dello scorso 25 maggio, ha accolto il ricorso proposto dal Garante per la protezione dei dati personali contro Mevaluate ONLUS – stabilendo che i criteri di attribuzione di un punteggio reputazionale devono essere noti al soggetto interessato al fine della raccolta del suo consenso – sono fioccati articoli sulle riviste specializzate on line e commenti di esperti che hanno puntato il dito contro l’impiego di algoritmi informatici nei processi decisionali automatizzati, finendo regolarmente per approdare sul trito argomento apocalittico dei rischi derivanti dell’applicazione indiscriminata dell’intelligenza artificiale.

Tutto ciò sarà pure affascinante per chi ama un po’ di sensazionalismo, ma ha poco o nulla a che vedere con la decisione in commento. A leggerla con più clama, invero, si scopre che essa è interessante per tutt’altro motivo, e che ha ricadute assai più ampie.

Vediamo perché.

1.        La piattaforma

Nelle intenzioni dei suoi autori/gestori[1], la piattaforma Mevaluate è una struttura informatica «preordinata alla elaborazione di profili reputazionali concernenti persone fisiche e giuridiche […] che permetterebbe di calcolare in maniera imparziale, affidabile e oggettivamente misurabile il “rating reputazionale” dei soggetti censiti, sì da consentire a eventuali terzi di poter verificare la loro reale credibilità».

Il processo di attribuzione del rating reputazionale prenderebbe avvio dal volontario “caricamento” sulla piattaforma, da parte degli utenti, di documenti contenenti informazioni ritenute significative (es.: certificati del casellario giudiziale; certificati di regolarità fiscale; certificati relativi ad abilitazioni; diplomi; denunce; querele; provvedimenti giudiziari; ecc.).

Successivamente, è previsto l’intervento di appositi “Consulenti Reputazionali” che hanno il compito di verificare la correttezza delle informazioni e l’autenticità dei documenti inseriti nel sistema.

Quale ulteriore presidio a garanzia delle informazioni acquisite, verrebbe istituito anche un apposito “Comitato di Controllo” incaricato di vigilare sull´operato dei Consulenti Reputazionali. Infine, il progetto Mevaluate prevede l’esistenza di una community ad evidente carattere consultivo e l’adesione ad un c.d. “Codice della Reputazione Universale” predisposto dalla Mevaluate Holding Ltd.

Insomma, una struttura molto articolata, fortemente centralizzata e con massiccio intervento umano. Nessun processo automatizzato. Nessuna IA finora. Nessun algoritmo informatico.

2.        Il caso

Con proprio provvedimento n. 488 del 2016 (doc. web n. 5796783), il Garante Privacy si è già pronunziato sul progetto Mevaluate riscontrando una serie piuttosto nutrita di motivi per cui non era conforme alla normativa sulla protezione dei dati personali diffidando la ONLUS dal compiere qualunque operazione di trattamento.

Quest’ultima impugnava il provvedimento del Garante innanzi al Tribunale di Roma il quale, con Sentenza 5715/2018, in accoglimento del ricorso, annullava il provvedimento del Garante privacy pur ribadendo che Mevaluate non può trattare i dati personali dei soggetti non iscritti alla piattaforma.

Come accennato, la sentenza del Tribunale è stata poi impugnata per saltum in Cassazione dal Garante.

Questa volta, la Corte, riformando il merito, ha posto l’accento sul fatto che, per quanto sia previsto che gli utenti diano il loro consenso all’elaborazione dei dati su Mevaluate, tale consenso per essere informato deve essere preceduto da una informativa chiara e dettagliata che spieghi al soggetto interessato il funzionamento dell’algoritmo alla base dell’attribuzione del rating reputazionale.

Insomma, va bene il consenso informato, purché per tale si intenda un consenso rilasciato a valle di una informativa specifica sui meccanismi di scoring.

La sentenza, a ben vedere, non è particolarmente innovativa, limitandosi a richiamare principi di liceità del trattamento piuttosto noti[2]. Vale comunque la pena annotarla se non altro perché ha sottolineato che in ogni caso di trattamento volto alla classificazione di persone fisiche in funzione di un qualsiasi carattere reputazionale, il grado di tutela deve essere massimo; e ciò indipendentemente dal ricorso di intelligenza artificiale, algoritmi informatici, e altre “diavolerie robotiche”[3].

Il punto della sentenza sono i criteri impiegati per lo scoring. Criteri consistenti in una sequenza di istruzioni descritte in un algoritmo, ovvero in una funzione che restituisce uno score quando in essa vengono inseriti determinati input. In Mevaluate, gli input sono inseriti da persone fisiche che compiono un apprezzamento guidato, ma pure sempre personale, dei documenti e informazioni raccolte sugli utenti. La piattaforma, quindi, ricorre fondamentalmente all’intervento umano[4].

3.        Come eseguire le valutazioni?

Il Garante, nel suo provvedimento del 2016 da cui ha avuto inizio l’iter giudiziario, era andato ben al di là del mero consenso informato, evidenziando molteplici aspetti di non conformità al Codice Privacy in cui era incorsa la piattaforma Mevaluate.

Si tratta di elementi che ogni azienda deve tenere in considerazione nell’allestimento delle proprie banche dati ogni volta che intende classificare dipendenti, fornitori e utenti in base a performance e criteri valutativi di qualche genere.

In via preliminare va osservato che il rating di persone fisiche comporta lo svolgimento di operazioni di trattamento estremamente delicate, suscettibili di incidere profondamente sulla vita, anche privata, degli individui, influenzandone scelte e prospettive, e condizionando la loro ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici.

Per tali ragioni, leggendo il provvedimento del 2016 e la recente sentenza in commento, occorre che il trattamento relativo ad un meccanismo di merito professionale, creditizio o sociale – fermo restando il generale e rigoroso rispetto del GDPR – si conformi alle seguenti regole:

  • Il trattamento deve essere svolto solo sui soggetti interessati che hanno prestato il consenso, non essendo ammesso in via generale allestire banche dati di rating su soggetti terzi[5];
  • il soggetto interessato deve essere informato sui meccanismi di rating per il punteggio positivo e negativo;
  • il consenso deve essere libero, non deve cioè essere preteso come condizione per la sottoscrizione del contratto di lavoro o del contratto di fornitura;
  • il trattamento deve essere limitato il più possibile in ossequio del principio di minimizzazione, sicché i dati raccolti per il rating non devono essere eccessivi o poco pertinenti ai fini del punteggio;
  • l’accesso ai rating deve essere finemente regolato e limitato a personale espressamente incaricato;
  • le misure di sicurezza volte a prevenire accessi indesiderati devono essere di massimo grado, ricorrendo preferibilmente a certificazioni od omologazioni rilasciate da appositi organismi qualificati e indipendenti;
  • i tempi di conservazione dei dati devono essere brevi e calibrati in considerazione della tipologia cui appartengono e del tempo di normale obsolescenza degli stessi.

Va aggiunto che le aziende che si avvalgono di fornitori di informazioni commerciali devono sempre verificare che questi rispettino le regole sopra esposte, non essendo esenti da responsabilità nel caso in cui ricevano dati frutto di trattamenti illeciti[6].

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA


[1] Mevaluate Holding Ltd., Mevaluate Italia s.r.l. e Associazione Mevaluate Onlus.

[2] Già espressi dal Consiglio di Stato in tema di procedura nazionale di mobilità dei docenti in sentt. 881/20, 8472/19) e dal TAR Lazio (sent. 7370/20). Ma vedi anche Cons. Stato n. 2270/19. Quanto al concetto di consenso informato, si vedano Cass. 17278/18 e 16358/18)

[3] La Corte di Cassazione stessa sembra cadere nell’assimilazione dell’algoritmo nella sua declinazione esclusivamente informatica allorché parla di «sistema automatizzato di calcolo» (p. 7).

[4] Non a caso, Mevaluate nel 2015 cercava addirittura 12.000 “consulenti reputazionali” (qui).

[5]  Salvo che non ricorrano casi eccezionali di legittimo interesse del titolare.

[6] Si veda le conseguenze di una malaccorta scelta dei fornitori nel recente caso Fastweb (in questa rivista) e l’altrettanto recente codice di condotta ANCIC (ancor in questa rivista).

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Soltanto a metà luglio di quest’anno, ovvero quasi tre mesi dopo l’accaduto, Aruba ha com...

Information Technology

Il fornitore non è sempre responsabile del trattamento

La scelta di Facebook di oscurare la pagina di Casapound (Associazione di Promozione Sociale CasaPou...

Information Technology

Il fornitore non è sempre responsabile del trattamento

Ancora una volta vengono dalla California i segnali di un cambiamento nel mondo dei servizi della so...

Information Technology

X