Sulla scia di un celebre provvedimento del Garante privacy, emesso prima dell’entrata in vigore del GDPR, relativo ad una piattaforma web che formulava un rating reputazionale su persone fisiche e giuridiche attraverso una tecnologia algoritmica, in una recente ordinanza la Suprema Corte afferma che l’adesione di un individuo a una piattaforma web non implica automaticamente l’accettazione di essere sottoposto agli algoritmi automatizzati che consentono il funzionamento della piattaforma stessa.
L’accettazione di tali algoritmi automatizzati, anche se, secondo l’art. 22 del GDPR, sarebbe più appropriato parlare di legittimità di utilizzo anziché di “accettazione”, è subordinata alla conoscenza dello schema operativo attraverso il quale l’algoritmo funziona.
Per comprender meglio l’impatto di questa decisione della Cassazione, è opportuno iniziare dal provvedimento emesso dal Garante Privacy il 24 novembre 2016. In tale occasione, il Garante ha vietato a un’azienda specializzata nel rating reputazionale di proseguire nel trattamento dei dati attraverso la piattaforma da essa sviluppata e gestita. Questa stessa azienda, già nota per inviare comunicazioni indesiderate ai professionisti iscritti in albi attraverso le loro PEC, ha successivamente impugnato la decisione del Garante. Ciò ha innescato un complesso iter giudiziario, conclusosi con il provvedimento emesso il 10 ottobre. È da notare che la Cassazione si era già espressa sulla questione nel 2021 (ordinanza del 25 maggio 2021, n. 14381) stabilendo che: “non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.
Successivamente, il Tribunale di Roma ha confermato il provvedimento del Garante, rigettando il ricorso dell’azienda. L’Azienda si è rivolta nuovamente alla Cassazione, che ha ribaltato la pronuncia del Tribunale, sostenendo che l’algoritmo, per come viene presentato agli utenti (con un insieme di parametri, 600 indicatori ed una simulazione prima che venga richiesto il consenso), rispetta i requisiti normativi. La Corte, tuttavia, ha erroneamente definito il sistema un “sistema di intelligenza artificiale” senza alcuna conferma da parte dell’azienda. La Cassazione ha inoltre argomentato che, per valutare la legittimità dell’algoritmo, è necessario conformarsi all’art. 23 D.Lgs. 196/2003 del 2016, il quale richiede un consenso specifico scritto e che agli interessati sia data un’adeguata informativa. La Corte ha altresì stabilito che il procedimento dell’algoritmo debba essere descritto in modo chiaro, comprensibile e dettagliato, senza la necessità di un linguaggio matematico (che risulterebbe di non facile comprensione per l’utente medio).
È importante sottolineare che la normativa comunitaria è controversa riguardo alle decisioni automatizzate. L’articolo 22 del GDPR fornisce alcune garanzie, ma non tutela pienamente dall’utilizzo (scorretto) di tali sistemi.
Secondo il GDPR, gli interessati hanno il diritto di non essere sottoposti a decisioni basate solo su trattamenti automatizzati se da ciò possono derivare conseguenze di stampo giuridico o impattare sulla loro persona. Tuttavia, ci sono eccezioni per cui la disciplina dell’art. 22 non si applica, come il consenso validamente espresso dall’interessato o clausole contrattuali e disposizioni di legge.
Attualmente, l’attenzione di tutti gli operatori del settore è focalizzata sull’intelligenza artificiale, tuttavia è importante considerare che anche gli algoritmi “non intelligenti” possono avere impatti notevoli sulla vita quotidiana. Crea perplessità la prospettiva di un sistema di rating reputazionale basata quasi unicamente sul consenso (perché potrebbe trattarsi di un consenso forzato dalla necessità di ottenere contatti o credibilità nelle relazioni economiche grazie proprio al rating reputazionale). Dal lato opposto, preoccupano anche i sistemi di rating che prescindono dal consenso, e che lavorano sulla base delle fonti pubblicamente disponibili realizzando dossier su persone che nemmeno ne hanno notizia. Infine, l’imminente Regolamento europeo sull’IA potrebbe non offrire una tutela specifica relativa ai citati sistemi automatizzati, poiché potrebbe non essere applicabile a software di questo tipo.