Mentre le più recenti innovazioni tecnologiche stanno portando alla miniaturizzazione d’ingenti volumi di dati su scala microscopica grazie alle tecniche di codifica e conservazione tramite DNA, permangono nella prassi applicativa notevoli dubbi sul trattamento dei medesimi condotto attraverso modalità automatizzate.
Il Caso
Nella controversia a monte della sentenza emessa dalla Prima Sezione della Suprema Corte di Cassazione n. 28358 del 10 ottobre 2023, il Garante della Privacy aveva vietato ad un’associazione l’uso di una piattaforma di ‘rating reputazionale’, ovvero un sistema automatizzato che mirava a costruire profili di affidabilità di persone fisiche e giuridiche, che, secondo l’Autorità, violava le regole sul consenso e sulla corretta informazione degli interessati.
Dopo un lungo contenzioso, con passaggi davanti al Tribunale di Roma e già un primo intervento della Cassazione nel 2021, la Suprema Corte ha annullato definitivamente il divieto del Garante.
La Decisione
Secondo i giudici, il consenso al trattamento dei dati è valido solo se l’utente conosce chiaramente come funziona l’algoritmo: non occorre certo che ne comprenda il linguaggio matematico, ma è essenziale che il procedimento sia descritto in modo non ambiguo, con parametri e criteri espliciti.
Nel caso esaminato dagli Ermellini, la documentazione prodotta dall’associazione, compreso il brevetto europeo dell’algoritmo elaborato, era sufficiente a garantire la necessaria trasparenza.
Respinta, invece, la tesi secondo cui alcune clausole contrattuali - come quelle sulle penali per la revoca del consenso - avrebbero compromesso la libertà degli associati: per la Cassazione si tratta di strumenti proporzionati e non lesivi dell’autonomia negoziale.
In Sintesi
La decisione, oltre a chiudere un contenzioso durato sette anni, stabilisce un principio di grande rilievo: quando i dati personali vengono trattati tramite algoritmi, la validità del consenso dipende dalla reale comprensibilità del funzionamento del sistema, non da dettagli tecnici incomprensibili ai più.
In altre parole, se il trattamento avviene per il tramite di sistemi automatizzati, il consenso dell’utente è valido solo se questo è libero, specifico e consapevole.
Ciò significa che l’utente deve poter comprendere, in modo chiaro e dettagliato, il procedimento seguito dall’algoritmo, inteso come una sequenza affidabile di passaggi che porta a un risultato entro tempi definiti. Non è necessario che l’utente conosca o sappia interpretare il linguaggio matematico o informatico dell’algoritmo: è sufficiente che tale procedimento sia effettivamente descrivibile in termini tecnici e traducibile in linguaggio computazionale da parte degli esperti, così da garantire trasparenza e affidabilità nell’uso dei dati.
Accedi/Registrati
Conto OPEN