Misurazione on-line della reputazione: la Corte di Cassazione ribalta la decisione del Tribunale di Roma
La Corte di Cassazione ha di recente ribaltato la nota decisione presa a suo tempo dal Tribunale di Roma in merito al sistema di misurazione on-line della reputazione “Mevaluate”.
La controversia, sorta a seguito dell’adozione di un provvedimento inibitorio del Garante per la protezione dei dati personali del 2016 (e da noi già precedentemente commentata: v. https://www.martinimanna.it/blog/rating-reputazionale-online-per-la-cassazione-e-legittimo-se-viene-reso-noto-il-meccanismo-di-funzionamento-dellalgoritmo ), aveva ad oggetto una piattaforma web in grado di calcolare in maniera asseritamente imparziale e affidabile la reputazione dei soggetti censiti. Tale risultato è raggiunto attraverso la raccolta di dati personali contenuti in documenti (certificati del casellario giudiziale e di regolarità fiscale, diplomi, querele e provvedimenti giudiziari, ecc.) caricati dagli stessi utenti e riferibili anche a soggetti estranei alla piattaforma. Questi dati sono poi elaborati da un algoritmo in grado di ricavarne indici di affidabilità, c.d. rating reputazionali, relativi all’immagine morale, professionale e relazionale dei censiti, da mettere a disposizione, verso un corrispettivo, di tutti gli utenti della piattaforma.
L’originario provvedimento del Garante, che vietava tout court il trattamento di dati personali da parte di Mevaluate, fu impugnato da quest’ultima innanzi al Tribunale di Roma, che ne accolse parzialmente il ricorso. Il Tribunale ritenne, infatti, che il divieto imposto dal Garante fosse troppo esteso e ne annullò la decisione per tutto quanto concerneva il trattamento dei dati personali di soggetti associati a Mevaluate, confermandola, invece, per la parte relativa a soggetti estranei all’associazione.
Contro tale decisione, il Garante propose ricorso alla Cassazione, la quale nel 2021 cassò la sentenza con rinvio al giudice del merito, ritenendola viziata sotto il profilo della valutazione della validità del consenso al trattamento dei dati personali da parte degli associati. In particolare, la Cassazione stabilì il principio di diritto per cui, nel caso di una piattaforma web preordinata all’elaborazione di profili reputazionali, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
Il Tribunale di Roma, chiamato a pronunciarsi nuovamente sulla controversia sulla base del principio di diritto espresso dalla Corte, aveva, questa volta, respinto integralmente il ricorso di Mevaluate, ritenendo che la descrizione dell’algoritmo contenuta nel Regolamento per la determinazione del rating non rispettasse i requisiti ivi stabiliti, in particolare sotto il profilo della mancata spiegazione delle modalità di elaborazione del risultato.
Avverso la decisione del Tribunale di Roma, Mevaluate ha proposto nuovo ricorso in cassazione.
Con il primo motivo, ha lamentato che il Tribunale di Roma non si fosse uniformato al principio di diritto enunciato dalla Cassazione, secondo il quale è lecito il consenso prestato sulla base della conoscibilità dello schema esecutivo dell’algoritmo e degli elementi di cui si compone. In particolare, tale algoritmo si basa su 5 parametri per le persone fisiche e 4 per le persone giuridiche, che sono specificamente illustrati, così come viene indicato in dettaglio lo schema esecutivo posto alla base del risultato.
Con il secondo motivo, invece, ha lamentato il mancato esame di documenti determinanti ai fini della decisione: il Tribunale, secondo la ricorrente, non aveva considerato la richiesta di brevetto europeo in cui è rappresentato lo schema matematico dell’algoritmo.
Con il terzo motivo, la ricorrente ha rilevato come il giudice avesse errato nel ritenere che l’autorizzazione al trattamento dei dati personali data dagli associati fosse stata condizionata dalla modalità attraverso cui erano previste le clausole contrattuali afferenti alla autorizzazione alla pubblicazione di atti e documenti, in violazione del principio di autonomia negoziale.
La Cassazione ha ritenuto fondato il ricorso di Mevaluate.
La Corte ha rilevato che, affinché il consenso prestato dall’associato sia valido, è necessario (e sufficiente) che questi venga previamente informato circa l’ambito di diffusione, le finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un rifiuto di rispondere, i soggetti o le categorie di soggetti ai quali i dati potranno essere comunicati. Nel caso in cui i dati siano lavorati attraverso un algoritmo, anche tale modalità di trattamento dovrà essere oggetto di consenso, nel senso che l’algoritmo dovrà essere descritto in modo non ambiguo e in maniera dettagliata. Non è, invece, richiesto che l’associato debba conoscere ex ante e con certezza l’esito finale delle valutazioni che il sistema di intelligenza artificiale compie, né che sia descritto il peso specifico dei vari criteri per l’ottenimento del risultato.
Il sistema di Mevaluate, secondo la Corte, rispettava questi requisiti: da quanto documentato in atti, il Regolamento della piattaforma indicava in modo chiaro e dettagliato tutti i parametri utilizzati per il calcolo del rating reputazionale.
Per tali motivi, la Cassazione ha deciso di cassare la sentenza senza rinvio, annullando il provvedimento del Garante della Privacy del 2016 che vietava il trattamento dei dati personali da parte della ricorrente.