La Cassazione, con l’ordinanza n. 14381/2021, si è pronunciata sulla legittimità del trattamento dei dati personali effettuato attraverso una piattaforma online di misurazione del rating reputazionale.

L’ordinanza è stata emessa a seguito del ricorso presentato dal Garante della Privacy contro la sentenza del Tribunale di Roma del 4 aprile 2018 che aveva accolto il ricorso dell’associazione Mevaluate Onlus. Questa aveva impugnato il provvedimento del Garante (commentato qui nel nostro blog) con il quale era stato disposto il divieto di qualunque operazione di trattamento dei dati personali effettuata da Mevaluate in connessione ai servizi offerti tramite la “Infrastruttura Immateriale Mevaluate per la Qualificazione Professionale”.

Mevaluate, infatti, intendeva lanciare sul mercato una piattaforma web finalizzata all’elaborazione di profili reputazionali di persone fisiche e giuridiche e in grado di calcolare in modo asseritamente imparziale e affidabile la reputazione dei soggetti censiti. Tuttavia, a seguito di un’istanza di verifica della conformità del trattamento dei dati personali, presentata dalla stessa Mevaluate al Garante, quest’ultimo aveva ritenuto non conforme il relativo trattamento alla disciplina dettata dal Codice della Privacy e lo aveva perciò vietato. Mevaluate, ritenendo legittimo il proprio trattamento dei dati, aveva quindi adito il Tribunale di Roma chiedendo l’annullamento della decisione del Garante.

Il Tribunale di Roma aveva parzialmente accolto il ricorso, disponendo l’annullamento parziale della decisione del Garante, facendo salva l’efficacia del divieto posto dal provvedimento impugnato solo in relazione al trattamento dei dati personali di terzi non associati a Mevaluate e non iscritti alla piattaforma stessa. I dati di questi ultimi, aveva chiarito il Tribunale, venivano infatti elaborati per ottenere autonome valutazioni che non poggiavano sul consenso degli interessati, sebbene provenienti da dati liberamente conoscibili (es. articoli di stampa o provvedimenti giudiziari). Quanto ai soggetti iscritti alla piattaforma, invece, il Tribunale aveva ritenuto conforme alla normativa vigente il relativo trattamento dei dati personali, poiché basato sul consenso degli interessati all’atto di adesione alla piattaforma. Gli associati, infatti, una volta iscritti potevano caricare volontariamente documenti redatti da terzi relativi al proprio profilo reputazionale e necessari per permettere alla piattaforma stessa di determinare uno specifico rating reputazionale.

Investita della questione dal Garante, in impugnazione del provvedimento del Tribunale di Roma, nell’ordinanza in commento la Corte di Cassazione rileva preliminarmente che, perché il consenso legittimi il trattamento dei dati personali, esso deve essere liberamente prestato con riferimento a un trattamento “chiaramente individuato”. Ciò significa che il soggetto che presta il consenso deve essere previamente informato «in relazione ad un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che il consenso sia stato espresso, in quella prospettiva, liberamente e specificamente».

A tal riguardo, la Corte osserva che la scarsa trasparenza dell’algoritmo utilizzato per l’elaborazione dei dati caricati dagli utenti della piattaforma – e finalizzato poi a generare il rating reputazionale – era stata contestata dal Garante ma non disconosciuta dal Tribunale, il quale aveva invece ritenuto che la validità o meno di tale rating fosse una questione da lasciare alle valutazioni di mercato circa la bontà o meno del metodo utilizzato. La Corte, invece, non ha condiviso una tale conclusione, in quanto il problema non sarebbe confinabile «nel perimetro di una risposta del mercatorispetto alla predisposizione dei rating attribuiti ai diversi operatori»; il problema, invece, è quello di verificare la validità del consenso che si assume prestato al momento dell’adesione. In questo contesto, la Corte conclude affermando che «non può logicamente affermarsi che l’adesione ad una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva dei dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati».

In conclusione, la Corte annulla con rinvio la decisione del Tribunale di Roma, che dovrà conformarsi al principio di diritto secondo cui «in tema di trattamento dei dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che, nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati».