Consenso informato circa trattamento algoritmico di dati reputazionali

Cass. 28.358 del 10.10.2023, rel. Nazzicone, sez. I, (link offerto da Il Sole 24 ore) esamina un caso di pretesa illegittimità di tratamento dati reptuaizonali da aprte di algoritmo (era un sito che offriva consulebza sulal reputaizone nel web).

Il focus è sul se sia valido il consenso (artt. 23 e 13 del d. lgs 196/2003, ora sostituiti dal GDPR) espresso enza conoscere esattamente il funzionamento dell’algoritmo.

O meglio, visto che la risposta deve essere negativa, bisogna capiure quando ricorra una conoscenza sufficiente per dare validità al consenso espresso. Il tema è assai interessante e si porrà sempre più spesso.

Premessa tecnica:

<<4.1. – Al giudice del merito era stato demandato di verificare,
sulla base delle regole dell’iniziativa de qua, se il trattamento svolto
con mezzi informatici fosse adeguatamente trasparente con
riguardo all’algoritmo di calcolo del c.d. rating reputazionale, fulcro
dell’intero sistema progettato al riguardo.
Secondo la sentenza rescindente, infatti, il necessario
accertamento in punto di fatto – al fine di reputare la validità del
consenso in ragione della sussistenza di una conoscenza effettiva
consapevolezza delle finalità e modalità di espletamento del
trattamento – riguardava la trasparenza e la conoscenza delle
caratteristiche funzionali dell’algoritmo.
Ciò che si richiedeva, cioè, non è che l’associato debba
conoscere ex ante con certezza l’esito finale delle valutazioni che il
sistema di intelligenza artificiale opera – perché altrimenti sarebbe
quanto meno inutile – ma il procedimento che conduce alle
medesime.
4.2. – In matematica, un procedimento da seguire viene
descritto sinteticamente da un’equazione, la quale si compone di
variabili e di funzioni che le collegano.
L’algoritmo è un procedimento di risoluzione di un problema: da
determinati dati di ingresso (input) derivano soluzioni (output).
Lo “schema esecutivo” di un algoritmo specifica, pertanto, i
passi da eseguire in sequenza, per giungere al risultato.
Gli studiosi della materia precisano che un algoritmo è
costruibile, se i dati ed il procedimento rispettano alcuni requisiti.

Li ricorda anche la ricorrente, nel primo motivo di ricorso:
richiedendosi che i passaggi siano elementari, univoci, di numero
finito, operabili in un tempo finito e con un risultato unico.
E, nel caso, in esame non è in questione se l’algoritmo, per
funzionare algebricamente e quindi per il processo informatico,
possedesse tali requisiti>>.

Poi passa a spiegare che il punctum dolens è la validità o meno del consenso espresso:

<<I requisiti del consenso sono, dunque, la prestazione libera e
specifica in riferimento ad un trattamento chiaramente individuato
e le previe informazioni di cui all’art. 13, ossia, in particolare, circa
le finalità e le modalità del trattamento.
Quando, come nella specie, i dati personali sono destinati ad
essere “lavorati” da un algoritmo, dovrà dunque anche tale
modalità essere coperta dal consenso.
Pertanto, nella vicenda in esame, ad integrare i presupposti del
“libero e specifico” consenso, affinché esso sia legittimo e valido, è
richiesto che l’aspirante associato sia in grado di conoscere
l’algoritmo, inteso come procedimento affidabile per ottenere un
certo risultato o risolvere un certo problema, che venga descritto
all’utente in modo non ambiguo ed in maniera dettagliata, come
capace di condurre al risultato in un tempo finito.
Che, poi, il procedimento, come spiegato con i termini della
lingua comune, sia altresì idoneo ad essere tradotto in linguaggio
matematico è tanto necessario e certo, quanto irrilevante: ed
invero, non è richiesto né che tale linguaggio matematico sia
osteso agli utenti, né, tanto meno, che essi lo comprendano.
Ciò che rileva, invece, è che sia possibile tradurre in linguaggio
matematico/informatico i dati di partenza, cosicché il tutto divenga
opportunamente comprensibile alla macchina, grazie ai soggetti
esperti programmatori, secondo le sequenze e le istruzioni tratte
dai dati “in chiaro”, come descritti nel regolamento più volte citato.
4.3. – Ora, sulla base degli accertamenti compiuti dal giudice
del merito, tali parametri di riferimento erano tutti presenti nel
regolamento>>

Poi la SC erra vistosamente:

<<Mentre non si comprende la pretesa che fosse indicato il “peso
specifico” dei vari criteri – posto che si tratta di termine scientifico,
concernente il rapporto tra il peso e il volume di una materia, non
sempre essendo opportuno il travaso al diritto dei termini di altre
scienze – si potrà anche non concordare con la logica o con taluno
dei criteri sottesi al sistema illustrato nel regolamento, che il primo
motivo del ricorso riporta: ma non è questione ora rilevante,
richiedendosi, ai fini del trattamento dei dati personali su consenso
dell’interessato, soltanto che il sistema dei parametri ostesi fosse
sufficientemente determinato.
E proprio questa è la situazione di fatto, accertata dal giudice
del merito, onde la sua sussunzione nella fattispecie del valido
consenso era dovuta, secondo il controllo affidato a questa Corte in
sede di legittimità>>

I vari fattori concorrenti non è detto abbiano la medesima importanza per determinare l’output finale. Il peso specifico di ciascuno può variare, per  cui   l’interessato deve avere il diritto di conoscerlo. Non capisce il punto la SC.

Si veda l’art. 14.2.g) GDPR, che  impone al titolare del trattamento dare informazioni all’interessato circa <<l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato>>.