consenso al trattamento dati – Lorenzo Albertini

Offerte pubblicitarie c.d. “Real Time Bidding” in internet e data protection: il relativo consenso costituisce “dato personale”?

Dice di si la Corte di Giustizia EU qualora l’interessato sia individuabile : il che avviene se il suo consenso sia abbinato al relativo indirizzo IP.

Questa in sintesi la risposta resa da Corte di Giustizia 7 marzo 2024, C-604/22, IAB Europe c. Gegevensbeschermingsautoriteit., con l’intervento di altri.

La CG esamina la fattispecie delle aste automatiche di presenza pubblicitaria negli spazi creati dai colossi del web (Google e social vari) , che viene cocnessa a chi offre di più. Meccanismo che però avviene “dietro le quinte”, cioè in modo non tarsparente all’utente, e che per questo è di fatto sconosciuto al grande pubblico.

La CG ne offre una spiegazione, imprescindibile per comprendere la decisione (spt. §§ 20-26), se non si è già nel settore.

Qui mi limito a ricordare il concetto di TC String (Transparency and Consent String), elemento digitale che comprende i consensi espressi.

Ed ora il passo più pertinente:

<< 43 Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD.

44 In secondo luogo, è altresì pacifico che, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni.

45 Poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD, il che viene corroborato dal considerando 30 del RGPD, che fa espresso riferimento ad una fattispecie del genere>>.

Nella questione pregudiziale successiva la CG esamina il quesito della titolarità del trattamento e cioè se il primo creatore della stringa cit. rimanga titolare anche dopo averla ceduta a terzi per gli impieghi successivi. E la risposta è negativa.

Consenso informato circa trattamento algoritmico di dati reputazionali

Cass. 28.358 del 10.10.2023, rel. Nazzicone, sez. I, (link offerto da Il Sole 24 ore) esamina un caso di pretesa illegittimità di tratamento dati reptuaizonali da aprte di algoritmo (era un sito che offriva consulebza sulal reputaizone nel web).

Il focus è sul se sia valido il consenso (artt. 23 e 13 del d. lgs 196/2003, ora sostituiti dal GDPR) espresso enza conoscere esattamente il funzionamento dell’algoritmo.

O meglio, visto che la risposta deve essere negativa, bisogna capiure quando ricorra una conoscenza sufficiente per dare validità al consenso espresso. Il tema è assai interessante e si porrà sempre più spesso.

Premessa tecnica:

<<4.1. – Al giudice del merito era stato demandato di verificare,
sulla base delle regole dell’iniziativa de qua, se il trattamento svolto
con mezzi informatici fosse adeguatamente trasparente con
riguardo all’algoritmo di calcolo del c.d. rating reputazionale, fulcro
dell’intero sistema progettato al riguardo.
Secondo la sentenza rescindente, infatti, il necessario
accertamento in punto di fatto – al fine di reputare la validità del
consenso in ragione della sussistenza di una conoscenza effettiva
consapevolezza delle finalità e modalità di espletamento del
trattamento – riguardava la trasparenza e la conoscenza delle
caratteristiche funzionali dell’algoritmo.
Ciò che si richiedeva, cioè, non è che l’associato debba
conoscere ex ante con certezza l’esito finale delle valutazioni che il
sistema di intelligenza artificiale opera – perché altrimenti sarebbe
quanto meno inutile – ma il procedimento che conduce alle
medesime.
4.2. – In matematica, un procedimento da seguire viene
descritto sinteticamente da un’equazione, la quale si compone di
variabili e di funzioni che le collegano.
L’algoritmo è un procedimento di risoluzione di un problema: da
determinati dati di ingresso (input) derivano soluzioni (output).
Lo “schema esecutivo” di un algoritmo specifica, pertanto, i
passi da eseguire in sequenza, per giungere al risultato.
Gli studiosi della materia precisano che un algoritmo è
costruibile, se i dati ed il procedimento rispettano alcuni requisiti.

Li ricorda anche la ricorrente, nel primo motivo di ricorso:
richiedendosi che i passaggi siano elementari, univoci, di numero
finito, operabili in un tempo finito e con un risultato unico.
E, nel caso, in esame non è in questione se l’algoritmo, per
funzionare algebricamente e quindi per il processo informatico,
possedesse tali requisiti>>.

Poi passa a spiegare che il punctum dolens è la validità o meno del consenso espresso:

<<I requisiti del consenso sono, dunque, la prestazione libera e
specifica in riferimento ad un trattamento chiaramente individuato
e le previe informazioni di cui all’art. 13, ossia, in particolare, circa
le finalità e le modalità del trattamento.
Quando, come nella specie, i dati personali sono destinati ad
essere “lavorati” da un algoritmo, dovrà dunque anche tale
modalità essere coperta dal consenso.
Pertanto, nella vicenda in esame, ad integrare i presupposti del
“libero e specifico” consenso, affinché esso sia legittimo e valido, è
richiesto che l’aspirante associato sia in grado di conoscere
l’algoritmo, inteso come procedimento affidabile per ottenere un
certo risultato o risolvere un certo problema, che venga descritto
all’utente in modo non ambiguo ed in maniera dettagliata, come
capace di condurre al risultato in un tempo finito.
Che, poi, il procedimento, come spiegato con i termini della
lingua comune, sia altresì idoneo ad essere tradotto in linguaggio
matematico è tanto necessario e certo, quanto irrilevante: ed
invero, non è richiesto né che tale linguaggio matematico sia
osteso agli utenti, né, tanto meno, che essi lo comprendano.
Ciò che rileva, invece, è che sia possibile tradurre in linguaggio
matematico/informatico i dati di partenza, cosicché il tutto divenga
opportunamente comprensibile alla macchina, grazie ai soggetti
esperti programmatori, secondo le sequenze e le istruzioni tratte
dai dati “in chiaro”, come descritti nel regolamento più volte citato.
4.3. – Ora, sulla base degli accertamenti compiuti dal giudice
del merito, tali parametri di riferimento erano tutti presenti nel
regolamento>>

Poi la SC erra vistosamente:

<<Mentre non si comprende la pretesa che fosse indicato il “peso
specifico” dei vari criteri – posto che si tratta di termine scientifico,
concernente il rapporto tra il peso e il volume di una materia, non
sempre essendo opportuno il travaso al diritto dei termini di altre
scienze – si potrà anche non concordare con la logica o con taluno
dei criteri sottesi al sistema illustrato nel regolamento, che il primo
motivo del ricorso riporta: ma non è questione ora rilevante,
richiedendosi, ai fini del trattamento dei dati personali su consenso
dell’interessato, soltanto che il sistema dei parametri ostesi fosse
sufficientemente determinato.
E proprio questa è la situazione di fatto, accertata dal giudice
del merito, onde la sua sussunzione nella fattispecie del valido
consenso era dovuta, secondo il controllo affidato a questa Corte in
sede di legittimità>>

I vari fattori concorrenti non è detto abbiano la medesima importanza per determinare l’output finale. Il peso specifico di ciascuno può variare, per cui l’interessato deve avere il diritto di conoscerlo. Non capisce il punto la SC.

Si veda l’art. 14.2.g) GDPR, che impone al titolare del trattamento dare informazioni all’interessato circa <<l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato>>.

Consenso online al trattamento dati espresso nella modalità “sign-in wrap”

La piattaforma di pagamenti Stripe chiede il consenso al trattamento dati con modalità “sign-in wrap”.

La corte del nord califormia ne esamina (brevemente) la validità ed è per la positiva (US Dis. C. NORTHERN DISTRICT OF CALIFORNIA 28.07.2021, Case No.4:20–cv–08196–YGR, Silver e altri c. Stripe inc.).

Premessa: << Internet users can form online contract, and therefore consent, in a variety of ways. See Colgate v. JUUL Labs, Inc., 402 F. Supp. 3d 728, 763 (N.D. Cal. 2019) (discussing different forms of online contracts). The Ninth Circuit recognizes three main types of contracts formed on the internet: “clickwrap”, “browsewrap”, and “sign-in wrap” agreements. “Clickwrap” agreements require website users to click on an “I agree” box after they are presented with a list of terms and conditions. Id. “Browsewrap” agreements do not require the express consent, but instead operate by placing a hyperlink with the governing terms and conditions at the bottom of the website. Id. In “browsewrap” agreements, a user gives consent just by using the website. Id. “Sign-in-wrap” agreements are those that present a screen that states that acceptance of a separate agreement is
required before a user can access an internet product or service. Id.

The Ninth Circuit requires that online contracts put a website user on actual or inquiry notice of its terms. Nguyen v. Barnes & Noble Inc., 763 F.3d 1171, 1177 (9th Cir. 2014). In doing so, the notice must be conspicuous, that is it must put “a reasonably prudent user on inquiry notice of the contracts.” Id. Whether a user has such inquiry notice “depends on the design and content of the website and the agreement’s webpage.” Id >>.

Il contratto allora è valido <<if a plaintiff is provided with an opportunity to review the terms of service in the form of a hyperlink,” and it is “sufficient to
require a user to affirmatively accept the terms, even if the terms are not presented on the same page as the acceptance button as long as the user has access to the terms of service.” Moretti v. Hertz Corp., No. C 13–02972 JSW, 2014 WL 1410432, at *2 (N.D. Cal. Apr. 11, 2014); In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d 1155, 1166 (N.D. Cal. 2016) (user agreement enforceable where user had to “take some action— a click of a dual-purpose box— from which assent might be inferred”). >>

Nel caso specifico <<no dispute exists that Instacart utilized a “sign-in wrap” agreement. Instacart’s purchase checkout page required plaintiffs to agree to Instacart’s terms of service and privacy policy whenever they placed an order. Plaintiffs admit that they were presented with the checkout screen as they completed their Instacart orders. (FAC ¶¶ 59, 72, 84, 97, 110.)>>

Segue riproduzione di uno screenshot della schermata da cui appare chiaramente che l’intermediario è Stripe (Instacart) : l’acquirente non può allora in buona fede sostenere di aver pensato che l’unico contraente fosse il venditore (anzichè pure Stripe/Instacart).

La cui policy sul punto è allora approvata: << The Court finds Instacart’s privacy policy conspicuous and obvious for several reasons. First, the hyperlink to the privacy policy is displayed in a bright green font against a white background, which stands out from most of the surrounding text. Further, the hyperlink to the
privacy policy is located close to the “place order” button, thus it is hard for a user placing an order to miss it. The bold font alerting consumers to the amount of the charge hold placed on their card calls additional attention to the area where Instacart’s privacy policy is located. There is nothing about the text that makes it inconspicuous or nonobvious.
The Court finds that a reasonably prudent user would have been aware of Instacart’s privacy policy when placing an order. This finding comports with other courts that have found similar “sign-in wrap” agreements to be valid Meyer v. Uber Techs., Inc., 868 F.3d 66, 75-76 (2d. Cir. 2017) (“the existence of the terms was reasonably communicated to the user”) (collecting cases); see also Peter v. DoorDash, Inc., 445 F. Supp. 3d 580, 587 (N.D. Cal. 2020). Based thereon, the Court finds that during checkout, plaintiffs were “provided with an opportunity to review the terms” of the privacy policy. Crawford v. Beachbody, LLC, No. 14cv1583– GPC(KSC), 2014 WL 6606563, at *3 (S.D. Cal. Nov. 5, 2014). They were required to take an affirmative step—clicking the “Place Order” button—to acknowledge that they were agreeing to the terms of the privacy policy. They were told the consequences that would follow from clicking the button, including their acceptance of the privacy policy. Plaintiffs decided to place an order after being made aware of the privacy policy. Accordingly, the Court finds that plaintiffs consented to Instacart’s privacy policy each time they placed an order. In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d at 1166 >>