di Vincenzo Tiani
Il 25 maggio, proprio in occasione del compleanno del Gdpr, il regolamento generale per la protezione dei dati, è stata pubblicata una importante sentenza della Corte di Cassazione sul tema. La sentenza ha chiarito un principio fondamentale: laddove un algoritmo ci profili in modo automatico con la conseguenza possibile di limitare i nostri diritti, il consenso prestato è valido solo se ci è stato spiegato come quell’algoritmo funziona. Questa è la diretta conseguenza del fatto che il consenso, per essere considerato valido, deve essere “espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”.
Il caso
La sentenza riguarda fatti avvenuti nel 2016, prima dell’entrata in vigore del Gdpr, quando era vigente il vecchio testo del codice privacy (il decreto legislativo 196 del 2003). Nella fattispecie un’associazione utilizzava una piattaforma capace di “elaborare profili reputazionali concernenti persone fisiche e giuridiche col fine di contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale il cd. “rating reputazionale” dei soggetti censiti, per modo da consentire a eventuali terzi una verifica di reale credibilità. Tale trattamento dei dati era stato ritenuto illegittimo dal Garante della privacy che ne aveva imposto il blocco. Il provvedimento era stato quindi appellato dall’associazione davanti al Tribunale di Roma che aveva parzialmente ribaltato il provvedimento del Garante.
Per il Tribunaleera legittimo che l’associazione potesse offrire questo servizio di valutazione, visto anche l’espresso consenso degli interessati al suo utilizzo. Non essendo presente, per il Tribunale, una disciplina normativa specifica sul “rating reputazionale”, simile a quella esistente per il rating d’impresa previsto dal codice dei contratti pubblici, allora non poteva riscontrarsi una illiceità del sistema.
Di tutt’altro avviso il Garante secondo cui “l’inconoscibilità dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza del sistema” non permetteva all’interessato di fornire un consenso consapevole. Non si può dare un consenso valido quando non si hanno informazioni sufficienti per stabilire cosa si stia accettando.
La decisione della Cassazione
La Corte di Cassazione ha dato ragione al Garante in quanto il consenso per essere valido deve riguardare un trattamento “chiaramente individuato” e, per essere tale, l’associazione avrebbe dovuto informare adeguatamente come e quali dati sarebbero stati usati dall’algoritmo nel fornire il risultato. Molto interessante il fatto che il tribunale, nella sua sentenza, non ha negato che l’algoritmo fosse poco trasparente ma ha risolto il problema semplicemente affidando al mercato la sua affidabilità. Per il Tribunale dunque se un algoritmo è costruito male e magari fa una errata valutazione della reputazione di un soggetto con la conseguenza che non otterrà un posto di lavoro o un mutuo, l’interessato non dovrebbe rivolgersi a un giudice ma sperare che il mercato lo renda obsoleto e favorisca algoritmi migliori.La Cassazione ha censurato questa interpretazione in quanto non si trattava di valutare un problema di competizione nel mercato tra diversi sistemi ma se il consenso prestato fosse valido o meno.
Più trasparenza nelle decisioni dell’algoritmo
Il Gdpr oggi in vigore riconosce al soggetto un diritto generale a non essere sottoposto a una decisione presa in modo automatizzato, per esempio da un algoritmo o da un sistema di intelligenza artificiale, che abbia un effetto giuridico o incida significativamente sulla sua vita. Potrebbe essere il caso di un algoritmo che seleziona i curriculum in modo automatico solo basandosi su delle parole chiave, o appunto un sistema di valutazione di solvibilità del richiedente un prestito bancario. L’articolo 22 prevede che si possa acconsentire all’uso di questi sistemi ma solo laddove la società garantisca i diritti e i legittimi interessi del soggetto e il suo diritto a ottenere l’intervento umano a valutare il suo profilo potendone commentare e contestare la decisione.
Allo stesso tempo la trasparenza degli algoritmi è diventata imprescindibile nelle nuove proposte legislative oggi in discussione a Bruxelles. Nel Digital Services Act le piattaforme devono saper giustificare le decisioni prese e in alcuni casi devono consentire lo scrutinio dei propri algoritmi ad esperti e ricercatori esterni. Lo stesso si dice nella proposta di regolamento europeo sull’intelligenza artificiale. Solo con maggior trasparenza di potranno governare i possibili effetti negativi di una sempre più diffusa automazione delle decisioni che riguardano i cittadini. La causa tornerà ora al Tribunale di Roma, in differente composizione da quello che l’aveva affrontata, per un nuovo esame.
…
Originariamente pubblicato su Wired Italia
Licenza Creative Commons Attribution, Non Commercial, Non Derivs 3.0
