In tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificatamente in riferimento a un trattamento chiaramente individuato.
È quanto stabilito dal Supremo Collegio con l’ordinanza n. 14381/21, depositata il 25 maggio. Il Tribunale di Roma accoglieva parzialmente il ricorso di una Onlus , annullando il provvedimento con il quale il Garante Privacy aveva disposto, ai sensi dell’art. 154, comma 1, lett. d d.lgs. n. 163/2016, il divieto di qualunque operazione di trattamento dei dati personali effettuata dalla suddetta associazione in connessione ai servizi offerti tramite una piattaforma web , con la funzione di elaborazione di profili reputazionali concernenti persone fisiche e giuridiche. L’obiettivo di questa piattaforma consiste nel contrastare fenomeni basati sulla creazione di profili non veritieri e di calcolare il c.d. rating reputazionale” dei soggetti censiti, al fine di consentire ad eventuali terzi una verifica di reale credibilità. Il Tribunale faceva salva l’efficacia del divieto relativo al trattamento dei dati personali solamente per l’attività inerente il c.d. profilo contro” che riguarda soggetti terzi non associati. L’Avvocatura dello Stato, per conto del Garante, ricorre quindi in Cassazione lamentandosi, tra i vari motivi, dell’ omesso esame del fatto decisivo rappresentato dalla dedotta inconoscibilità dell’algoritmo utilizzato per l’assegnazione del punteggio di rating. Il ricorso risulta fondato in quanto risulta l’effettiva impossibilità di conoscere l’ algoritmo utilizzato per determinare il rating reputazionale. E la Suprema Corte enuncia a riguardo il seguente principio di diritto in tema di trattamento di dati personali , il consenso è validamente prestato solo se espresso liberamente e specificatamente in riferimento a un trattamento chiaramente individuato . Nel caso di specie, la piattaforma web preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, non soddisfa il requisito della consapevolezza. Pertanto, la Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia al Tribunale di Roma anche per le spese processuali.
Corte di Cassazione, sez. I Civile, ordinanza 24 marzo – 25 maggio 2021, n. 14381 Presidente Genovese – Relatore Terrusi Fatti di causa L’Associazione Mevaluate Onlus chiedeva al tribunale di Roma l’annullamento del provvedimento in data 24 novembre 2016 col quale il Garante per la protezione dei dati personali breviter solo Garante aveva disposto, ai sensi del D.Lgs. n. 163 del 2016, art. 154, comma 1, lett. d , il divieto di qualunque operazione di trattamento dei dati personali presente e futura effettuata dall’associazione medesima in connessione ai servizi offerti tramite la Infrastruttura Immateriale Mevaluate per la Qualificazione Professionalè, per contrasto con gli artt. 2, 3, 11, 23, 24 e 26 del codice privacy. Il cd. sistema Mevalaute - per quanto è dato evincere - si concretizza in una piattaforma web con annesso archivio informatico preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, col fine di contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale il cd. rating reputazionale dei soggetti censiti, per modo da consentire a eventuali terzi una verifica di reale credibilità. Nella resistenza del Garante, l’adito tribunale ha parzialmente accolto il ricorso. In particolare ha annullato il provvedimento facendo salva l’efficacia del divieto quanto al solo trattamento dei dati personali per l’attività inerente il cd. Profilo Contro , riguardante soggetti terzi non associati a Mevaluate Onlus. In simile prospettiva il tribunale ha ritenuto non condivisibile la ragione di illiceità della piattaforma, e del connesso trattamento dei dati personali, ritenuta dal Garante ragione fondamentalmente rinvenuta nell’ assenza di una idonea cornice normativa, rilevante ai sensi del D.Lgs. n. 198 del 2003, art. 11, lett. a quale base del predisposto sistema di raccolta e di trattamento di dati personali e ciò pur essendo il sistema suscettibile di incidere pesantemente sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, con ripercussione del rating sulla vita privata degli individui censiti. A dire del tribunale, non avrebbe potuto negarsi - in vero all’autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato valutativi , in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici. Per la cassazione della sentenza, notificata il 9 aprile 2018, l’avvocatura generale dello Stato, per conto del Garante, ha proposto ricorso sulla base di sette motivi. L’associazione ha replicato con controricorso e ha poi depositato una memoria. Il PG ha depositato una requisitoria scritta. Ragioni della decisione I. - Coi primi quattro motivi, connessi, l’avvocatura ricorrente denunzia i l’omesso esame del fatto decisivo rappresentato dalla dedotta inconoscibilità dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza del sistema automatizzato funzionale a rendere consapevole il consenso prestato dell’interessato ii la violazione dell’art. 8 della Carta dei diritti fondamentali della UE e del D.Lgs. n. 196 del 2003, artt. 13, 23 e 26, art. 7 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, e dell’art. 1346 c.c., in quanto l’omessa considerazione del fatto, incidendo sul requisito di trasparenza dell’algoritmo usato per l’elaborazione dei dati, inficierebbe l’affermazione del tribunale circa la rilevanza del consenso prestato iii la violazione del D.Lgs. n. 196 del 2003, art. 7, poiché è in generale violato il diritto all’informazione in un sistema in cui l’interessato non sia posto in condizione di conoscere la modalità di funzionamento dell’algoritmo in base al quale è trattato il dato personale iv la violazione del D.Lgs. n. 196 del 2003, artt. 11 e 5 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, perché sarebbe altresì violato dalla manchevolezza esposta il principio di liceità, correttezza e trasparenza richiesto dalla legge. Col quinto, sesto e settimo mezzo l’avvocatura ulteriormente deduce v la violazione dell’art. 8 della carta fondamentale dell’Unione Europea e del D.Lgs. n. 186 del 2003, artt. 13, 23 e 26 e art. 7.4 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, sotto il profilo delle modalità di inserimento delle clausole contrattuali afferenti alla pubblicazione degli atti e dei documenti delle controparti vi l’omesso esame di fatto decisivo in ordine alla previsione di penali in caso di revoca dell’autorizzazione a pubblicare i dati relativi a inadempienze contrattuali vii la violazione dell’art. 8 della carta fondamentale dell’Unione Europea e del D.Lgs. n. 186 del 2003, artt. 13, 23 e 26 e art. 7.4 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, come conseguenza dell’omissione di cui sopra. II. - I primi quattro motivi, da esaminare congiuntamente, sono fondati. Occorre dire che contrariamente a quanto sostenuto dal PG il ricorso, nel riferire della decisività del profilo in essi menzionato, non difetta di autosufficienza, poiché a pag. 6 è puntualmente riportato il corrispondente tratto della deduzione a suo tempo fatta dal Garante in risposta all’avverso ricorso. D’altronde emerge finanche dalla sentenza pag. 8 che era stata sollevata dal Garante la questione della impossibilità di conoscere l’algoritmo utilizzato per determinare il rating reputazionale. III. - Ora il tribunale di Roma ha ritenuto legittimo il trattamento dei dati personali degli aderenti al sistema Mevalaute perché validato dal consenso, e dunque perché espressione di autonomia privata. Ha poi supportato l’affermazione aggiungendo che la realtà attuale, nazionale e sovranazionale, conosce diffusamente fenomeni di valutazione e di certificazione da parte di privati, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche . Cosicché la mancanza di una disciplina normativa istitutiva del rating reputazionale proposto dall’associazione, analogo, per esempio, al cd. rating d’impresa di cui al D.Lgs. n. 50 del 2016, art. 83, non poteva intercettare un difetto di liceità del sistema. IV. - Sennonché questa Corte ha già avuto modo di considerare che, ai fini della liceità del trattamento basato sul consenso, il D.Lgs. n. 196 del 2003, art. 23 cd. codice privacy presuppone non solo il consenso, ma anche che il consenso sia validamente prestato v. Cass. n. 17278-18, Cass. n. 16358-18 . Specificamente l’art. 23 dispone che a il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato b il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso c il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato , se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13 d il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. VI. - In simile quadro di regole e principi l’espressione chiaramente individuato - che contraddistingue il trattamento del dato personale - presuppone che il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente. A tal riguardo è onere del titolare del trattamento fornire la prova che l’accesso e il trattamento contestati siano riconducibili alle finalità per le quali sia stato validamente richiesto - e validamente ottenuto - un consenso idoneo. VII. - Nel caso di specie il trattamento era ed è funzionale alla determinazione del profilo reputazionale dei soggetti. La valutazione di liceità di un simile trattamento, basata sul consenso, non poteva essere prospettata dal tribunale senza una previa considerazione degli elementi suscettibili di incidere sulla serietà della manifestazione, e tra questi anche e proprio gli elementi implicati e considerati nell’algoritmo afferente, il funzionamento del quale è essenziale al calcolo del rating. La scarsa trasparenza dell’algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta dall’impugnata sentenza, la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe il momento valutativo del procedimento , a fronte del quale spetterebbe invece al mercato stabilire l’efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma . Questa motivazione non può esser condivisa giuridicamente, in quanto il problema non era e non è confinabile nel perimento della risposta del mercato - sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli - rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece ed è costituito dalla validità - per l’appunto - del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati. VIII. - La sentenza va quindi cassata, con assorbimento dei restanti motivi di ricorso. La causa deve essere rinviata al medesimo tribunale di Roma, in diversa composizione, per nuovo esame. Il tribunale si uniformerà al seguente principio di diritto in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato ne segue che nel caso di una piattaforma web con annesso archivio informatico preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati. Il tribunale provvederà anche sulle spese del giudizio svoltosi in questa sede di legittimità. P.Q.M. La Corte accoglie i primi quattro motivi di ricorso, assorbiti gli altri, cassa l’impugnata sentenza e rinvia al tribunale di Roma anche per le spese del giudizio di cassazione.