Corte di Cassazione, civile, Ordinanza|25 maggio 2021| n. 14381.
In tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; ne consegue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire punteggi di affidabilità, il requisito della consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
Ordinanza|25 maggio 2021| n. 14381. Trattamento di dati personali ed il consenso
Data udienza 24 marzo 2021
Integrale
Tag/parola chiave: Privacy – Garante – Piattaforma web – Elaborazione di profili reputazionali – Consenso – Validità – Requisiti – Conoscenza dell’algoritmo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. GENOVESE Francesco A. – Presidente
Dott. DI MARZIO Mauro – Consigliere
Dott. TRICOMI Laura – Consigliere
Dott. TERRUSI Francesco – rel. Consigliere
Dott. LAMORGESE Antonio P. – Consigliere
ha pronunciato la seguente:
sul ricorso 17144/2018 proposto da:
Garante per la Protezione dei Dati Personali, in persona del legale rappresentante pro tempore, domiciliato in Roma, Via dei Portoghesi n. 12, presso l’Avvocatura Generale dello Stato, che lo rappresenta e difende ope legis;
– ricorrente –
contro
Associazione (OMISSIS) Onlus, in persona del legale rappresentante pro tempore, elettivamente domiciliata in (OMISSIS), presso lo Studio (OMISSIS), rappresentata e difesa dagli avvocati (OMISSIS), giusta procura in calce al controricorso;
– -controricorrente –
avverso la sentenza n. 5715/2018 del TRIBUNALE di ROMA, pubblicata il 04/04/2018;
udita la relazione della causa svolta nella camera di consiglio del 24/03/2021 dal cons. Dott. TERRUSI FRANCESCO;
lette le conclusioni scritte del P.M. in persona del Sostituto Procuratore Generale CARDINO ALBERTO che chiede l’accoglimento dei motivi VI) e VII) di ricorso.
FATTI DI CAUSA
L’Associazione (OMISSIS) Onlus chiedeva al tribunale di Roma l’annullamento del provvedimento in data 24 novembre 2016 col quale il Garante per la protezione dei dati personali (breviter solo Garante) aveva disposto, ai sensi del Decreto Legislativo n. 163 del 2016, articolo 154, comma 1, lettera d), il divieto di qualunque operazione di trattamento dei dati personali (presente e futura) effettuata dall’associazione medesima in connessione ai servizi offerti tramite la “Infrastruttura Immateriale (OMISSIS) per la Qualificazione Professionale’, per contrasto con gli articoli 2, 3, 11, 23, 24 e 26 del codice privacy.
Il cd. sistema (OMISSIS) – per quanto e’ dato evincere – si concretizza in una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, col fine di contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale il cd. “rating reputazionale” dei soggetti censiti, per modo da consentire a eventuali terzi una verifica di reale credibilita’.
Nella resistenza del Garante, l’adito tribunale ha parzialmente accolto il ricorso. In particolare ha annullato il provvedimento facendo salva l’efficacia del divieto quanto al solo trattamento dei dati personali per l’attivita’ inerente il cd. “Profilo Contro”, riguardante soggetti terzi non associati a (OMISSIS) Onlus.
In simile prospettiva il tribunale ha ritenuto non condivisibile la ragione di illiceita’ della piattaforma, e del connesso trattamento dei dati personali, ritenuta dal Garante ragione fondamentalmente rinvenuta nell'”assenza di una idonea cornice normativa, rilevante ai sensi del Decreto Legislativo n. 198 del 2003, articolo 11, lettera a)” quale base del predisposto sistema di raccolta e di trattamento di dati personali; e cio’ pur essendo il sistema suscettibile di incidere pesantemente sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, con ripercussione del rating sulla vita privata degli individui censiti.
A dire del tribunale, non avrebbe potuto negarsi – in vero all’autonomia privata la facolta’ di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato “valutativi”, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici.
Per la cassazione della sentenza, notificata il 9 aprile 2018, l’avvocatura generale dello Stato, per conto del Garante, ha proposto ricorso sulla base di sette motivi.
L’associazione ha replicato con controricorso e ha poi depositato una memoria.
Il PG ha depositato una requisitoria scritta.
RAGIONI DELLA DECISIONE
I. – Coi primi quattro motivi, connessi, l’avvocatura ricorrente denunzia: (i) l’omesso esame del fatto decisivo rappresentato dalla dedotta inconoscibilita’ dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza del sistema automatizzato funzionale a rendere consapevole il consenso prestato dell’interessato; (ii) la violazione dell’articolo 8 della Carta dei diritti fondamentali della UE e del Decreto Legislativo n. 196 del 2003, articoli 13, 23 e 26, articolo 7 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, e dell’articolo 1346 c.c., in quanto l’omessa considerazione del fatto, incidendo sul requisito di trasparenza dell’algoritmo usato per l’elaborazione dei dati, inficierebbe l’affermazione del tribunale circa la rilevanza del consenso prestato; (iii) la violazione del Decreto Legislativo n. 196 del 2003, articolo 7, poiche’ e’ in generale violato il diritto all’informazione in un sistema in cui l’interessato non sia posto in condizione di conoscere la modalita’ di funzionamento dell’algoritmo in base al quale e’ trattato il dato personale; (iv) la violazione del Decreto Legislativo n. 196 del 2003, articoli 11 e 5 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, perche’ sarebbe altresi’ violato dalla manchevolezza esposta il principio di liceita’, correttezza e trasparenza richiesto dalla legge.
Col quinto, sesto e settimo mezzo l’avvocatura ulteriormente deduce: (v) la violazione dell’articolo 8 della carta fondamentale dell’Unione Europea e del Decreto Legislativo n. 186 del 2003, articoli 13, 23 e 26 e articolo 7.4 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, sotto il profilo delle modalita’ di inserimento delle clausole contrattuali afferenti alla pubblicazione degli atti e dei documenti delle controparti; (vi) l’omesso esame di fatto decisivo in ordine alla previsione di penali in caso di revoca dell’autorizzazione a pubblicare i dati relativi a inadempienze contrattuali; (vii) la violazione dell’articolo 8 della carta fondamentale dell’Unione Europea e del Decreto Legislativo n. 186 del 2003, articoli 13, 23 e 26 e articolo 7.4 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, come conseguenza dell’omissione di cui sopra.
II. – I primi quattro motivi, da esaminare congiuntamente, sono fondati.
Occorre dire che contrariamente a quanto sostenuto dal PG il ricorso, nel riferire della decisivita’ del profilo in essi menzionato, non difetta di autosufficienza, poiche’ a pag. 6 e’ puntualmente riportato il corrispondente tratto della deduzione a suo tempo fatta dal Garante in risposta all’avverso ricorso.
D’altronde emerge finanche dalla sentenza (pag. 8) che era stata sollevata dal Garante la questione della impossibilita’ di conoscere l’algoritmo utilizzato per determinare il rating reputazionale.
III. – Ora il tribunale di Roma ha ritenuto legittimo il trattamento dei dati personali degli aderenti al sistema (OMISSIS) perche’ validato dal consenso, e dunque perche’ espressione di autonomia privata.
Ha poi supportato l’affermazione aggiungendo che “la realta’ attuale, nazionale e sovranazionale, conosce diffusamente fenomeni di valutazione e di certificazione da parte di privati, riconosciuti anche a fini di attestazione di qualita’ e/o di conformita’ a norme tecniche”. Cosicche’ la mancanza di una disciplina normativa istitutiva del “rating reputazionale” proposto dall’associazione, analogo, per esempio, al cd. “rating d’impresa” di cui al Decreto Legislativo n. 50 del 2016, articolo 83, non poteva intercettare un difetto di liceita’ del sistema.
IV. – Sennonche’ questa Corte ha gia’ avuto modo di considerare che, ai fini della liceita’ del trattamento basato sul consenso, il Decreto Legislativo n. 196 del 2003, articolo 23 (cd. codice privacy) presuppone non solo il consenso, ma anche che il consenso sia validamente prestato (v. Cass. n. 17278-18, Cass. n. 16358-18).
Specificamente l’articolo 23 dispone che (a) il trattamento di dati personali da parte di privati o di enti pubblici economici e’ ammesso solo con il consenso espresso dell’interessato; (b) il consenso puo’ riguardare l’intero trattamento ovvero una o piu’ operazioni dello stesso; (c) il consenso e’ validamente prestato solo se e’ espresso liberamente e specificamente in riferimento ad un trattamento “chiaramente individuato”, se e’ documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13; (d) il consenso e’ manifestato in forma scritta quando il trattamento riguarda dati sensibili.
VI. – In simile quadro di regole e principi l’espressione “chiaramente individuato” – che contraddistingue il trattamento del dato personale – presuppone che il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente.
A tal riguardo e’ onere del titolare del trattamento fornire la prova che l’accesso e il trattamento contestati siano riconducibili alle finalita’ per le quali sia stato validamente richiesto – e validamente ottenuto – un consenso idoneo.
VII. – Nel caso di specie il trattamento era (ed e’) funzionale alla determinazione del profilo reputazionale dei soggetti.
La valutazione di liceita’ di un simile trattamento, basata sul consenso, non poteva essere prospettata dal tribunale senza una previa considerazione degli elementi suscettibili di incidere sulla serieta’ della manifestazione, e tra questi anche e proprio gli elementi implicati e considerati nell’algoritmo afferente, il funzionamento del quale e’ essenziale al calcolo del rating.
La scarsa trasparenza dell’algoritmo impiegato allo specifico fine non e’ stata ben vero disconosciuta dall’impugnata sentenza, la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validita’ della formula riguarderebbe “il momento valutativo del procedimento”, a fronte del quale spetterebbe invece al mercato “stabilire l’efficacia e la bonta’ del risultato ovvero del servizio prestato dalla piattaforma”.
Questa motivazione non puo’ esser condivisa giuridicamente, in quanto il problema non era (e non e’) confinabile nel perimento della risposta del “mercato” – sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai piu’ vari livelli – rispetto alla predisposizione dei rating attribuiti ai diversi operatori.
Il problema, per la liceita’ del trattamento, era invece (ed e’) costituito dalla validita’ – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non puo’ logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati.
VIII. – La sentenza va quindi cassata, con assorbimento dei restanti motivi di ricorso.
La causa deve essere rinviata al medesimo tribunale di Roma, in diversa composizione, per nuovo esame.
Il tribunale si uniformera’ al seguente principio di diritto: in tema di trattamento di dati personali, il consenso e’ validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilita’, il requisito di consapevolezza non puo’ considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
Il tribunale provvedera’ anche sulle spese del giudizio svoltosi in questa sede di legittimita’.
P.Q.M.
La Corte accoglie i primi quattro motivi di ricorso, assorbiti gli altri, cassa l’impugnata sentenza e rinvia al tribunale di Roma anche per le spese del giudizio di cassazione.
In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.
Leave a Reply