L’orientamento[1]
La sez. I della Corte di Cassazione, con ordinanza 25 maggio 2021, n. 14381, interviene sulla corretta manifestazione del “consenso informato” per il giusto trattamento dei dati personali, il quale presuppone la conoscenza dell’algoritmo utilizzato per determinare il rating reputazionale.
Il caso
La questione involge l’applicazione di un provvedimento inibitorio del Garante per la protezione dei dati personali, riferito al divieto di qualunque operazione di trattamento dei dati personali (presente e futura) effettuata da un’associazione in connessione ai servizi offerti tramite una piattaforma web (con annesso archivio informatico), con la quale l’utente manifestava il proprio “gradimento” su determinati soggetti.
Il sistema consentiva (era nelle intenzioni) di valutare in maniera imparziale il c.d. “rating reputazionale” (analogo al c.d. “rating d’impresa”, di cui all’art. 83, comma 10 del d.lgs. n. 50/2016) finalizzato alla verifica della credibilità dei soggetti individuati (un indicatore a cui fa corrispondere determinati benefici a determinate condizioni)[2], e di conseguenza suscettibile di incidere pesantemente sulla rappresentazione economica e sociale di un’ampia categoria di soggetti.
Base giuridica
Il Garante lamentava l’assenza di una base giuridica di riferimento per il trattamento di dati personali, nonché la mancata conoscenza delle modalità con le quali si definiva il punteggio attribuito dall’algoritmo utilizzato, aspetti che si riverberavano sulla manifestazione dell’autonomia decisionale del privato nel dare il consenso informato.
In effetti, si evidenziava che la mancata conoscenza dell’algoritmo comportava la mancanza del necessario requisito di trasparenza del sistema automatizzato, funzionale a rendere consapevole il consenso prestato dell’interessato in violazione:
- dell’art. 8, Protezione dei dati di carattere personale, della Carta dei diritti fondamentali della UE, dove si celebra il diritto di ogni individuo «alla protezione dei dati di carattere personale che lo riguardano», disponendo quale precetto diretto che i «dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge», con il correlato «diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica»;
- degli artt. 13 (Informativa)[3], 23 (Consenso) e 26 (Garanzie per i dati sensibili)[4] del d.lgs. n. 196 del 2003 (articoli abrogati dal D.L. 13 maggio 2011, n. 70, Semestre Europeo – Prime disposizioni urgenti per l’economia e dal Lgs. 10 agosto 2018 n. 101, Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
- dell’art. 7, Condizioni per il consenso, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (GDPR), ove si prevede al comma 1, ai fini della liceità del trattamento (cfr. art. 6, Liceità del trattamento), che «qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali», con pieno diritto «di revocare il proprio consenso in qualsiasi momento», precisando al comma 4 che «nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto»;
- dell’art. 1346 cod. civ. dove tra i Requisiti del contratto si stabilisce che «l’oggetto del contratto deve essere possibile, lecito, determinato o determinabile», ovvero le prestazioni negoziali devono essere definite.
Il consenso informato
La mancata conoscenza delle modalità valutative dell’algoritmo usato per l’elaborazione dei dati, e relativo trattamento, inciderebbe in modo determinante sulla rilevanza del consenso prestato: una violazione alle regole di trasparenza connesse all’informativa, espugnando, altresì, il correlato principio di liceità e correttezza richiesti dalla legge.
In termini divulgativi, è necessario spiegare da una parte, le ragioni per le quali si richiede il consenso, dall’altra parte, che cosa implica il trattamento in termini di modalità ed effetti (ad es. che i dati sarebbero stati utilizzati seguendo un percorso motivazionale prestabilito, ovvero, per incrociare riferimenti specifici, oppure, non solo per la fornitura del servizio, ma anche per l’invio di comunicazioni promozionali, nonché di informazioni commerciali da parte di terzi): l’informativa pone le regole generali per il trattamento dei dati nel senso che il consenso è condizione della liceità del trattamento.
Il principio definisce il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (punto 11), comma 1, dell’art. 4, Definizioni, del GDPR), rilevando che sia da escludere che il consenso considerato dalla disciplina complessiva del cit. Regolamento UE 679/2016 sia semplicemente il medesimo consenso in generale richiesto a fini negoziali.
Invero, si tratta di un consenso rafforzato atteso che siamo in presenza di un trattamento dei dati personali che costituiscono beni attinenti alla persona e la manifestazione non può limitarsi ad una generica espressione di volontà, ma richiede un quid superiore, ovvero la consapevolezza piena di ogni condizione/scopo riferita al trattamento ex se, specie in considerazione della condizione “debole” dell’interessato a fronte di una “asimmetria informativa” relativa alle pratiche commerciali e dei rischi dei trattamenti massivi dei dati personali: il «consenso informato», specie in ambito sanitario, è proprio volto all’esigenza di tutelare la pienezza del consenso, in vista dell’esplicazione del diritto di autodeterminazione dell’interessato[5].
Il pronunciamento
La Corte osserva, in primis, che la liceità del trattamento dei dati si basa non solo sul consenso, ma anche che il consenso sia validamente prestato secondo le indicazioni della fonte di riferimento[6], ove il quadro di regole e principi postula che deve essere “chiaramente individuato”, presupponendo che «il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente»: un onere probatorio in capo al “titolare del trattamento” tale da dimostrare che l’accesso e il trattamento siano riconducibili alle finalità per le quali sia stato validamente richiesto – e validamente ottenuto – un consenso idoneo.
Si comprende che solo attraverso la conoscenza dell’algoritmo reputazionale si possa validamente, seriamente, consapevolmente esprimere il consenso, e dunque la liceità del trattamento; conoscenza essenziale ai fini di comprendere il calcolo del rating.
Di riflesso, annota la Corte, «non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati».
La massima di diritto
Alla luce del quadro esegetico, la Corte indica il principio di diritto «in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati».
Riflessioni prospettiche
Il pronunciamento, nella sua limpidezza espressiva, non da nulla per scontato, ove nel mondo on line si esprime il proprio consenso con un semplice ed immediato “click”, dovendo, invece, dimostrare che l’espressione del “consenso informato” richiede un processo valutativo dell’interessato non limitato a flaggare un “accetto”, quanto semmai a dare prova di aver compreso l’intero processo del sistema di raccolta dei dati personali, nonché dei risultati di tale raccolta, avendo cura di spiegare le modalità concrete del servizio prestato in relazione allo scopo del trattamento.
Questa metodologia potrebbe richiedere una maggiore quantità di tempo, qualche istante in più dello scorrere del cursore a video, si dovrebbe valorizzare una maggior attitudine a leggere le indicazioni fornite dall’operatore economico/gestore della piattaforma (che generalmente sono presenti e in quantità elevata), ma quando questa richiesta di una maggiore esaustività dell’informativa viene formulata il Titolare/Responsabile del trattamento non può sottrarsi dal fornire le informazioni richieste.
In modo similare, come citato nella sentenza in ambito sanitario, il “consenso” al trattamento richiede che sia dato “libero e informato”, a tutela del diritto alla vita, alla salute, alla dignità e all’auto-determinazione della persona, sicché l’interessato deve comprendere tutte quelle informazioni utili alla cura, compresi gli effetti[7].
[1] Articolo pubblicato: ictsecuritymagazine.com
[2]Vedi, CARDONE, Il rating di impresa: disciplina, criticità e prospettive di un istituto mai applicato, federalismi.it. 30 dicembre 2020, ove si evidenza che il rating costituisce uno «strumento la cui finalità consiste nell’aumentare il tasso di efficienza del mercato dei contratti, instaurare un sistema di selezione delle imprese a garanzia dell’interesse alla corretta gestione dei contratti pubblici, tenendo conto, nella fase di aggiudicazione, non solo dei requisiti economici validi e conformi all’oggetto del contratto ma anche della “reputazione” dell’impresa, in base ai precedenti appalti eseguiti».
[3] Cfr. l’art. 13, Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, del GDPR.
[4] Cfr. l’art. 9, Trattamento di categorie particolari di dati personali, del GDPR.
[5] Cass. civ., sez. I, 2 luglio 2018, n. 17278.
[6] Vedi, Cass. civ., sez. I, 22 marzo – 21 giugno 2018, n. 16358.
[7] Vedi, LUCCA, Gli obblighi abnormi di mascheramento e confinamento vaccinale: dal green pass all’uomo nuovo digitale, comedonchisciotte.org, 25 agosto 2021, ove si analizza in “consenso informato” in materia sanitaria.