Con ordinanza del 25 maggio 2021, n. 14381, la Corte di Cassazione si è pronunciata sul tema della validità del consenso al trattamento dei dati personali nel caso di un processo decisionale automatizzato non trasparente per il calcolo del c.d. rating reputazionale, affermando il principio di diritto secondo il quale, in tema di trattamento dei dati personali, il consenso può considerarsi validamente prestato solo laddove sia espresso liberamente e specificamente con riguardo ad un trattamento chiaramente individuato. Tale requisito, ad avviso della Cassazione, presuppone la consapevolezza dell’interessato del trattamento e non può considerarsi integrato nell’ipotesi in cui le modalità di funzionamento dell’algoritmo non siano conoscibili.

La pronuncia è relativa alla validità del consenso al trattamento dei dati personali da parte di un algoritmo elaborato da una società privata, preordinato all’elaborazione di profili reputazionali, il quale era stato programmato su sistemi di calcolo non trasparenti, atti a stabilire i punteggi di affidabilità di persone fisiche e giuridiche. L’algoritmo era stato oggetto di un provvedimento di divieto da parte del Garante per la Protezione dei Dati Personali (prov. n. 488 del 24 novembre 2016), poi annullato da parte del Tribunale di Roma con la sentenza n. 5715/2018, pubblicata il 04.04.2018, avverso la quale è stato proposto ricorso diretto per cassazione.

Nell’ordinanza di cui si tratta, la Cassazione non condivide la posizione espressa dal giudice di prima istanza, secondo la quale non potrebbe negarsi all’autonomia privata la facoltà di predisporre dei sistemi di accreditamento e dei servizi c.d. valutativi, ai fini dell’ingresso di determinati soggetti nel mercato, nonché la stessa autonomia nella conclusione di contratti e nella gestione dei relativi rapporti economici.

Già in passato, infatti, la Cassazione aveva avuto modo di chiarire che il trattamento dei dati personali presuppone non un qualunque consenso, ma un consenso che, in passato, era qualificato ai sensi dell’art. 23 del d.lgs. 30.06.2003, n. 196 (codice in materia di protezione dei dati personali, c.d. codice privacy), attualmente abrogato dal d.lgs. 10.08.2018, n. 101, che ha adeguato la normativa nazionale alle disposizioni del Regolamento 2016/679/UE (cfr. Cass., sez. I civ., 02.07.2018, n. 17278; cfr. altresì Cass., sez. I civ., ord., 21.06.2018, n. 16358).

Attualmente i requisiti e le caratteristiche del consenso sono disciplinati dalle seguenti disposizioni del Reg. 2016/679/UE (c.d. GDPR):

1. Art. 4, par. 1, n. 11, GDPR, a norma del quale per “consenso dell’interessato al trattamento dei dati personali” si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
2. Art. 6, par. 1, lett. a), GDPR, ai sensi del quale il consenso espresso al trattamento costituisce una delle basi giuridiche del trattamento dei dati personali;
3. Art. 7, GDPR, il quale stabilisce che, qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (par. 1). Inoltre, se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (par. 2). Ai sensi del par. 3 del predetto art. 7, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso con riguardo al periodo precedente la revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con le stesse modalità con cui è accordato.

In particolare, la Suprema Corte ritiene necessario che il consenso sia previamente informato con riferimento a un trattamento ben definito nelle sue caratteristiche essenziali. Al contrario, la mera adesione alla piattaforma web da parte dei consociati non include anche l’accettazione di un sistema automatizzato per il calcolo del rating reputazionale, elaborato da un algoritmo il cui schema esecutivo non sia conosciuto.  

Nel caso di specie, la finalità del trattamento consiste nella valutazione del profilo reputazionale di determinati soggetti, ma il tema che si pone riguarda la validità del c.d. consenso privacy nel caso di scarsa trasparenza dell’algoritmo impiegato. A tale riguardo, la Cassazione ha affermato il principio secondo cui il consenso non può considerarsi validamente prestato «laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati».

Dunque, la Suprema Corte ha cassato la sentenza impugnata con rinvio al medesimo Tribunale di Roma, in diversa composizione, il quale è ora chiamato a pronunciarsi in modo conforme al principio di diritto enunciato dalla Cassazione medesima.

Si tratta, complessivamente, di una pronuncia i cui principi sono ampiamente condivisibili, seppure di difficile attuazione. Infatti, secondo la normativa nazionale ed europea attualmente vigente in materia (artt. 4, 6 e 7 reg. 2016/679/UE), il consenso al trattamento dei propri dati personali deve essere conforme a determinati requisiti ben individuati, tra i quali quello della trasparenza da parte del titolare del trattamento per quanto concerne le modalità e le finalità del trattamento dei dati personali. Ciò soprattutto in considerazione del fatto che, per quanto riguarda le CRAs (credit rating agencies), la regolamentazione europea ha da tempo introdotto obblighi di pubblicazione delle metodologie utilizzate nell’attività di rating del credito, stabilendo una serie di principi cui tali metodologie devono conformarsi, tra i quali il rigore, la sistematicità e l’assoggettamento a forme di convalida basate su dati storici e test di carattere retrospettivo. Tuttavia, la difficile attuazione di quanto sancito dalla Cassazione risiede nel fatto che non sempre l’algoritmo è prevedibile o, meglio, seppure siano illustrate nello specifico la modalità di programmazione dell’algoritmo consentendo (ai più esperti) di comprenderne il funzionamento, ciò non implica che i risultati elaborati dall’algoritmo siano poi prevedibili.

Categorie