Mevaluate e il Rating Reputazionale. La sentenza della Cassazione: il rating reputazionale è lecito.
Il cittadino, purché informato esplicitamente sui meccanismi dell’algoritmo, ha il potere e la libertà di richiedere e ottenere il profilo reputazionale.
L’ordinanza della Cassazione
L’ordinanza della Cassazione (Sez. I Civile) n. 14381 del 24 maggio 2021, con la quale il contenzioso tra il Garante per la protezione dei dati personali e l’associazione Mevaluate onlus, lungi dall’essere definito, è stato rimesso al Tribunale di Roma per un ulteriore grado di approfondimento di merito, rappresenta un ulteriore spunto di riflessione sul tema del rapporto tra elaborazione automatizzata di profili reputazionali di persone fisiche e consenso dell’interessato.
Gli ambienti giuridico-dottrinari vicini al Garante esultano per il provvedimento dei giudici ermellini vedendo, nell’affermata necessità di trasparenza degli algoritmi di calcolo dei rating reputazionali, addirittura un rilancio per l’Autority.
Chi, invece, è al corrente della vicenda processuale che contrappone da oltre cinque anni il Garante privacy a Mevaluate onlus pioniera, nel nostro paese, del rating reputazionale digitalizzato, documentato e tracciabile, sa bene che ciò che l’ordinanza in commento ha in realtà legittimato, è proprio tale attività di profilazione reputazionale, caparbiamente avversata dal Garante sin dalla sua iniziale ideazione.
Liceità oltre al consenso
I due articoli pubblicati da Agenda Digitale il 26 maggio 2021 e da Huffington Post il 27 maggio 2021 – entrambi a firma dell’avvocato Guido Scorza (Autorità Garante Privacy) – esaltano l’ordinanza della Cassazione dando rilievo all’affermazione del principio secondo cui il consenso non vale se l’algoritmo non è trasparente e non sono rese note, al soggetto interessato, le caratteristiche e le modalità del suo funzionamento.
Il commentatore non ricorda, tuttavia, come l’origine della controversia abbia involto un ambito ben più ampio rispetto a quello oggi trattato, non riguardando, “semplicemente”, le modalità di prestazione del consenso dell’interessato ma la astratta e generale liceità e concreta praticabilità del trattamento stesso.
Il Garante
Difatti, il Garante, in data 28 dicembre 2016, pubblicava la newsletter n. 423 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5805596) in cui svolgeva, in sintesi, i seguenti rilievi:
- l’attività di elaborazione dei rating reputazionali (del genere trattato da Mevaluate onlus) risulterebbe illecita in sé, in quanto priva di una base normativa, con la conseguenza che nemmeno il consenso dell’interessato sarebbe in grado di legittimarla;
- le valutazioni reputazionali su base automatizzata non sarebbero in grado di garantire l’oggettività del risultato e tanto basterebbe a determinare l’illiceità del trattamento, indipendentemente dal consenso espresso dell’interessato, in quanto violerebbero la dignità della persona.
Tribunale e Cassazione
Il Tribunale prima, e la Cassazione poi, hanno invece frustrato tale impostazione attribuendo al consenso dell’interessato, sebbene a determinate condizioni, il potere, e dunque la libertà, di conseguire un profilo reputazionale personale, anche se prodotto su base automatizzata, escludendo, di conseguenza, che “l’algoritmo della reputazione” sia produttivo, in re ipsa, di un pregiudizio alla dignità della persona.
La Corte non ha dunque disconosciuto quanto affermato dal Tribunale in ordine ai seguenti principi:
- è legittimo il trattamento dei dati personali degli aderenti al sistema Mevaluate perché validato dal consenso, e dunque perché espressione di autonomia privata;
- si ha conoscenza diffusa nella realtà attuale, nazionale e sopranazionale, di fenomeni di valutazione e di certificazione da parte di privati (es. TripAdvisor, Crif, Bdcr Assilea, Consorzio per la tutela del credito (Ctc), Experian-Cerved);
- è lecito il sistema di rating reputazionale proposto dall’associazione, anche in mancanza di una disciplina normativa istitutiva, analogamente a quanto avviene, per esempio, con riferimento al cd. “rating d’impresa” di cui all’art. 83 del D. Lgs. 50/2016.
La Corte, in definitiva, ha confermato la possibilità di sviluppare servizi di rating reputazionale basati sul consenso dell’interessato ai sensi dell’art. 23 del D. Lgs. n. 196/2003, purché ricorrano le condizioni indicate nel principio di diritto espresso nell’ordinanza di rinvio:“in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificatamente in riferimento a un trattamento chiaramente individuato; ne consegue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche e giuridiche, incentrate su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito della consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati”.
Conclusioni
Appare allora evidente come, in tale quadro evolutivo della vicenda, l’ordinanza della Cassazione abbia rilanciato, non affatto la iniziale tendenza del Garante privacy a vietare, in assoluto, la diffusione del trattamento in esame, bensì le aspirazioni dell’associazione Mevaluate onlus che vede ora la strada spianata verso l’elaborazione di rating reputazionali automatizzati, purché rispettosi del sacrosanto ed incontestato presupposto dell’esistenza di un consenso, libero e congruamente informato.
Mevaluate onlus ritiene di essere già in linea con le prospettazioni della Cassazione avendo adeguatamente indicato i criteri di funzionamento dell’algoritmo – connessi a basi etico-giuridiche specificatamente codificate (codice universale della reputazione e relativo regolamento) e di libera condivisione – sia nel regolamento associativo, sia nel contratto tra l’associato e il consulente reputazionale incaricato di attestare la genuinità dei documenti che determinano il rating reputazionale; ma in ordine a tale tematica, l’unica sulla quale la Corte ha richiesto una indagine supplementare di merito, valuterà e deciderà il Giudice del rinvio.
Allo stato attuale, le considerazioni sopra svolte consentono, quanto meno, di avere qualche concreto dubbio sul fatto che il Garante privacy sia rimasto davvero soddisfatto, come invece confida Agenda Digitale, del “regalo di compleanno” che la Corte avrebbe inteso fare in occasione del terzo anniversario dell’entrata in vigore del GDPR in Italia (25 maggio 2018).
Avvocato Luciano Mariani