Articolo pubblicato su Giustizia Insieme il 21 giugno 2021
Sommario: 1. Introduzione – 2. L’ordinanza e il fulcro della decisione – 3. Lo statuto dell’algoritmo, a partire dalla protezione dei dati.
- Introduzione
L’ordinanza n. 14381/2021 della Suprema Corte di Cassazione (sez. I civile) qui in commento si inserisce nell’ambito di un ormai partecipato corredo di decisioni giurisprudenziali che hanno iniziato, da pochi anni a questa parte, a tracciare un primo, embrionale, “statuto dell’algoritmo”. Si tratta di pronunce che svelano la complessità di uno scenario tecnologico di cui il diritto fatica a tenere il passo e in cui dunque acquisiscono evidenza le sollecitazioni che la c.d. “società algoritmica” produce rispetto a categorie giuridiche anche di recente conio, come quelle della protezione dei dati personali, così come recentemente declinate nel paradigma regolatorio del Regolamento generale sulla protezione dei dati personali (c.d. “GDPR”).
Tanto più si pretende, infatti, di sostituire o semplicemente supportare l’attività umana affidando funzioni anche rilevanti a processi di elaborazione automatizzata fondati su tecniche algoritmiche, quanto più si palesano le sfide che tali sistemi generano per i diritti e le libertà individuali, non riducibili al solo ambito della privacy e della protezione dei dati. Il rischio latente, infatti, è che mediante il ricorso a queste tecniche, soprattutto da parte di privati, si possano sottrarre attività che presentano un impatto assai significativo ai presìdi che normalmente assistono l’incisione di diritti per mano degli attori pubblici.
Si tratta di motivi, per vero, già timidamente presenti alla mente del legislatore europeo, che con l’art. 22 del GDPR ha tentato di porre un freno rispetto ai trattamenti di dati mediante processi interamente automatizzati, stabilendo il diritto degli individui a sottrarsi a una decisione siffatta e limitando a circostanze determinate le ipotesi eccezionali in cui sia possibile ricorrervi. La ricerca di un punto di equilibrio tra salvaguardia dell’innovazione e tutela dei diritti passa, tuttavia, da presìdi più robusti che potranno verosimilmente costruirsi nel tempo: non è un caso che la stessa Unione abbia formulato di recente una proposta di regolamento su un approccio europeo all’intelligenza artificiale, segno della necessità di “affinare” ulteriormente le “armi” a tutela dei diritti a fronte di un progresso tecnologico il cui incedere pare destinato a una costante accelerazione.
- L’ordinanza e il fulcro della decisione
In questo scenario si inserisce l’ordinanza della Cassazione, che ha accolto il ricorso promosso dall’Autorità garante per la protezione dei dati personali avverso una pronuncia del Tribunale di Roma che ne aveva parzialmente annullato una decisione con cui si era vietato a una società privata di dare corso all’implementazione di un sistema di rating reputazionale.
Sebbene la vicenda si collochi a pieno titolo nel filone legato alla trasparenza algoritmica, la sentenza del Supremo Collego si appunta su un elemento assolutamente tradizionale e consolidato nel diritto (non solo europeo) alla protezione dei dati, ossia il consenso dell’interessato, quale base giuridica che legittima, e dunque giustifica, il trattamento di dati personali effettuato dai soggetti che assumono il ruolo di titolari (e che dunque costituiscono la “controparte” dell’interessato cui i dati personali appartengono).
I fatti di causa risalgono a un’epoca antecedente all’entrata in vigore del GDPR ma i principi di diritto enunciati dalla Cassazione risultano in piena armonia con il quadro giuridico che è andato così evolvendosi.
Nel 2016 l’Autorità garante aveva disposto, ai sensi dell’art. 154, comma 1, lett. d) del d.lgs. 196/2003 (Codice della privacy), il divieto di effettuare operazioni di trattamento da parte di una piattaforma web per l’elaborazione di profili reputazionali[1], avendone riscontrata la natura illecita, difforme dalle previsioni del Codice della privacy. L’Associazione cui era stato ingiunto il blocco dei trattamenti proponeva ricorso avanti al Tribunale di Roma, che annullava parzialmente il provvedimento, ritenendo non condivisibile l’impostazione del Garante, che aveva giudicato assente una idonea cornice normativa alla base del sistema di raccolta e trattamento dei dati previsto dal sistema in discorso. Vale la pena ricordare che l’applicativo al centro della vicenda era inteso a permettere la creazione di profili reputazionali riferiti sia a persone fisiche sia a persone giuridiche ed era nato con l’obiettivo di contrastare la diffusione di profili falsi, così favorendo la diffusione di informazioni accurate e imparziali sulla professionalità e credibilità dei soggetti interessati.
La decisione del Tribunale era incentrata sull’esaltazione dell’autonomia privata, che avrebbe potuto spingersi fino a edificare un sistema di accreditamento per la prestazione di servizi valutativi in vista del collocamento sul mercato dei soggetti interessati.
Secondo la Cassazione, però, l’interpretazione offerta del Tribunale di Roma, contro cui veniva interposto ricorso dal Garante, non ha colto il vero nodo critico indicato già nel provvedimento oggetto di gravame in prime cure, ossia l’individuazione di un adeguato fondamento giuridico. Il punto centrale, infatti, non è dato dall’assenza di una puntuale disciplina del rating reputazionale (carenza dalla quale del resto non è dato inferire alcunché sulla sorte delle operazioni di trattamento), bensì dalla necessità che a legittimare il trattamento di dati personali condotto nella fattispecie sia una valida base giuridica tra quelle indicate dal legislatore, e in particolare una idonea manifestazione di consenso.
Questo richiamo ha consentito al Supremo Collegio di esaminare le condizioni previste dalla normativa rilevante (all’epoca dei fatti rappresentata esclusivamente dalla disciplina interna di recepimento della direttiva 95/46/CE, ossia il d.lgs. 196/2003, “Codice della privacy”, e ora invece costituita dal GDPR in combinazione con alcune norme interne): ora come allora, un requisito indefettibile per considerare il consenso validamente prestato è la sussistenza di una previa opera informativa che illustri in dettaglio le attività di trattamento per le quali i dati dell’interessato sono raccolti. In altri termini, il trattamento di un dato personale deve essere chiaramente individuato: ciò consente di ritenere che la manifestazione volontaristica dell’interessato sia non soltanto informata, ma anche libera e specifica; solo così la sfera conoscitiva dell’interessato potrà ritenersi adeguata a motivare il suo comportamento adesivo. Secondo la Cassazione, una valutazione circa la serietà della manifestazione non può prescindere all’apprezzamento dell’adeguatezza del compendio di informazioni riferite, da ritenersi inclusive, nel caso di specie, deli elementi relativi al funzionamento dell’algoritmo utilizzato per il sistema di rating. Proprio la scarsa trasparenza dell’algoritmo impedisce di considerare valida la manifestazione del consenso: secondo i giudici della Cassazione, infatti, “non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.
- Lo statuto dell’algoritmo, a partire dalla protezione dei dati
Le parole dell’ordinanza sembrano riecheggiare gli accenti utilizzati dal Consiglio di Stato, mesi addietro, per affermare con forza, seppure in un contesto giuridico assai differente, che una regola algoritmica rimane pur sempre una regola giuridica che come tale deve essere afferrabile, comprensibile e anche “valutabile”. Si tratta di un passaggio fondamentale da collocare come pilastro del processo di transizione dalla società digitale a quella algoritmica.
Come ha messo in evidenza anche il commissario dell’Autorità garante Guido Scorza, commentando la pronuncia della Cassazione[2], la protezione dei dati personali rappresenta il primo e più importante presidio rispetto all’avvento su larga scala dei sistemi di intelligenza artificiale e delle tecnologie algoritmiche: non è un caso che nella recente proposta di regolamento che definisce un quadro europeo all’intelligenza artificiale si ritrovino molti dei motivi ispiratori già al centro del GDPR, tra cui in primo luogo spicca il c.d. approccio basato sul rischio[3].
La linea argomentativa della Cassazione, incentrata sulla idoneità “in concreto” della base giuridica adoperata nel caso specifico (il consenso), si riconnette idealmente con il dibattito, nel cui merito era già entrato anche il Consiglio di Stato, sui requisiti di utilizzabilità dell’algoritmo, in particolare sulla conoscibilità e comprensibilità. Questo punto di saldatura tra disciplina sulla protezione dei dati e regolamentazione delle tecnologie algoritmiche, infatti, era già emerso in alcuni importanti passaggi della sentenza del 13 dicembre 2019, n. 8472, della VI sezione del Consiglio di Stato[4].
Al di là del dibattito sull’art. 22, incentrato sulla possibilità di riconoscere un diritto alla spiegazione come declinazione del diritto a non essere sottoposti a decisioni interamente automatizzate, il GDPR sembrerebbe dettare tre principi: il principio di conoscibilità, che si rafforza in principio di comprensibilità quanto si tratti di decisioni automatizzate adottate da soggetti pubblici; il principio di non esclusività della decisione algoritmica, che assicura un contributo umano in grado di controllare, validare o smentire la decisione automatica; il principio di non discriminazione algoritmica, che impegna il titolare dei trattamenti a mettere in atto quanto necessario a rettificare i fattori che comportano inesattezze, per minimizzare gli errori e impedire effetti discriminatori. In questo quadro, il diritto alla spiegazione sembrerebbe prodromico a garantire la conoscibilità dell’algoritmo e dunque il controllo sul suo funzionamento e operato. Sebbene il contenuto della pretesa alla spiegazione e la stessa autonomia di siffatto diritto siano largamente dibattuti, in dottrina, l’ordinanza della Cassazione in commento segna senz’altro un punto rilevante nella creazione di uno “statuto dell’algoritmo”, chiarendo che ove i dati personali siano destinati a subire un trattamento interamente automatizzato, la trasparenza dovrà essere garantita sin dalla fase “genetica”, quella del consenso, che rappresenta una delle possibili basi giuridiche previste dalla normativa. Giova peraltro ricordare che l’art. 22 GDPR, derogando al diritto a non esservi sottoposti, autorizza l’adozione di una decisione interamente automatizzata entro circostanze particolari, ossia quando questa sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; si fondi sul consenso esplicito dell’interessato. Il principio di diritto stabilito dall’ordinanza della Cassazione sembrerebbe così saldarsi rispetto a queste limitazioni, per superare le quali il legislatore attribuisce rilevanza al consenso (esplicito) dell’interessato.
La presa di posizione del Supremo Collegio, così, oltre a confermare la bontà dell’impianto del GDPR, pur pensato in un’epoca antecedente l’esplosione dei moderni sistemi di intelligenza artificiale e di tecnologie altrettanto innovative come la blockchain, aggiunge un tassello ulteriore a quello “statuto dell’algoritmo” cui si accennava poc’anzi: un prodotto perlopiù giurisprudenziale che evidenzia l’esigenza di mantenere ferma una serie di presìdi essenziali a garanzia della fondamentalità del diritto alla protezione dei dati e della centralità dell’individuo nella società algoritmica. Una missione importante, in un’epoca storica in cui, complici forse le difficoltà ingenerate dalla pandemia, non sono mancati scivoloni e cadute di stile anche da parte di importanti esponenti con un passato istituzionale sull’importanza della privacy e degli attori che agiscono a sua tutela[5].
[1] Si v. il provv. 24 novembre 2016 – doc. web n. 5796783.
[2] G. Scorza, “L’algoritmo deve essere trasparente”, la Cassazione rilancia il GDPR, in Agenda Digitale, 26 maggio 2021
[3] Come evidenziato già in M. Bassini, Commissione Europea, proposta di regolamento sull’Intelligenza Artificiale, in Italia Oggi, 24 aprile 2021; cfr. anche G. De Gregorio-O. Pollicino, La Terza via europea per un capitalismo digitale ben temperato, in Il Sole 24 Ore, 23 aprile 2021.
[4] Ma v. anche le sentenze della sez. VI, 4 febbraio 2020, n. 881 e 8 aprile 2019, n. 2270.
[5] Cfr. il tweet del Garante per la protezione dei dati personali del 12 giugno 2021