NEWS

Il diritto a capire come funziona l'algoritmo prima di dire di sì

Quando si chiede a una persona il consenso a trattare i suoi dati personali perché siano dati in pasto a un algoritmo chiamato ad assumere una qualche decisione il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo. È la sintesi di una bella Sentenza depositata nei giorni scorsi dai Giudici della Corte di Cassazione.

L'interessato ha diritto a conoscere come funziona l'algoritmo che lo profila

Il consenso, quindi, quello al trattamento dei nostri dati personali, non vale se l’algoritmo non è trasparente semplicemente perché non può essere consapevole per davvero un consenso a un trattamento di dati personali senza che si sappia esattamente come l’algoritmo tratterà i nostri dati personali, che peso darà ai diversi parametri esaminati e quali dinamiche seguirà nell’arrivare alla conclusione del proprio “ragionamento”.

I giudici della Corte di Cassazione, nell’accogliere il ricorso del Garante per la protezione dei dati personali avverso una Sentenza del Tribunale di Roma che aveva, a sua volta, parzialmente accolto il ricorso proposto da una società che si era vista vietare dal Garante la possibilità di implementare un complesso sistema di rating reputazionale hanno interpretato le disposizioni all’epoca (2016) dettate dal Codice Privacy in materia di requisiti del consenso.

Nella sostanza, infatti, la società in questione si proponeva di elaborare dei profili reputazionali degli associati a un’associazione al fine di consentire a questi ultimi di presentare delle proprie “credenziali” a clienti e potenziali clienti o, comunque, nelle dinamiche commerciali e professionali e si proponeva di porre in essere i trattamenti di dati personali strumentali all’elaborazione di tali profili sulla base del consenso degli interessati, un consenso, tuttavia, prestato senza che agli interessati fosse illustrato preventivamente il funzionamento dell’algoritmo utilizzato per l’elaborazione del profilo.

Il Tribunale nell’accogliere – almeno parzialmente – il ricorso della società in questione aveva ritenuto che la conoscenza della logica alla base del funzionamento dell’algoritmo non fosse presupposto di validità del consenso ma attenesse piuttosto a una valutazione successiva e eventuale del mercato nel cui ambito l’algoritmo in questione avrebbe potuto essere giudicato inadeguato, imperfetto o mal funzionante.

Non così secondo i Giudici della Cassazione che nel bocciare la decisione dei Giudici di primo grado mettono nero su bianco di non condividere tale decisione “in quanto – scrivono letteralmente gli ermellini - il problema non era (e non è) confinabile nel perimetro della risposta del mercato – sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli – rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi riconoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.

Non si può dire di si, insomma, al trattamento dei nostri dati personali attraverso un algoritmo del quale il titolare del trattamento non ci ha preventivamente raccontato logiche e dinamiche di funzionamento.

Difficile non condividere il ragionamento degli ermellini che, d’altra parte, oggi è cristallizzato in quanto previsto dal GDPR – la disciplina europea in materia di privacy entrata in vigore nel maggio del 2018 e, quindi, successivamente ai fatti ai quali si riferisce la decisione e per questo non applicata dalla Cassazione - che espressamente riconosce agli interessati, laddove i loro dati personali siano destinati a essere utilizzati per l’assunzione di una decisione automatizzata, il diritto, tra l’altro, di ricevere, evidentemente preventivamente rispetto all’eventuale prestazione del consenso al trattamento, “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento”.

Guido Scorza, componente del Garante per la protezione dei dati personali

(Nella foto: Guido Scorza, componente del Garante per la protezione dei dati personali)

La disciplina sulla protezione dei dati personali, dunque, come la decisione appena adottata Suprema Corte di Cassazione suggerisce, sembra davvero rappresentare un volano irrinunciabile e, oggi, il presidio più prezioso nel governo dell’intelligenza artificiale come, d’altra parte, sembra confermare la proposta di Regolamento dell’Unione europea proprio in materia di intelligenza artificiale che, sotto molteplici profili – incluso quello oggetto della Sentenza – di fatto applica il metodo GDPR proprio all’intelligenza artificiale.

Non c’è, non può esservi e non potrà esserci domani consenso al trattamento di dati personali attraverso un sistema di intelligenza artificiale se alla persona alla quale i dati si riferiscono e il consenso viene richiesto non sarà stato prima spiegato chiaramente come quel sistema li processerà per arrivare alle sue conclusioni.

Un principio che, se applicato rigorosamente, forse, metterebbe fuori legge molti dei trattamenti di dati personali realizzati già oggi attraverso sistemi diversamente intelligenti.

di Guido Scorza (Fonte: Huffington Post)

Note Autore

Guido Scorza Guido Scorza

Componente del Collegio del Garante per la protezione dei dati personali. Twitter: @guidoscorza

Prev Diritto all'oblio & cronaca, equilibrio delicato
Next Se hai Alexa, Amazon consentirà ai tuoi vicini di 'fregarti' la Wi-Fi

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy