Civile Ord. Sez. 1 Num. 14381 Anno 2021
Presidente: GENOVESE FRANCESCO ANTONIO
Relatore: TERRUSI FRANCESCO
Data pubblicazione: 25/05/2021
sul ricorso 17144/2018 proposto da:
Garante per la Protezione dei Dati Personali, in persona del legale rappresentante pro tempore, domiciliato in Roma, Via dei Portoghesi n.12, presso l' Avvocatura Generale dello Stato, che lo rappresenta e difende ope legis;
-ricorrente -
contro
Omissis, in persona del legale rappresentante pro tempore, elettivamente domiciliata in Roma, Via Colonna Vittoria n.40, presso lo Studio Lipani Catricala' & Partners, rappresentata e difesa dagli avvocati Lipani Damiano, Mazzone Giorgio, Catricalà Antonio, giusta procura in calce al controricorso;
-controricorrente -
avverso la sentenza n. 5715/2018 del TRIBUNALE di ROMA, pubblicata il 04/04/2018;
udita la relazione della causa svolta nella camera di consiglio del 24/03/2021 dal cons. TERRUSI FRANCESCO;
lette le conclusioni scritte del P.M. in persona del Sostituto Procuratore Generale CARDINO ALBERTO che chiede l'accoglimento dei motivi VI) e VII) di ricorso.
Fatti di causa
L' omissis chiedeva al tribunale di Roma l'annullamento del provvedimento in data 24 novembre 2016 col quale il Garante per la protezione dei dati personali (breviter solo Garante) aveva disposto, ai sensi dell'art. 154, primo comma, lett. d), del d.lgs. n. 163 del 2016, il divieto di qualunque operazione di trattamento dei dati personali (presente e futura) effettuata dall'associazione medesima in connessione ai servizi offerti tramite la "Infrastruttura Immateriale omissis per la Qualificazione Professionale', per contrasto con gli artt. 2, 3, 11, 23, 24 e 26 del codice privacy.
Il cd. sistema omissis - per quanto è dato evincere – si concretizza in una piattaforma web (con annesso archivio informatico) preordinata all'elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, col fine di contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare, invece, in maniera imparziale il cd. "rating reputazionale" dei soggetti censiti, per modo da consentire a eventuali terzi una verifica di reale credibilità.
Nella resistenza del Garante, l'adito tribunale ha parzialmente accolto il ricorso. In particolare ha annullato il provvedimento facendo salva l'efficacia del divieto quanto al solo trattamento dei dati personali per l'attività inerente il cd. "Profilo Contro", riguardante soggetti terzi non associati a omissis Onlus.
In simile prospettiva il tribunale ha ritenuto non condivisibile la ragione di illiceità della piattaforma, e del connesso trattamento dei dati personali, ritenuta dal Garante - ragione fondamentalmente rinvenuta nell' "assenza di una idonea cornice normativa, rilevante ai sensi dell'art. 11 lett. a) del D.Lgvo n. 198/2003" quale base del predisposto sistema di raccolta e di trattamento di dati personali; e ciò pur essendo il sistema suscettibile di incidere pesantemente sulla rappresentazione economica e sociale di un'ampia categoria di soggetti, con ripercussione del rating sulla vita privata degli individui censiti.
A dire del tribunale, non avrebbe potuto negarsi - in vero - all'autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato "valutativi", in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici. Per la cassazione della sentenza, notificata il 9 aprile 2018, l'avvocatura generale dello Stato, per conto del Garante, ha proposto ricorso sulla base di sette motivi.
L'associazione ha replicato con controricorso e ha poi depositato una memoria.
Il PG ha depositato una requisitoria scritta.
Ragioni della decisione
I. - Coi primi quattro motivi, connessi, l'avvocatura ricorrente denunzia: (i) l'omesso esame del fatto decisivo rappresentato dalla dedotta inconoscibilità dell'algoritmo utilizzato per l'assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza del sistema automatizzato funzionale a rendere consapevole il consenso prestato dell'interessato; (ii) la violazione dell'art. 8 della Carta dei diritti fondamentali della UE e degli artt. 13, 23 e 26 del d.lgs. n. 196 del 2003, 7 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, e dell'art. 1346 cod. civ., in quanto l'omessa considerazione del fatto, incidendo sul requisito di trasparenza dell'algoritmo usato per l'elaborazione dei dati, inficerebbe l'affermazione del tribunale circa la rilevanza del consenso prestato; (iii) la violazione dell'art. 7 del d.lgs. n. 196 del 2003, poiché è in generale violato il diritto all'informazione in un sistema in cui l'interessato non sia posto in condizione di conoscere la modalità di funzionamento dell'algoritmo in base al quale è trattato il dato personale; (iv) la violazione degli artt. 11 del d.lgs. n. 196 del 2003 e 5 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, perché sarebbe altresì violato dalla manchevolezza esposta il principio di liceità, correttezza e trasparenza richiesto dalla legge.
Col quinto, sesto e settimo mezzo l'avvocatura ulteriormente deduce: (v) la violazione dell'art. 8 della carta fondamentale dell'Unione Europea e degli artt. 13, 23 e 26 del d.lgs. n. 186 del 2003 e 7.4 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, sotto il profilo delle modalità di inserimento delle clausole contrattuali afferenti alla pubblicazione degli atti e dei documenti delle controparti; (vi) l'omesso esame di fatto decisivo in ordine alla previsione di penali in caso di revoca dell'autorizzazione a pubblicare i dati relativi a inadempienze contrattuali; (vii) la violazione dell'art. 8 della carta fondamentale dell'Unione Europea e degli artt. 13, 23 e 26 del d.lgs. n. 186 del 2003 e 7.4 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come conseguenza dell' one di cui sopra.
II. - I primi quattro motivi, da esaminare congiuntamente, sono fondati.
Occorre dire che contrariamente a quanto sostenuto dal PG il ricorso, nel riferire della decisività del profilo in essi menzionato, non difetta di autosufficienza, poiché a pag. 6 è puntualmente riportato il corrispondente tratto della deduzione a suo tempo fatta dal Garante in risposta all'avverso ricorso. D'altronde emerge finanche dalla sentenza (pag. 8) che era stata sollevata dal Garante la questione della impossibilità di conoscere l'algoritmo utilizzato per determinare il rating reputazionale.
III. - Ora il tribunale di Roma ha ritenuto legittimo il trattamento dei dati personali degli aderenti al sistema omissis perché validato dal consenso, e dunque perché espressione di autonomia privata.
Ha poi supportato l'affermazione aggiungendo che "la realtà attuale, nazionale e sovranazionale, conosce diffusamente fenomeni di valutazione e di certificazione da parte di privati, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche". Cosicché la mancanza di una disciplina normativa istitutiva del "rating reputazionale" proposto dall'associazione, analogo, per esempio, al cd. "rating d'impresa" di cui all'art. 83 del d.lgs. n. 50 del 2016, non poteva intercettare un difetto di liceità del sistema.
IV. - Sennonché questa Corte ha già avuto modo di considerare che, ai fini della liceità del trattamento basato sul consenso, l'art. 23 del d.lgs. n. 196 del 2003 (cd. codice privacy) presuppone non solo il consenso, ma anche che il consenso sia validamente prestato (v. Cass. n. 17278-18, Cass. n. 16358-18).
Specificamente l'art. 23 dispone che (a) il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato; (b) il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso; (c) il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento "chiaramente individuato", se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13; (d) il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
VI. - In simile quadro di regole e principi l'espressione "chiaramente individuato" - che contraddistingue il trattamento del dato personale - presuppone che il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente.
A tal riguardo è onere del titolare del trattamento fornire la prova che l'accesso e il trattamento contestati siano riconducibili alle finalità per le quali sia stato validamente richiesto - e validamente ottenuto - un consenso idoneo.
VII. - Nel caso di specie il trattamento era (ed è) funzionale alla determinazione del profilo reputazionale dei soggetti.
La valutazione di liceità di un simile trattamento, basata sul consenso, non poteva essere prospettata dal tribunale senza una previa considerazione degli elementi suscettibili di incidere sulla serietà della manifestazione, e tra questi anche e proprio gli elementi implicati e considerati nell'algoritmo afferente, il funzionamento del quale è essenziale al calcolo del rating. La scarsa trasparenza dell'algoritmo impiegato allo specifico fine non è stata ben vero disconosciuta dall'impugnata sentenza, la quale ha semplicemente ritenuto non decisivi i dubbi relativi al sistema automatizzato di calcolo per la definizione del rating reputazionale, sul rilievo che la validità della formula riguarderebbe "il momento valutativo del procedimento", a fronte del quale spetterebbe invece al mercato "stabilire l'efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma".
Questa motivazione non può esser condivisa giuridicamente, in quanto il problema non era (e non è) confinabile nel perimento della risposta del "mercato" - sintesi metaforica per indicare il luogo e il momento in cui vengono svolti gli scambi commerciali ai più vari livelli - rispetto alla predisposizione dei rating attribuiti ai diversi operatori. Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità - per l'appunto - del consenso che si assume prestato al momento dell'adesione. E non può logicamente affermarsi che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati.
VIII. - La sentenza va quindi cassata, con assorbimento dei restanti motivi di ricorso.
La causa deve essere rinviata al medesimo tribunale di Roma, in diversa composizione, per nuovo esame.
Il tribunale si uniformerà al seguente principio di diritto: in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all 'elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell'algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
Il tribunale provvederà anche sulle spese del giudizio svoltosi in questa sede di legittimità.
p.q.m.
La Corte accoglie i primi quattro motivi di ricorso, assorbiti gli altri, cassa l'impugnata sentenza e rinvia al tribunale di Roma anche per le spese del giudizio di cassazione.
Deciso in Roma, nella camera di consiglio della prima
|
Home
