Data Protection, non c’è consenso senza trasparenza: Cassazione, ord. n. 14381/2021

Data Protection, non c’è consenso senza trasparenza: Cassazione, ord. n. 14381/2021

In data 25.5.2021, la Corte di Cassazione ha depositato l’Ordinanza n. 14381 del 24.3.2021 ove, nell’applicare, invero, la disciplina previgente all’entrata in vigore del Regolamento UE n. 2016/679 (GDPR), ha sancito (o meglio, ricordato) un principio cardine nell’economia delle nuove regole comunitarie (e nazionali) in tema di data protection (e, di riflesso, di gestione dei sistemi di Intelligenza Artificiale, alla luce peraltro della relativa proposta di Regolamento, consegnata il 21.4.2021 dalla Commissione Europea).

Il principio in parola afferma, in buona sostanza, che laddove si domanda ad un soggetto interessato il consenso al trattamento dei propri dati personali affinché questi vengano, poi, elaborati da un algoritmo (intelligente) al fine di pervenire ad una decisione automatizzata (potenzialmente) idonea ad incidere sui propri diritti (e libertà), il relativo consenso raccolto non può considerarsi valido, nel caso in cui la persona non venga adeguatamente e previamente informata delle logiche sottese alla base dell’algoritmo che si intende utilizzare.

Sul punto, la Corte di Cassazione ha così testualmente affermato: “…il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento “chiaramente individuato”, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13 […]. In simile quadro di regole e principi l’espressione “chiaramente individuato” – che contraddistingue il trattamento del dato personale – presuppone che il consenso debba essere previamente informato in relazione a un trattamento ben definito nei suoi elementi essenziali, per modo da potersi dire che sia stato espresso, in quella prospettiva, liberamente e specificamente […] in tema di trattamento dei dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito della consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati”.

Come anticipato, il ragionamento espresso dagli Ermellini è, peraltro, oggi ben cristallizzato all’interno del GDPR, giacché viene riconosciuto, in modo espresso, al soggetto interessato di ottenere (previamente) informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato” (art. 13 paragrafo 2) lettera f) del GDPR).

La Suprema Corte ha, dunque, fatto al GDPR un (gradito) regalo di compleanno, sottolineandone, ancora una volta, la sua modernità, elasticità e centralità nel nostro mondo, sempre più digitalizzato e governato dalle tecnologie (intelligenti).


Salvis Juribus – Rivista di informazione giuridica
Ideatore e Coordinatore Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti