La Cassazione ha fornito importanti chiarimenti in tema di trasparenza algoritmica, relativamente ai processi decisionali automatizzati svolti anche mediante profilazione e sistemi di IA.
In un noto caso, riguardante una piattaforma per la determinazione automatizzata del rating “reputazionale” degli utenti, il giudice di legittimità ha precisato gli adempimenti necessari per assicurare la trasparenza nei trattamenti di dati personali mediante processi decisionali automatizzati, necessari anche per la raccolta di validi consensi privacy.
Le imprese non sono tenute a fornire agli utenti informazioni sull’algoritmo espresso in linguaggio matematico, circostanza che, peraltro, presenta attriti con le esigenze di tutela delle informazioni riservate. Per ottenere un consenso valido (in particolare, nel rispetto dei requisiti di “libertà” e “specificità”), è invece necessario che gli utenti possano conoscere l’algoritmo inteso come procedimento affidabile per ottenere un determinato risultato o risolvere un certo problema entro un tempo finito, in base a una descrizione non ambigua e, comunque, dettagliata.
In altre parole, ciò che conta è garantire la comprensione del procedimento che porta al risultato previsto, assicurando la massima trasparenza e spiegabilità rispetto allo schema esecutivo nel quale è espresso l’algoritmo, con riferimento alle caratteristiche funzionali di quest’ultimo.
La decisione della Cassazione, almeno in parte, ha anticipato quella cui è pervenuta successivamente la Corte di giustizia UE, in un caso di centrale importanza per il tema della spiegabilità dei processi automatizzati, nel quale è stato affermato, in riferimento agli obblighi previsti in capo al “titolare del trattamento” dall’art. 22 GDPR, che la necessità di fornire «informazioni significative sulla logica utilizzata» nel processo automatizzato richiede di fornire spiegazioni, mediante informazioni pertinenti e in forma concisa, trasparenti, comprensibili e facilmente accessibili, sulla procedura e i principi applicati in concreto per utilizzare, con mezzi automatizzati, i dati personali relativi a una certa persona allo scopo di ottenerne un risultato determinato.