Con l’ordinanza n. 32411/2021, depositata lo scorso 8 novembre, la Sezione VI Civile della Corte di Cassazione ha chiarito che l’utilizzo di un algoritmo per l’attività di elaborazione e screening dei dati personali implica profilazione anche nel caso in cui i dati personali non siano conservati dal titolare del trattamento e non possano essere associati al singolo interessato.
La vicenda oggetto della pronuncia
Il provvedimento prende le mosse da una vicenda che vede coinvolta una società esercente il noleggio di veicoli a trazione elettrica, la quale aveva predisposto, sul proprio sito, un meccanismo volto a proporre offerte personalizzate rispetto alla tariffa ordinaria dei propri servizi, sulla base di informazioni ulteriori e specifiche rilasciate dai clienti mediante la compilazione di un modello. La percentuale di sconto veniva calcolata sulla base di un algoritmo che, tenuto conto di vari parametri, incrociava i dati inseriti in modo da prevedere l’utilizzo che ciascun cliente avrebbe fatto dei veicoli ed ottenere la percentuale di sconto utilizzabile.
In merito a tale condotta, l’Autorità Garante per la protezione dei dati personali, con ordinanza n. 18/2018, ingiungeva alla società il pagamento di euro 60.000,00 a titolo di sanzione amministrativa, per l’omessa notifica, alla stessa Autorità, del trattamento dei dati personali inerente alla geolocalizzazione continua dei veicoli noleggiati e alla profilazione dei clienti, violando il D. Lgs. n. 196/2003 (Codice privacy), ratione temporis applicabile al caso di specie.
In particolare, l’art. 37, comma 1, lett. d) del Codice privacy prevedeva la necessità della notifica del trattamento al Garante nel caso in cui lo stesso riguardasse dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzarne abitudini o scelte di consumo.
Sebbene tale disposizione sia stata abrogata a seguito dell’entrata in vigore del Regolamento UE 2016/679 (GDPR), il caso in esame e la decisione della Corte sono utili per comprendere e delineare i termini dell’attività cd. di “profilazione”.
Tornando ai fatti di causa, la società, a seguito dell’ingiunzione di pagamento ricevuta dall’Autorità, proponeva opposizione dinanzi al Tribunale di Livorno, negando che la sua attività di trattamento comportasse una profilazione degli utenti ed asserendo che la procedura predisposta, finalizzata ad offrire una tariffa personalizzata in relazione al bisogno di mobilità del singolo utente, non implicasse né la memorizzazione dei dati, né l’associazione delle informazioni al singolo soggetto. Inoltre, affermava che l’attività in alcun modo fosse strumentale alla fornitura di pubblicità finalizzata allo sfruttamento commerciale dei profili ottenuti ed alla commercializzazione di tali profili.
Con sentenza n. 1202/2018, il Tribunale rigettava l’opposizione, affermando che l’attività posta in essere dalla società integrasse i tre elementi che caratterizzano la profilazione: l’utilizzo di dati personali; il loro trattamento con modalità automatizzata; l’idoneità di questi dati a fornire informazioni sulle esigenze dei clienti e, quindi, ad orientare sullo specifico profilo il servizio richiesto.
Secondo il giudice di prima istanza, infatti, ai fini dell’integrazione della profilazione non occorre la memorizzazione sine die del dato, né la sua associazione duratura con il singolo cliente, in quanto l’attività di elaborazione attraverso algoritmo di dati personali sostanzia, di per sé, un’attività di screening dei dati forniti, finalizzata a soddisfare specifiche esigenze dell’utente in vista di un vantaggio economico.
Avverso il provvedimento di prime cure, la società proponeva ricorso per Cassazione, insistendo nel sostenere l’assenza di attività di profilazione e facendo leva, in particolare, su tre motivazioni: in primo luogo, perché attraverso il meccanismo prescelto non si memorizzava alcun dato, né i dati temporaneamente immessi nel sito venivano messi in collegamento con le anagrafiche degli utenti; in secondo luogo, perché l’attività non era strumentale alla fornitura di pubblicità personalizzata, né all’analisi e monitoraggio dei comportamenti dei visitatori del sito web, né allo sfruttamento commerciale delle indicazioni dagli stessi forniti; da ultimo, perché lo sconto era determinato in modo automatico a partire dalle informazioni degli utenti ma, una volta calcolato, non consentiva di risalire a chi lo aveva chiesto e alle sue informazioni, con la conseguenza che non permetteva di pervenire all’identificazione inequivoca dell’interessato.
A sostegno della sua tesi, la società richiamava altresì le “Linee guida in materia di trattamento di dati personali per profilazione online” emesse dal Garante con provvedimento del 19 marzo 2015.
La decisione della Corte
La Sezione VI Civile della Corte di Cassazione, con la sopracitata ordinanza n. 32411/2021 depositata lo scorso 8 novembre, ha sostenuto le ragioni del giudice di merito.
In particolare, la Suprema Corte ha chiarito che il trattamento con modalità automatizzata di dati personali con il fine di definire il profilo o la personalità dell’interessato per analizzarne abitudini e scelte di consumo, non può che essere una manifestazione della profilazione del cliente, sebbene questi non risulti individualmente identificato e sebbene i dati non siano memorizzati dal titolare, sussistendo, comunque, un’attività di screening volta a pervenire ad un’offerta commerciale il più possibile ritagliata sulle concrete caratteristiche ed esigenze dell’interessato.
Pertanto, anche ad avviso della Corte, né la memorizzazione dei dati, né la loro associazione con il singolo cliente sono rilevanti, essendo già di per sé qualificabile come “profilazione” l’attività di elaborazione e screening dei dati personali attraverso un algoritmo volto ad analizzare o prevedere le specifiche esigenze dell’utente fruitore.
Inoltre, secondo la Corte, vero è che il Garante, come evidenziato dal ricorrente, ha dato delle precisazioni relative all’attività di profilazione con le linee guida del 19 marzo 2015, nell’ambito della fornitura di servizi online accessibili al pubblico attraverso reti di comunicazione elettronica. Nondimeno, la Corte ha ritenuto errate le conclusioni della società ricorrente, non potendo le linee guida dettare una definizione di profilazione in contrasto con quanto risulta in maniera vincolante dalla previsione legale, la quale depone in maniera inequivoca per la riconduzione nella previsione di legge – il riferimento è, qui, all’art. 37, comma 1, lett. d) del D.lgs. n. 196/2003 – della condotta posta in essere dalla società.
Tali conclusioni sono, tra l’altro, in linea con l’art. 4, comma 1, n. 4 del Regolamento UE 2016/679 (GDPR), che ha introdotto una definizione – prima assente – di “profilazione”, intendendo per essa “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Appare evidente che neppure il GDPR abbia ancorato la concreta applicabilità della norma alla sussistenza della memorizzazione dei dati da parte del titolare e/o della associazione dei dati al singolo interessato, né tanto meno alla finalità di commercializzazione dei servizi da parte del titolare.
Ad essere richiesto dalla norma è il trattamento automatizzato di dati personali volto a definire il profilo dell’interessato, al fine di analizzare o prevedere le sue abitudini o scelte personali.
