È dello scorso aprile (quindi, ante riforma della disciplina della protezione dei dati personali, a seguito del Reg. UE 2016/679, direttamente applicabile dal 25 maggio scorso) la sentenza n. 5715/2018 con cui il Tribunale di Roma ha annullato il provvedimento del Garante privacy che vietava ad una società ogni trattamento di dati personali connesso al servizio web-based di rating reputazionale, da essa offerto.
Il servizio consisteva nella quantificazione reputazionale di individui, persone giuridiche ed enti (pubblici e privati) sulla base di un algoritmo creato ad hoc, con cui veniva assegnato un punteggio, in termini di affidabilità professionale, ai soggetti iscritti a tale piattaforma che, a tal fine, potevano caricare dati e documenti per accrescere il proprio rating (es: certificazioni, documenti giudiziari, e così via). Tale servizio era volto ad incrementare il livello di fiducia tra le controparti, incentivando l’adozione di comportamenti virtuosi, e dunque a realizzare spazi negoziali più sicuri al fine di garantire maggiore trasparenza e certezza nelle relazioni interpersonali e di business.
Tuttavia, il Garante privacy, chiamato ad esaminare la fattispecie su istanza della stessa società, rilevava l’illegittimità del sistema (un provvedimento di cui abbiamo dato conto in QUESTO post). Il Garante riteneva infatti che, ove il rating di un individuo fosse risultato negativo, la rappresentazione economica e sociale di quest’ultimo ne sarebbe stata inficiata sfavorevolmente, con conseguenti ripercussioni pregiudizievoli per la dignità dell’individuo medesimo. Pertanto, nel bilanciamento tra il diritto all’iniziativa economica privata e il diritto alla dignità personale, il Garante si esprimeva a favore del secondo, in considerazione dei possibili effetti negativi che il rating avrebbe potuto causare sulla vita, anche privata, dei soggetti valutati, “influenzandone scelte e prospettive e condizionando la loro stessa ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici”.
A sostegno della propria decisione, il Garante si soffermava poi sulla mancanza dei presupposti del trattamento (secondo il Garante, il consenso degli interessati non sarebbe stato manifestato liberamente in talune circostanze), sull’illegittimo trattamento dei dati appartenenti a terzi soggetti non iscritti al servizio, sulla violazione dei principi di necessità e proporzionalità in relazione alla raccolta massiva di dati e sull’inidoneità delle misure di sicurezza adottate dalla società.
Sulla base di tali rilievi, il Garante vietava ogni trattamento di dati personali connesso al servizio di rating reputazionale offerto dalla società, che quindi impugnava il provvedimento dinanzi al giudice ordinario di Roma.
Quest’ultimo, disattendendo parzialmente le osservazioni del Garante, annullava il relativo provvedimento e attestava la conformità del sistema di rating reputazionale ai principi in materia di protezione dei dati personali.
In primo luogo, secondo il Tribunale di Roma, andava riconosciuta all’autonomia privata la piena legittimità di “organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato ‘valutativi’, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici”, anche in assenza di una cornice normativa che regolasse tale ambito.
In secondo luogo, il Tribunale individuava il presupposto di legittimità del conseguente trattamento di dati nel consenso degli individui che si iscrivevano al servizio e nella volontarietà della loro azione. Tale consenso, secondo il giudice romano, non sarebbe venuto meno neppure in relazione ad una clausola contrattuale che subordinava la permanenza e/o la conclusione di un rapporto contrattuale all’adesione alla piattaforma. Tale clausola, infatti, non costituiva parte integrante del vincolo associativo, ma soltanto condizione accessoria del rapporto negoziale eventualmente intercorrente tra due o più associati e la cui validità, dunque, sarebbe stata subordinata alla natura del rapporto contrattuale stesso.
Il Tribunale condivideva, invece, le censure mosse dal Garante in relazione al trattamento di dati di terzi soggetti non iscritti al servizio. Attraverso i dati e i documenti prodotti dai soggetti iscritti, era infatti possibile sussumere dati personali di terzi soggetti, che quindi sarebbero stati elaborati in assenza di una manifestazione del loro consenso. Questo trattamento è stato giudicato critico anche da parte del Tribunale di Roma che, pertanto, ha annullato il provvedimento del Garante, facendo salvo il divieto di esercizio di tutte le attività connesse al trattamento di dati dei soggetti non aderenti alla piattaforma.
La sentenza in commento ha certamente contenuto innovativo e apre a letture estensive della normativa in materia di protezione dei dati personali, fino ad oggi applicata solitamente in senso restrittivo a tutela del fondamentale diritto al controllo delle proprie informazioni. I giudici di Roma hanno mostrato un’apertura rilevante che va nel senso della libera circolazione delle informazioni, tanto sostenuta dallo stesso Regolamento (UE) 2016/679, e finora contrastata da una lettura eccessivamente stringente della normativa.