forgionegianluca

 

Poichè l’Intelligenza Artificiale si basa sul trattamento di grandi volumi di dati è fondamentale il rispetto dell’art. 16 TFUE che sancisce il diritto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e prevede l’adozione di regole sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

 

ll processo legislativo volto alla tutela della privacy, sul piano comunitario, ebbe inizio con l’adozione della Direttiva 95/46/CE del 24 ottobre 1995 «relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati». Tale direttiva mirava a superare la frammentazione normativa esistente nei diversi paesi europei, avviando un processo di armonizzazione delle regole in materia.

Vengono in rilievo soprattutto il GDPR ( Regolamento Generale sulla Protezione dei Dati, una legge dell'Unione Europea entrata in vigore il 25 maggio 2018) e la Direttiva 2002/58/CE del 12 luglio 2002 (cd. «Direttiva e-privacy»), nonché in ambito nazionale il D. Lgs. 30 giugno 2003, n. 196 (cd. «Codice privacy»), che reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del GDPR (art. 2)

Ai sensi dell’art. 4, n. 11 del GDPR, il consenso dell'interessato è definito come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Il considerando 32 GDPR, stabilisce che il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesti l’intenzione libera, specifica e informata di accettare il trattamento dei dati personali che lo riguardano, oltre a dover essere prestato per tutte le finalità alle quali è rivolto il trattamento.

L'art. 5 del GDPR stabilsice i criteri applicabili al trattamento di dati personali. in merito il coniderando 39 enuncia il principio della trasparenza nel trattamento dei dati personali, precisando che: «Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro [...]. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento».

IL Considerando 7 afferma che lo sviluppo dell’evoluzione tecnologica e dell’economia digitale richiedono «un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancate da efficaci misure di attuazione, data la importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno» (cfr. Considerando 7)

 

Mentre negli anni successivi alla l. 31 dicembre 1996 n. 675 e poi al d.lgs. 30 giugno 2003 n. 196 – il problema era garantire alla persona consapevolezza dei propri dati (dove sono, chi li può trattare, quando li si può modificare o chiederne la cancellazione, ecc.), oggi il problema è garantire alla persona la possibilità di formare la propria identità.

 

 

pattern della piattaforma digitale, quale mezzo tecnologico volto a raccogliere il consenso dell’utente al trattamento dei propri dati personali, è soggetto al GDPR e alle sanzioni ivi previste in caso di violazione

In base all'art. 82, paragrafo 1 GDPR: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

 

Cassazione civile Sez. I ordinanza n. 28358 del 10 ottobre 2023

In tema di trattamento dei dati personali mediante sistemi algoritmici di profilazione, il consenso dell'interessato è validamente prestato, ai sensi dell'art. 23 d.lgs. n. 196/2003, quando l'algoritmo utilizzato sia descritto in modo trasparente e comprensibile nelle sue caratteristiche funzionali essenziali. Non è necessario che vengano esplicitati i dettagli tecnico-matematici dell'algoritmo, ma è sufficiente che il procedimento sia illustrato all'utente in linguaggio comune e in maniera non ambigua, specificando: i dati di input considerati, i criteri di valutazione utilizzati, le sequenze logiche seguite e il tipo di output generato. La validità del consenso richiede che l'interessato possa comprendere ex ante non tanto l'esito finale delle valutazioni operate dal sistema, quanto piuttosto il procedimento logico che conduce alle medesime. A tal fine, è necessario che i passaggi dell'algoritmo siano elementari, univoci, di numero finito, operabili in un tempo finito e con un risultato unico. La circostanza che il procedimento sia poi traducibile in linguaggio matematico-informatico è necessaria per il funzionamento del sistema ma non rileva ai fini della validità del consenso, non essendo richiesto che tale traduzione tecnica sia mostrata agli utenti né che essi la comprendano. Ciò che conta è che i parametri di riferimento e i criteri valutativi siano sufficientemente determinati e illustrati in modo chiaro nel regolamento o nella documentazione fornita all'interessato, così da consentirgli una effettiva consapevolezza delle finalità e modalità del trattamento cui acconsente.