Il “diritto alla spiegazione” ex art. 22 GDPR e il Brexit case

Ancora una volta una riflessione born in UK. In particolare, una riflessione sulle automated decisions tramite algoritmi e il diritto alla spiegazione ex art. 22 GDPR, nel più ampio contesto della tutela della privacy. Ma non solo, una riflessione sulla cd. administrative justice e sulle problematiche ad essa relative, sollevata ed incoraggiata dal Report di recente pubblicato dal Public Law Project. Il titolo, davvero eloquente si presenta così: Quick and uneasy justice: an administrative justice analysis of the EU Settlement Scheme. (concentrandosi sulle seguenti key areas: the legislative and policy design of the Scheme (i.e. the form of the rules); the initial application process; redress systems; e, infine, the support and advice landscape). In relazione alla administrative justice, l’esempio più rilevante – in tema Brexit – è proprio l’EU Settled Scheme: esso rappresenta un nuovo specifico modello nello specifico settore dell’immigrazione, al cui centro si trova proprio l’automazione del processo decisionale.

 

Il collegamento ineludibile tra l’utilizzo dell’Intelligenza Artificiale e la tutela della privacy riguarda l’accumulo su grande scala di notizie e dati della più svariata natura in uno spazio estremamente ridotto. Nell’analizzare tale rapporto, sarà quindi preso in considerazione il fenomeno alla luce delle norme già esistenti, in particolare quelle dettate dal regolamento/(UE) 2016/679 (si veda N. Posteraro, Intelligenza Artificiale e Diritto (a cura di Enrico Gabrielli e Ugo Ruffolo), in Giur. it., numero monografico, luglio 2019).

Occorre sottolineare che l’avvenuto sviluppo dell’Intelligenza Artificiale ha mutato la prospettiva sotto la quale studiare il consenso informato. Infatti, l’utilizzo di algoritmi automatizzati trasforma tutti i dati personali, senza distinzione: gli algoritmi consentono la coordinazione dei dati sensibili con quelli non sensibili, ricostruendo l’intero profilo individuale di ciascuna persona, ledendo in questo modo sia la sua privacy (a causa dell’invasività totale nella sfera privata), sia la sua dignità (rendendola “nuda” e “trasparente” di fronte a chi entra in possesso dei suoi dati rielaborati), e sottoponendola a un serio pericolo discriminatorio. Nel caso in cui il trattamento personale automatizzato sia effettivamente consentito, o dalla legge ovvero per espresso consenso proveniente dalla parte sottoposta a tale decisione, in capo al titolare del trattamento sussiste il dovere, ai sensi del paragrafo 3 dell’art. 22 GDPR, di adottare misure appropriate per tutelare i suoi diritti, le libertà e i legittimi interessi (per approfondimenti vedi M.Macchia, Lo statuto giuridico dell’algoritmo amministrativo).

Fondamentale in questo ambito risulta il meccanismo dell’Automated Decision Making (ADM), attraverso il quale un sistema informatico debitamente programmato (tramite algoritmi) può produrre una decisione rilevante per i soggetti coinvolti senza l’ausilio dell’intervento umano, basandosi esclusivamente sulla valutazione algoritmica dei dati personali dei soggetti/utenti profilati. Un esempio di utilizzo di ADM viene dall’esperienza del Regno Unito, dove è stata proprio la Brexit a rendere indispensabile il ricorso all’automazione delle decisioni al fine di vagliare tutte le richieste per il conseguimento del cd. settled status, o della cittadinanza britannica, giunte in vista dell’uscita del Regno Unito dall’Unione Europea. La parte strettamente “automatica” di tale processo utilizza un algoritmo per controllare i dati HMRC (HM Revenue & Customs) e DWP (Department for Work and Pensions) e verificare, inoltre, l’effettiva prova di residenza. In particolare, queste tre macrocategorie di dati, il nome dell’applicant, la data di nascita e il numero di NI (National Insurance) sono inviate automaticamente dai rispettivi dipartimenti di HMRC e DWP. L’aspetto che, tuttavia, risulta meno approfondito riguarda appunto il complessivo modello di administrative justice che sottende all’intero Schema, ovverosia l’insieme dei processi tramite i quali le decisioni vengono assunte e le strade percorribili dai singoli ai fini di metterle in discussione (rimedi giustiziali, giurisdizionali, strettamente amministrativi, di mediazione e così via). Le critiche a questo sistema possono essere numerose: la scarsa accuratezza della progettazione informatica e procedimentale del sistema; carenze conoscitive nel sistema (in particolare nel caso in cui i documenti relativi alla posizione dell’applicant sono conservati in vecchi archivi cartacei non essendo stati digitalizzati); infine la sostanza dello status, cioè la distinzione tra “settled status”; “pre-setteld status” e cittadinanza vera e propria. Inoltre, l’intero sistema sotteso all’EU Settled Scheme si basa su un controllo automatico dei dati (personali, alcuni sensibili) degli utenti. Sulla base dei test condotti fino ad ora, di cui il Report dà conto, questi controlli automatizzati rappresentano, in realtà, l’unico – e solo – strumento di decision making. Tale Schema, in ogni caso, rientra in un più generale modello di incremento del ruolo della tecnologia, in particolare dell’automazione, nell’Home Office e nel settore pubblico in generale.

La norma fondamentale per iniziare un dibattito sull’argomento è, a prima vista, quella concernente il divieto di decisioni basate unicamente su trattamenti automatizzati. L’art. 11 della direttiva 2016/680/UE stabilisce infatti che «gli Stati membri dispongono che una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull’interessato sia vietata salvo che sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che preveda garanzie adeguate per i diritti e le libertà dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento». Si tratta di una disposizione che, così come quella dell’art. 22 GDPR, presenta una formulazione ambigua: tutto ruota intorno all’interpretazione dell’espressione “decisione basata unicamente su un trattamento automatizzato” (si veda inoltre N.Posteraro, Procedimento amministrativo e decisione amministrativa robotizzata: gli orientamenti della giurisprudenza amministrativa). Secondo una prima impostazione, tale norma vieterebbe le decisioni nelle quali «non vi è alcun coinvolgimento umano nel processo decisionale». Secondo questo orientamento l’uomo (giudice) potrà avvalersi dell’uso delle macchine solo come supporto decisionale, fermo restando che la decisione ultima sarà esclusivamente “umana”. Proprio facendo leva su tale interpretazione dell’art. 22 del GDPR è stato ritenuto legittimo l’utilizzo del software HART in Inghilterra.

In merito, tuttavia, alla configurabilità in capo all’interessato del diritto alla spiegazione, occorre osservare che vi sono riferimenti non univoci tra le già citate “misure appropriate”, espressamente stabilite dall’art. 22, par. 3, e le “garanzie adeguate” menzionate dal considerando n. 71 (statuizione interpretativa) del Regolamento GDPR. Un “diritto alla spiegazione” contenuto nel Regolamento europeo GDPR sarebbe però uno strumento necessario, seppur migliorabile, perché consentirebbe che, su richiesta della parte interessata, vengano spiegati, e quindi resi accessibili e controllabili, i passaggi che hanno comportato l’emanazione di una certa decisione formalizzata da un sistema automatico avente effetti giuridici sulla sfera personale e sulla vita del richiedente. Tuttavia l’implementazione di questo sistema di controllo non risulta ancora soddisfacente perché residuale, o non sufficientemente incisivo.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.