Privacy e processo decisionale automatizzato nella Pubblica Amministrazione
di Michele Gorga, avvocato e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager di Aidr
In materia di procedimento automatizzato del trattamento dei dati personali ai fini di una decisione amministrativa la norma di riferimento com’è ben noto è quella dell’art. 22 del GDPR del 2016/679 la quale prevede che: “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” Questo principio riassumibile nella massima che nessuno può subire conseguenze sui suoi diritti in vista di una decisione interamente adottata tramite una macchina, un algoritmo altro processo decisionale non umano, trova la sua corrispondenza nel 15simo CONSIDERANDO del GDPR 2016/679, laddove è previsto che “Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche (il trattamento) dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate……”. Entrambe le previsioni espresse nel Regolamento UE 2016/679 sono perciò perfettamente coerenti con i principi fissati dal diritto amministrativo domestico che in sede di coordinamento tra regole sulla trasparenza ed esigenza di rispetto della normativa sulla protezione dei dati1 si coniugano da un lato con la discrezionalità amministrativa, dall’altro con la categoria dell’atto vincolato alle quali tutte le amministrazioni pubbliche sono sottoposte e che pone, alla nostra attenzione, ulteriori profili di criticità in ordine all’algoritmo assunto alla base di una decisione adottata dal sistema di intelligenza artificiale.
Il primo profilo riguarda la necessità di rispettare il principio di trasparenza2, che oramai è centrale nell’attività della P.A. è dovrà essere alla base dei nuovi servizi pubblici fondati su algoritmi e decisioni automatizzate. In questo senso, occorrerà assicurare la trasparenza non solo dei dati, ma anche degli algoritmi, delle logiche di costruzione dei database, del processo di funzionamento del servizio. Il secondo attiene alla responsabilità giuridica della Pubblica Amministrazione anche quando ricorre a soluzioni di intelligenza artificiale nell’erogazione dei servizi o nelle decisioni di ricorrere a procedimenti interamente automatizzati e la giurisprudenza amministrativa si è occupata di casi in cui il procedimento amministrativo è governato completamente da una macchina e si è mossa tenendo fermo il presupposto fondamentale, quello cioè che la tutela giurisdizionale non può essere esclusa o limitata per determinate categorie di atti. Il giudice amministrativo ha affrontato il problema del processo di automazione nel procedimento amministrativo in alcune recentissime sentenze e hanno individuato come regolatori della materia tre principi basilari; quello di conoscibilità; quello di non esclusività della decisione algoritmica; quello di non discriminazione algoritmica.
Soffermandoci al primo principio ossia “il diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato compresa la profilazione” questo comporta che ogni decisione algoritmica, presa dalla P. A. non può mai essere priva di un controllo da parte di un funzionario – persona fisica preposta -, principio già affermato dalla Corte distrettuale Statunitense del Wisconsin e accolta dalla nostra giurisprudenza amministrativa con l’arresto giurisprudenziale cristallizzato nel 2019, che un recente parere reso dal Garante privacy sembra non riconoscere.
E infatti sulla richiesta di parere della Provincia Autonoma di Trento, in ordine ad una proposta di norma predisposta per poter eseguire trattamenti che implicano decisioni integralmente automatizzate, per l’eventuale approvazione di un futuro disegno di legge nell’ambito degli interventi di sostegno economico-finanziario erogati, ossia relativi a concessione di contributi, sussidi, sovvenzioni, ed altre forme di vantaggi economici per i residenti, la provincia ha manifestato la possibilità di avvalersi, in tali procedure di sistemi, anche totalmente automatizzati della logica algoritmica anche se periodicamente verificata allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni di sorta.
Nella richiesta tuttavia, pur prevedendosi che la formula algoritmica sarebbe stata resa pienamente conoscibile ai destinatari interessati nel procedimento amministrativo, – anche se nello stesso provvedimento, poi, non sono state fissate le prescrizione di come rendere conoscibili ai destinatari la formula degli algoritmi – solo genericamente è stato previsto che sarebbe stato possibile agli interessati di “contestare le decisioni assunte sulla base della stessa formula e richiedere un effettivo intervento umano” e, quindi, di un intervento ex post e non ex ante con conseguente violazione dell’ulteriore criterio posto dalla normativa Europea di non aggravamento del procedimento amministrativo a danno degli utenti della P.A., il Garante nonostante le evidenti criticità, ha espresso sullo schema della norma proposto parere favorevole e dettato prescrizioni e condizioni che tuttavia appaiono marginali e residuali.
1 Vedi Galetta D.U., Accesso (civico) generalizzato ed esigenze di tutela dei dati personali ad un anno dall’entrata in vigore del Decreto FOIA: la trasparenza de “le vite degli altri”? in www.federalismi.it, 9 maggio 2018.
2 Vedi Pajno A., Il principio di trasparenza alla luce delle norme anticorruzione, in Giust. civ., 2015, 2, 213 ss.;