Il Consiglio di Stato con una sentenza del 13 dicembre 2019 offre lo spunto per svolgere una serie di importanti riflessioni su una tematica sempre più oggetto di attenzione normativa e giurisprudenziale, sia a livello nazionale che europeo: l’utilizzo degli algoritmi all’interno delle procedure amministrative. La nuova pronuncia conferma tale impostazione, pur mostrando una forte apertura al ricorso a tali strumenti da parte della PA.
Indice degli argomenti
La decisione del Consiglio di Stato
Preliminarmente i giudici, con un’affermazione dalla portata indubbiamente dirompente, affermano come anche la Pubblica Amministrazione debba poter sfruttare le rilevanti potenzialità della c.d. rivoluzione digitale. Infatti, il ricorso ad algoritmi informatici per l’assunzione di decisioni che riguardano la sfera pubblica e privata comporta evidenti guadagni in termini di efficienza e neutralità, con l’obiettivo di “correggere le storture e le imperfezioni che caratterizzano tipicamente i processi cognitivi e le scelte compiute dall’essere umano”. Peraltro, ammonisce il Consiglio di Stato, l’impiego di tali strumenti comporta una serie di scelte e di assunzioni tutt’altro che neutre: l’adozione di modelli predittivi e di criteri in base ai quali i dati sono raccolti, selezionati, sistematizzati, ordinati e messi insieme, la loro interpretazione e la conseguente formulazione di giudizi sono tutte operazioni frutto di precise scelte e di valori, consapevoli o inconsapevoli; scelte, si sottolinea, che dipendono in gran parte dai criteri utilizzati e dai dati di riferimento utilizzati, in merito ai quali è apparso spesso difficile ottenere la necessaria trasparenza.
È senz’altro innegabile, come sottolinea la pronuncia, che un più elevato livello di digitalizzazione dell’amministrazione pubblica sia fondamentale per migliorare la qualità dei servizi resi ai cittadini e agli utenti (ed in quest’ottica gli interventi di riforma dell’amministrazione susseguitisi nel corso degli ultimi decenni, fino alla legge n. 124 del 2015, lo stesso Codice dell’Amministrazione Digitale rappresentano un approdo decisivo[1]). Tuttavia, emerge con chiarezza la necessità di ulteriori approfondimenti, laddove nell’ipotesi oggetto di giudizio non si tratta di disciplinare nuove forme di esternazione della volontà dell’amministrazione (come nel caso dell’atto amministrativo informatico), nuovi metodi di comunicazione e scambi dati tra amministrazione e privati (come nel caso della partecipazione dei cittadini alle decisioni amministrative attraverso piattaforme digitali), ma di valutare la possibilità che il procedimento di formazione della decisione amministrativa sia affidato a un software, nel quale vengono immessi una serie di dati così da giungere, attraverso l’automazione della procedura, alla decisione finale.
Simile modalità operativa di gestione dell’interesse pubblico è senz’altro utile in procedure di tipo seriale o standardizzato, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili. Ma nulla vieta, rileva la Sezione, che anche le attività connotate da ambiti di discrezionalità[2], in specie tecnica, possano in astratto beneficiare delle efficienze e dei vantaggi offerti dagli strumenti algoritmici, la cui piena ammissibilità risponde ai canoni di efficienza ed economicità dell’azione amministrativa (ex art. 1 della legge 241/90), in ossequi al principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), che impone all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse.
I limiti
Dunque, l’uso di una procedura informatica che conduce direttamente alla decisione finale non deve essere stigmatizzata, ma anzi, in linea di massima, incoraggiata, proprio in virtù dei numerosi vantaggi che comporta: la riduzione della tempistica dei procedimenti per operazioni meramente ripetitive e prive di discrezionalità, l’esclusione di interferenze dovute a negligenza (o dolo) del funzionario, la conseguente maggior garanzia di imparzialità della decisione automatizzata. Ma, sottolinea con fermezza la pronuncia in rassegna, l’utilizzo di procedure informatizzate non può essere motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa. In tale contesto, infatti, “il ricorso all’algoritmo va correttamente inquadrato in termini di modulo organizzativo, di strumento procedimentale ed istruttorio, soggetto alle verifiche tipiche di ogni procedimento amministrativo, il quale resta il modus operandi della scelta autoritativa, da svolgersi sulla scorta delle legislazione attributiva del potere e delle finalità dalla stessa attribuite all’organo pubblico, titolare del potere”.
Pertanto, premessa la generale ammissibilità di tali strumenti, il Consiglio di Stato individua due importanti limiti – in senso garantistico – alla loro utilizzabilità in sede decisoria pubblica:
- la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati: secondo tale direttrice, l’impossibilità di comprendere le modalità con le quali, attraverso il citato algoritmo, sia stata presa una determinata decisione, costituisce di per sé un vizio tale da inficiare la procedura;
- l’imputabilità della decisione all’organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all’algoritmo.
Quanto al primo profilo, l’accento è posto sul principio della trasparenza, declinato in una sua versione definita “rafforzata”, sia per la PA titolare del potere, sia per i soggetti incisi e coinvolti dall’esercizio di tale potere. In questo senso, afferma la Sezione, risulta indispensabile che il meccanismo attraverso il quale si concretizza la decisione robotizzata (ovvero l’algoritmo) sia “conoscibile” in tutti i relativi aspetti: dai suoi autori al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti. Ciò al fine di poter verificare che i criteri, i presupposti e gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge o dalla stessa amministrazione a monte di tale procedimento e affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato. Del resto la evidente “caratterizzazione multidisciplinare” dell’algoritmo stesso (che richiede competenze non solo giuridiche, ma anche tecniche, informatiche, statistiche, amministrative) non esime dalla necessità che la “formula tecnica” che ne è alla base sia corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che la rendano leggibile e comprensibile. Il tutto con le già individuate conseguenze in termini di conoscenza e di sindacabilità.
Con riferimento al secondo profilo, i Giudici affermano con nettezza la necessità che sia garantita una verifica a valle, in termini di logicità e di correttezza degli esiti, al fine di permettere l’imputabilità della scelta al titolare del potere autoritativo, (individuato in base al principio di legalità) e la conseguente individuazione del soggetto responsabile, nell’interesse sia della stessa p.a. che dei soggetti coinvolti ed incisi dall’azione amministrativa affidata all’algoritmo.
Con riguardo al possibile uso di tali tecnologie nel settore degli appalti pubblici, (ad esempio nella fase di selezione e valutazione delle offerte), sarà dunque indispensabile conoscere sulla base di quali variabili e opzioni il software abbia operato una determinata scelta, al fine di verificare – in sede giurisdizionale – se le stesse abbiano efficacemente tutelato l’interesse pubblico, nel rispetto della normativa di riferimento
GDPR e Carta della robotica
Sul tema, la pronuncia richiama la disciplina recata dal Regolamento Europeo in materia di protezione di dati personali (2016/679, c.d. GDPR), il quale espressamente affianca alle garanzie conoscitive assicurate attraverso l’informativa e il diritto di accesso, un espresso limite allo svolgimento di processi decisionali interamente automatizzati. Segnatamente, l’articolo 22, paragrafo 1[3], riconosce alla persona il diritto di non essere sottoposta a decisioni automatizzate prive di un coinvolgimento umano e che, allo stesso tempo, producano effetti giuridici o incidano in modo analogo sull’individuo. Quindi si riconosce la necessità che sia sempre individuato un centro di imputazione e di responsabilità, in grado di verificare la legittimità e logicità della decisione dettata dall’algoritmo.
Sempre in tema di imputabilità, un ulteriore, importante riferimento è quello alla Carta della Robotica, approvata dal Parlamento Europeo nel 2017, laddove viene stabilito che “l’autonomia di un robot può essere definita come la capacità di prendere decisioni e metterle in atto nel mondo esterno, indipendentemente da un controllo o un’influenza esterna; (…) tale autonomia è di natura puramente tecnologica e il suo livello dipende dal grado di complessità con cui è stata progettata l’interazione di un robot con l’ambiente; (…) nell’ipotesi in cui un robot possa prendere decisioni autonome, le norme tradizionali non sono sufficienti per attivare la responsabilità per i danni causati da un robot, in quanto non consentirebbero di determinare qual è il soggetto cui incombe la responsabilità del risarcimento né di esigere da tale soggetto la riparazione dei danni causati”.
I tre principi
In definitiva, nella lettura del Consiglio di Stato emergono tre principi, di derivazione sovranazionale, da tenere in debita considerazione nell’utilizzo degli strumenti informatici:
- il principio di conoscibilità, secondo il quale ognuno ha il diritto di conoscere l’esistenza di processi decisionali automatizzati che lo riguardino e a ricevere informazioni significative sulla logica utilizzata[4];
- il principio di non esclusività della decisione algoritmica, sulla scorta del quale, nel caso in cui una decisione automatizzata “produca effetti giuridici che riguardano o che incidano significativamente su una persona”, questa ha diritto a che tale decisione non sia basata unicamente su tale processo automatizzato (art. 22 GDPR.). Deve infatti sempre esistere nel processo decisionale un contributo umano capace di controllare, validare ovvero smentire la decisione automatica.
- il principio di non discriminazione algoritmica[5], riconosciuto dal citato Regolamento UE 2016/679, volto ad arginare il rischio di trattamenti discriminatori per l’individuo che trovino la propria origine in una cieca fiducia nell’utilizzo degli algoritmi.
La prospettiva futura
Tutti gli aspetti brevemente passati in rassegna richiedono, com’è evidente, un puntuale approfondimento ed un attento esame delle implicazioni presenti e degli sviluppi futuri. Una volta aperta la strada all’utilizzo di strumenti come quelli in esame, idonei cioè a supportare – e progressivamente sostituire – l’attività del funzionario umano nella valutazione di dati, elementi e fatti e nella conseguente loro valutazione, fino alla decisone finale, non pare inverosimile pensare che il passo successivo avrà a che fare con l’implementazione e l’introduzione di software sempre più avanzati, potenzialmente in grado di sostituire non solo l’operato di pubblici funzionari e operatori del diritto, ma anche quello dei giudicanti.
Si tratta di una prospettiva che dischiude inediti scenari e quesiti e che, tra le innumerevoli e complesse implicazioni, porta con sé già oggi ed in via immediata la necessità di approfondire alcuni aspetti peculiari. In primo luogo, la possibilità che, fissando l’algoritmo le regole del gioco, diventi esso stesso l’atto amministrativo sindacabile avanti al Giudice Amministrativo. È di tutta evidenza l’impatto di siffatta ricostruzione sull’impianto giuridico tradizionale. L’atto amministrativo non sarebbe al termine del procedimento, bensì a monte dello stesso e definirebbe a priori l’iter da seguire.
In secondo luogo, emerge la configurabilità del c.d. procedimento amministrativo assistito, un procedimento che, lungi dall’essere completamente autonomo rispetto all’intervento dell’uomo, sia il frutto di una sorta di coazione fra algoritmo e attività umana. Seguendo tale logica, l’algoritmo potrebbe indicare il percorso, ma rimarrebbe sempre all’uomo la decisione circa la possibilità di seguirlo. In questo modo, sarebbe perfettamente rispettato il principio di non esclusività della decisione algoritmica indicato come essenziale dal Consiglio di Stato. In definitiva, la strada da percorrere è appena agli inizi. Ma anche solo da questi primi passi, emerge con chiarezza che, per usare le parole di Papa Francesco, non stiamo vivendo in un’epoca di cambiamento, ma un vero e proprio cambiamento d’epoca.
_
Note
- L’art. 41 del CAD sancisce l’introduzione, nel procedimento amministrativo, di modelli decisionali e forme gestionali innovative, prevedendo la possibilità di utilizzare le tecnologie dell’informazione e della comunicazione per assumere le decisioni. ↑
- Nella sentenza in commento è infatti espressamente affermato “Né vi sono ragioni di principio, ovvero concrete, per limitare l’utilizzo all’attività amministrativa vincolata piuttosto che discrezionale, entrambe espressione di attività autoritativa svolta nel perseguimento del pubblico interesse”. ↑
- GDPR – Regolamento generale sulla protezione dei dati (UE/2016/679) Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.2. Il paragrafo 1 non si applica nel caso in cui la decisione:a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;c) si basi sul consenso esplicito dell’interessato.3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato. ↑
- Si tratta di un principio formulato in maniera generale, dunque applicabile sia a decisioni prese da soggetti privati che da soggetti pubblici, anche se, nel caso in cui la decisione sia presa da una p.a., la norma del Regolamento costituisce diretta applicazione specifica dell’art. 42 della Carta Europea dei Diritti Fondamentali (“Right to a good administration”), laddove afferma che quando la Pubblica Amministrazione intende adottare una decisione che può avere effetti avversi su di una persona, essa ha l’obbligo di sentirla prima di agire, di consentirle l’accesso ai suoi archivi e documenti, ed, infine, ha l’obbligo di “dare le ragioni della propria decisione”. ↑
- secondo cui è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali, secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti. In questi casi occorrerebbe rettificare i dati in “ingresso” per evitare effetti discriminatori nell’output decisionale; operazione questa che richiede evidentemente la necessaria cooperazione di chi istruisce le macchine che producono tali decisioni. ↑