Grazie alla recente proliferazione di orientamenti interpretativi aperti all’evoluzione tecnologica digitale, sembra delinearsi, sul piano giurisprudenziale, l’emergere di una nuova era caratterizzata dall’avvento di un “Governo aperto robotizzato”, fondato sulla legittima e generalizzata applicazione di processi amministrativi automatizzati, in cui – non senza criticità e aspetti problematici – il “diritto algoritmico” trova piena cittadinanza nell’ordinamento giuridico.
Di fronte a tali inediti scenari sempre più diffusi nella concreta prassi, preoccupa però il ritardo legislativo riscontrabile in un quadro normativo ancora troppo inadeguato a recepire le novità della rivoluzione digitale, le cui lacune applicative sono ulteriormente aggravate da un diffuso deficit cognitivo di competenze specialistiche qualificate che l’implementazione di procedure trasversali e multidisciplinari presuppone per l’efficiente svolgimento dei relativi processi, in cui il tradizionale sapere giuridico è destinato a contaminarsi con skills tecniche e informatiche.
La domanda che ci poniamo, dunque, è: la PA italiana è davvero pronta ad affrontare le imminenti sfide del cambiamento attuale, sfruttando i benefici offerti dalle tecnologie?
Algoritmi nell’azione amministrativa: le coordinate normative
L’interesse ad approfondire la valenza degli algoritmi automatizzati utilizzabili nei procedimenti amministrativi, si intensifica ormai da tempo, nell’ambito dello studio del diritto applicato alle nuove tecnologie: come dimostra, per ultimo, la recente sentenza n. 8472 pronunciata dal Consiglio di Stato lo scorso 13 dicembre 2019.
In assenza di una specifica disciplina di riferimento in grado di formalizzare sul piano normativo l’adeguamento delle tradizionali categorie giuridiche del diritto all’evoluzione dell’innovazione digitale, soprattutto nel dibattito giurisprudenziale emergono orientamenti – non sempre univoci – sull’impatto dell’Intelligenza Artificiale nell’azione amministrativa mediante la configurazione, secondo una logica standardizzata, di modelli decisionali automatizzati, destinati ad incidere sul tradizionale esercizio dei diritti delle persone e sulle relative tutele applicabili.
Un indiretto fondamento normativo sull’uso dei processi automatizzati da parte della PA può essere individuato negli artt. 41 e 50 del D.lgs. 82/2005 (Codice dell’amministrazione digitale – CAD) che, in combinato disposto con l’art. 3-bis della legge 241/1990, incentivano l’utilizzo delle tecnologie dell’informazione e della comunicazione nella gestione dei procedimenti amministrativi, consentendo la fruizione e la riutilizzazione dei relativi dati raccolti dalla PA, al fine di assicurare, ex art. 12 CAD, «la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l’effettivo riconoscimento dei diritti dei cittadini e delle imprese di cui al presente Codice in conformità con gli obiettivi indicati nel Piano triennale per l’informatica nella Pubblica Amministrazione».
Ulteriori impliciti riferimenti possono essere desunti anche dalla legge 07 agosto 2015, n. 124, recante “Delega al Governo in materia di riorganizzazione delle amministrazioni pubbliche”.
Inoltre, poiché l’adozione di una decisione basata su un procedimento algoritmico automatizzato può incidere sul trattamento dei dati personali, trovano altresì applicazione le specifiche garanzie prescritte dal Regolamento UE 2016/679, con particolare riferimento agli artt. 4, par. 4 e 22 del GDPR, in stretta connessione con i suoi Considerando 71 e 72, al fine di salvaguardare il diritto fondamentale alla protezione dei dati personali.
La cornice costituzionale di riferimento in materia è certamente rappresentata dal rispetto dei principi di buon andamento e imparzialità dell’azione amministrata di cui all’art. 97 Cost.
La sentenza del Consiglio di Stato di aprile 2019
Alla luce delle menzionate coordinate normative, il Consiglio di Stato, già con la sentenza dell’8 aprile 2019, n. 2270, prendeva esplicitamente atto dei vantaggi offerti dall’utilizzo di processi decisionali automatizzati nell’ambito di procedure selettive standardizzate, aventi ad oggetto ingenti quantità di istanze valutabili sulla base di criteri oggettivi privi di qualsivoglia apprezzamento decisionale, sull’assunto di realizzare una significativa semplificazione dell’iter procedimentale, grazie ad una notevole riduzione della tempistica per la conclusione delle operazioni concorsuali, ove si riduce inoltre il rischio di possibili interferenze illecite che l’intervento umano di funzionari “infedeli” potrebbe arrecare alla garanzia di imparzialità della decisione, in diretta attuazione dei principi di efficienza ed economicità dell’azione amministrativa di cui all’art. 1 legge 241/1990 secondo quanto prescritto dall’art. 97 Cost.
Evidenziando la stretta connessione sussistente tra l’implementazione di elevati standard di digitalizzazione della PA e l’efficiente erogazione di servizi pubblici di qualità per i cittadini/utenti, i giudici amministrativi hanno sancito il valore giuridico di un algoritmo – anche se espresso in forma matematica – alla stregua di un tipico atto amministrativo generale, come diretta declinazione dell’art. 97 Cost., coerente con l’avvento delle moderne tecnologie digitali.
Ne consegue la diretta applicazione dei principi che regolano lo svolgimento di un’ordinaria attività amministrativa di cui all’art. 1 legge 241/1990, ivi compresi i canoni di ragionevolezza, pubblicità e trasparenza, che impongono alla PA, oltre al compito di svolgere una costante opera di perfezionamento dell’algoritmo mediante test e aggiornamenti periodici, di rendere inoltre pienamente conoscibile a tutti gli standard tecnici elaborati nella procedura tecnica automatizzata, affinché siano “chiare e sindacabili” in sede giurisdizionale le relative modalità di funzionamento sotto il profilo della legittimità e della correttezza della decisione.
Consiglio di Stato, dicembre 2019
Sulla scorta del citato indirizzo interpretativo, di recente, nel mese di dicembre, il Consiglio di Stato ritorna nuovamente sul tema con la sentenza n. 8472/2019, per ribadire la necessità di «sfruttare le rilevanti potenzialità della cd. rivoluzione digitale».
In tale prospettiva, secondo la qualificazione delineata dai giudici di Palazzo Spada, l’algoritmo è qualificabile come «strumento procedimentale ed istruttorio, soggetto alle verifiche tipiche di ogni procedimento amministrativo», da cui discende la generale ammissibilità del suo utilizzo come processo decisionale automatizzato in grado di assicurare “efficienza e neutralità” nello svolgimento dell’attività amministrativa, a condizione di garantire la piena conoscibilità dei criteri tecnici elaborati, svolgendo, ove occorra, «la necessaria verifica di logicità e legittimità» sulle relative operazioni affidate all’algoritmo.
Pur sottolineando come sia difficile e oltremodo problematico ottenere la necessaria trasparenza di modelli predittivi che basano la valutazione delle scelte decisionali sulla sistematica raccolta standardizzata dei dati selezionati per la formulazione dei relativi giudizi, il Consiglio di Stato ritiene che «non vi sono ragioni di principio per limitare l’utilizzo dell’algoritmo all’attività amministrativa vincolata piuttosto che discrezionale, entrambe espressione di attività autoritativa svolta nel perseguimento del pubblico interesse», così estendendo in via generalizzata l’utilizzabilità dei processi automatizzati nei procedimenti amministrativi rispetto a quanto affermato nella sentenza 2270/2019, ove il ricorso agli strumenti informatici di automazione veniva specificamente confinato soltanto in relazione alla cd. attività vincolata.
Algoritmi e gestione dei dati personali: il Gdpr
Il Consiglio di Stato si sofferma, altresì, sulla problematica gestione dei dati personali derivante dall’adozione di procedure standardizzate che prevedono l’utilizzo di algoritmi.
Al riguardo, l’implementazione dei processi decisionali automatizzati soggiace alle regole prescritte dal Regolamento UE 2016/679, e segnatamente ai suoi artt. 13 e 14, a tenore dei quali l’informativa indirizzata all’interessato, per assicurare la completa descrizione dell’oggetto e delle finalità del trattamento, deve senz’altro fornire anche indicazioni dettagliate sulle modalità di esecuzione di un processo decisionale automatizzato e sulle conseguenze previste per la tutela dei dati personali degli utenti, a maggior ragione quando l’intero procedimento risulti affidato al solo algoritmo.
Ad avviso dei giudici amministrativi, la prospettata garanzia conoscitiva della persona all’esistenza di eventuali processi decisionali automatizzati è altresì tutelata dal diritto di accesso ex art. 15 del Reg. 2016/679/UE, azionabile senza limiti temporali anche quando il trattamento abbia già avuto esecuzione.
Alle specifiche condizioni che il legislatore prescrive per consentire l’adozione di decisioni “robotizzate”, vi è però un espresso limite che preclude qualsivoglia svolgimento di processi decisionali interamente automatizzati.
L’art. 22 Reg. 2016/679/UE, infatti, dispone che «l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona», salvo che ricorrano in via tassativa le eccezioni indicate dal successivo paragrafo 2, in ogni caso escluse ove si tratti di categorie particolari di dati personali di cui all’art. 9, a meno che non vengano predisposte misure adeguate a tutela dei diritti dell’interessato, cosicché «deve comunque esistere nel processo decisionale un contributo umano capace di controllare, validare ovvero smentire la decisione automatica».
Al riguardo, richiamando il Considerando n. 71 del Reg. 2016/679/UE, il Consiglio di Stato enuclea l’ulteriore «principio fondamentale, di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali, secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato».
