Il GDPR offre strumenti pratici e di principio per affrontare il tema della discriminazione algoritmica in modo efficace. Ma ogni intervento presuppone un’ampia collaborazione, non scontata, da parte degli operatori globali. Per il giurista una sfida di vasta portata con impatti sul fronte economico, politico, sociale.
Qualche settimana fa, una delle maggiori piattaforme social (Facebook, ndr) è stata citata in giudizio dallo U.S. Department of Housing and Urban Development perché, secondo quanto sostenuto da tale organo amministrativo, avrebbe consentito ai propri inserzionisti di veicolare contenuti promozionali nei confronti degli utenti sulla base di attività di profilazione molto invasive – addirittura discriminatorie – poste in essere senza che fossero a questi fornite adeguate informazioni.
Secondo quanto sostenuto dall’amministrazione americana, l’algoritmo alla base del funzionamento della piattaforma social avrebbe deciso autonomamente a quali utenti mostrare determinati annunci immobiliari in considerazione delle informazioni in suo possesso su etnia, genere, classe sociale, contatti sul social network, posizione geografica e confessione religiosa.
Le sfide legate alla discriminazione dell’algoritmo
Prescindendo dalle specifiche contestazioni di cui sopra, la profilazione asseritamente “discriminatoria” – anche definita, in accezione negativa, “discriminazione algoritmica” – è da tempo al centro di discussioni e polemiche, correlate soprattutto ad eventi di natura politica (due esempio su tutti: le campagne elettorali per il referendum Brexit e le elezioni presidenziali americane, entrambe nel 2016); lo sviluppo sempre più rapido e massivo delle tecnologie dell’informazione (si pensi, ad esempio, alla prossima diffusione della tecnologia 5G, o alla distribuzione sempre più capillare – a livello mondiale – della rete internet) rende tale tematica una delle più sensibili aree di confronto e dibattito giuridico, economico, politico e sociale .
Tuttavia, per comprendere appieno quali sono i principali profili di rischio connessi a questo fenomeno, è necessario analizzare le modalità attraverso le quali avviene la cosiddetta “discriminazione algoritmica”.
Micro targeting, che cos’è e come funziona
Senza volutamente entrare nel dettaglio delle complesse dinamiche sottese al suo funzionamento, alla base del fenomeno della discriminazione algoritmica troviamo due elementi essenziali.
Il primo, di natura meramente tecnico-informatica, consiste nell’utilizzo di sofisticate tecniche di machine learning volte ad elaborare grandi masse di dati al fine di fare emergere connessioni tra singoli dati apparentemente scollegati tra loro, e significati inferenziali nascosti (cioè, l’informazione – anche sotto forma di categorizzazione di un utente in determinati segmenti di profilazione, o cluster – che si può trarre come “risultato” della connessione tra due o più dati).
Il secondo, invece, è costituito dal ricorso ad algoritmi il cui scopo finale è trasformare tali connessioni e significati inferenziali in output concreti e spendibili nei più vari contesti economici, politici o sociali.
Dietro ogni processo di discriminazione algoritmica si trova dunque un’inevitabile attività di c.d. micro targeting comportamentale che già allo stato attuale consente di raggiungere livelli di profilazione talmente elevati da riuscire ad indirizzare le preferenze dei destinatari delle comunicazioni elaborate e trasmesse secondo tale tecnica in modo sempre più efficace e pervasivo.
Il fenomeno è diffuso soprattutto a livello di marketing commerciale, ed è in grado di influenzare attivamente le scelte di acquisto di prodotti, o di adesione a servizi e offerte (ad esempio: prodotti di consumo, servizi bancari e finanziari, ecc.); ogni decisione umana, (soprattutto a livello di scelte politiche, come già brevemente accennato), è tuttavia idonea ad essere positivamente o negativamente indirizzata da forme più o meno invasive di discriminazione algoritmica, con impatti e conseguenze dirette sulle nostre abitudini, preferenze e, più in generale, stili di vita e perfino libertà di pensiero.
Il fenomeno della pubblicità comportamentale personalizzata (alla luce di avanzate tecniche di profilazione), applicato al marketing, può avere risvolti e conseguenze positive soprattutto nell’indirizzare il consumatore verso scelte di acquisto appositamente elaborate alla luce delle sue preferenze di consumo (in ottica, quindi, di efficientamento delle attività di comunicazione). Ciò che tuttavia è idoneo a creare “discriminazione” sono le conseguenze indirette del fenomeno: l’applicazione di tecniche di personalizzazione avanzate al marketing nel mercato immobiliare, ad esempio, può comportare l’invio di annunci immobiliari personalizzati in base all’etnia e alla classe sociale di appartenenza, contribuendo così a creare da una parte “nuovi ghetti”, dall’altra quartieri di lusso.
I punti di forza dell’approccio giuridico al “bias”
Alcuni commentatori ritengono che le connotazioni negative della discriminazione algoritmica originino da un’applicazione troppo poco rigida delle normative in materia di protezione dei dati personali vigenti in epoca anteriore all’entrata in vigore del Regolamento 2016/679/UE (General Data Protection Regulation – “GDPR”).
Altri attribuiscono la diffusione del fenomeno all’erosione della sfera di auto-determinazione digitale dei singoli, a beneficio della mercificazione dei dati personali ormai connaturata al funzionamento di qualunque piattaforma o servizio online.
In ogni caso, l’impatto della discriminazione algoritmica risulta oggi estremizzato anche alla luce della diffusione capillare di tecnologie e sistemi basati sull’intelligenza artificiale – il cui difficile rapporto con la normativa privacy è ormai un dato consolidato.
Quale dovrebbe essere, dunque, l’approccio del giurista nei confronti della discriminazione algoritmica, positivamente o negativamente intesa?
Gli strumenti offerti dal GDPR
A tal proposito, viene in soccorso proprio il GDPR, che, in un’ottica di neutralità tecnologica, contempla disposizioni utili a regolamentare anche il fenomeno della discriminazione algoritmica. Tra queste, in particolare, il diritto a “non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato di dati personali, inclusa la profilazione” di cui all’articolo 22 del GDPR. Tale disposizione nasce dalla volontà del legislatore europeo di elevare la libera volontà di auto-determinazione dell’individuo ad argine concreto contro la discriminazione algoritmica. Ciò si verificherebbe, ad esempio, qualora un algoritmo produca risultati sistematicamente viziati da assunzioni errate di un processo cognitivo di machine learning. Tali errate assunzioni porterebbero, infatti, alla nascita di veri e propri algorithmic bias (pregiudizi algoritmici) con effetti imprevedibili sulla sfera personale degli interessati.
Sempre il GDPR ha formalizzato anche i noti principi di privacy by design e by default (articolo 25 del GDPR) che obbligano a porre la data protection al centro della progettazione e della commercializzazione di qualsiasi prodotto o servizio (ivi inclusi, quindi, gli algoritmi e le intelligenze artificiali) il cui funzionamento si basi sul trattamento di dati personali.
I principi di cui sopra trovano riflesso anche all’interno di uno degli istituti più importanti del GDPR: la valutazione di impatto sulla protezione dei dati personali (cd. data protection impact assessment) di cui all’articolo 35 del GDPR.
Come noto, tale valutazione deve essere svolta in casi ben specifici, ad esempio quando “un trattamento che preveda l’uso di nuove tecnologie” possa “presentare un rischio elevato per i diritti e le libertà individuali” (cfr. art. 35 del GDPR). È questo il caso dei trattamenti fondati su processi di discriminazione algoritmica che possono avere come conseguenza decisioni di impatto rilevante per gli interessati.
Ad esempio: la determinazione del rating creditizio, il calcolo automatico dei premi assicurativi a seconda dello stile di vita o di guida, ovvero l’inserimento in determinati “cluster sociali” in base alla provenienza etnica o geografica.
La valutazione di impatto si rende dunque necessaria non solo nei casi di discriminazione algoritmica ma anche e soprattutto laddove vengano impiegati sistemi di intelligenza artificiale che possano comportare, tra le altre cose, “una valutazione globale e sistematica degli interessati, basata su trattamenti automatizzati, compresa la profilazione, sui quali si fondano decisioni che hanno effetti giuridici o incidono significativamente” (cfr. ancora articolo 35 del GDPR) sulla sfera individuale.
La normativa privacy, con particolare riferimento al GDPR, offre dunque vari strumenti pratici e di principio per affrontare il tema della discriminazione algoritmica in modo efficace. Ogni intervento presuppone, tuttavia, un’ampia collaborazione e messa a disposizione di informazioni anche da parte dei c.d. operatori globali. Ciò non sempre avviene, e su questo punto è necessario un più ampio intervento di “sistema” da parte delle autorità regolamentari. Non si può pretendere che un fruitore di un servizio di pubblicità algoritmica possa, da solo, fugare ogni dubbio.
