Porta alla ribalta l’incontro-scontro fra tecnologia e principi giuridici l’intervento del Garante avvenuto a Torino in uno dei vari seminari organizzati in tutta Italia e facenti parte del progetto T4DATA, Progetto formativo Transnazionale sul Regolamento UE 2016/679. Ecco il quadro che si profila sull’adozione di nuove tecnologie alla luce del GDPR.
L’opinione del Garante
Giuseppe D’Acquisto, funzionario direttivo del Garante per la protezione dei dati personali e membro del Technical Anonymisation Group della Medicines Agency ha approfondito il tema della “non banalizzazione” della protezione dei dati e di come la tecnologia si interfaccia con i principi giuridici del GDPR. Mentre noi banalizziamo c’è chi tenta di dare la giusta veste tecnica e giuridica a quei processi come Blockchain che si basa sulla non cancellazione del dato o “Differential Privacy” che dice che non esiste un dato corretto. Ecco che la tecnologia retrocede alla pari dei diritti fondamentali e dei principi giuridici del GDPR.
Altro tema ampiamente approfondito da parte del Garante e oggetto della pronuncia del Consiglio di Stato n. 2270/2019 è stato il principio di trasparenza del procedimento amministrativo allorquando fa uso di strumenti della tecnologia informatica più avanzata.
E’ interessante rilevare come l’uso di algoritmi, ovvero di processi decisionali automatizzati, sia subentrato nella tradizionale e garantistica istruttoria procedimentale da parte dell’amministrazione pubblica e abbia recentemente impegnato anche il giudice amministrativo chiamato a valutare l’ammissibilità del diritto d’accesso ex art. 22 della legge n. 241/1990 al Codice sorgente di un algoritmo.
Algoritmo, la decisione del Consiglio di Stato
Con sentenza 8 aprile 2019, n. 2270, il Consiglio di Stato Sez. VI si è pronunciato positivamente in merito al ricorso a decisioni automatizzate integralmente basate su algoritmi. Infatti, analogamente a quanto accade con l’atto amministrativo tradizionalmente inteso, anche per quello adottato attraverso gli strumenti informatici viene ammesso l’accesso rispetto all’algoritmo del programma, quando da esso dipenda la decisione finale. Viene in tal modo accolta una nozione ampia del diritto di accesso nell’ambito del Diritto Amministrativo.
Secondo l’orientamento prevalente della Dottrina il software si qualificherebbe in termini di atto amministrativo informatico, in quanto è con esso che si concretizzerebbe la volontà dell’amministrazione procedente ed è lo stesso software che andrebbe impugnato davanti al giudice amministrativo se lesivo della sfera giuridica altrui.
Ma non basterebbe la mera descrizione del funzionamento dell’algoritmo. Secondo il Giudice amministrativo non si assolverebbe alla medesima funzione conoscitiva data dall’acquisizione diretta del linguaggio informatico sorgente (Tar del Lazio, n. 03742/2017 del 14 febbraio 2017).
Nello specifico il Giudice ha rilevato che quando il concreto contenuto dispositivo è stato elaborato esclusivamente attraverso un programma informatico, il codice sorgente di questo deve essere sottoposto all’accesso. Ciò in quanto solo attraverso l’esatta conoscenza di questo è possibile verificare il corretto svolgimento del procedimento che ha portato all’elaborazione del provvedimento (nel caso di specie la graduatoria finale).
Algoritmi e trattamento dati nel GDPR
E’ inevitabile incontrare una connessione logica con i principi giuridici del Regolamento Europeo, in particolare con il principio di liceità del Trattamento dei Dati.
L’art. 22 del Reg. UE 2016/679 vieta infatti la sottoposizione dell’interessato di trattamento a “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici” sullo stesso “o che incida in modo analogo significativamente sulla sua persona”.
Inoltre, sempre ai fini della valutazione di liceità, occorre che il trattamento in questione sia preceduto da valutazione d’impatto (DPIA) e che siano rispettati gli obblighi di trasparenza e di informazione degli interessati. L’informativa, ai sensi dell’art. 13, par. 2, lett. f) Reg UE 2016/679 dovrà recare altresì “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”. ( WP 251/17).
La profilazione viene sempre più utilizzata per fornire pubblicità personalizzata agli utenti, con differenti offerte commerciali a seconda della persona o della categoria nella quale essa è inclusa, e questo determina forme discriminazione e di diseguaglianza sociale.
Gli algoritmi posti alla base della profilazione sono coperti da “segreto commerciale” secondo quanto disposto dalla direttiva Trade Secret dell’Unione europea. Anche i soggetti che utilizzano tali algoritmi, se non ne sono i programmatori, possono non conoscere affatto le logiche alla base degli stessi, e quindi comprendere gli effetti della loro applicazione.
Per questo il regolamento europeo prevede un apposito obbligo di informazione sulla logica alla base della profilazione. In applicazione dell’art. 12, par. 1 GDPR, la logica del funzionamento dell’algoritmo deve essere non solo trasparente ma anche intelligibile, vale a dire declinata in termini comprensibili a chi non è tecnico della materia (Cons. Stato, Sent. 8 aprile 2019, n. 2270).
Tar Lazio: algoritmo “meccanismo impersonale”
Ad analoga conclusione è pervenuto il Tar del Lazio Roma Sez. III bis, con la Sentenza 13-09-2019, n. 10964 che ha riconosciuto al richiedente il diritto a ottenere informazioni significative sulla logica anche in sede di accesso ai dati personali.
Nella fattispecie la Sezione ha ritenuto che la complicatezza o ampiezza, in termini di numero di soggetti coinvolti ed ambiti territoriali interessati, di una procedura amministrativa, non può legittimare la sua devoluzione ad un meccanismo informatico o matematico del tutto impersonale e orfano di capacità valutazionali delle singole fattispecie concrete, tipiche invece della tradizionale e garantistica istruttoria procedimentale che deve informare l’attività amministrativa, specie ove sfociante in atti provvedimentali incisivi di posizioni giuridiche soggettive di soggetti privati.
Secondo il Giudice amministrativo “dirimente si profila in punto di diritto l’argomento secondo cui è mancata nella fattispecie una vera e propria attività amministrativa, essendosi demandato ad un impersonale algoritmo lo svolgimento dell’intera procedura di assegnazione dei docenti alle sedi disponibili nell’organico dell’autonomia della scuola…”.
Il Collegio è del parere che le “procedure informatiche, anche con il loro maggior grado di precisione e perfezione, non possano mai soppiantare, sostituendola davvero appieno, l’attività cognitiva, acquisitiva e di giudizio che solo un’istruttoria affidata ad un funzionario persona fisica è in grado di svolgere e che pertanto, (…) deve seguitare ad essere il dominus del procedimento stesso, all’uopo dominando le stesse procedure informatiche predisposte in funzione servente e alle quali va dunque riservato tutt’oggi un ruolo strumentale e meramente ausiliario in seno al procedimento amministrativo e giammai dominante o surrogatorio dell’attività dell’uomo”.
In conclusione, se il procedimento deve essere trasparente ci deve essere trasparenza nel modo in cui il trattamento deve essere automatizzato.
