Chi siamo, cosa vogliamo e cosa sarà fatto di noi: sempre più stesso sono gli algoritmi a stabilire tutto ciò. Attraverso due sistemi: processi decisionali automatizzati e profilazioni.
Sono termini diversi e solo per errore sono usati come sinonimi. Ma è vero che si integrano, spesso in modo sinergico.
Facciamo chiarezza, che è importante soprattutto in questa fase
Il processo decisionale automatizzato, cos’è
Si tratta di una decisione assunta da un algoritmo (intelligenza artificiale, sempre più spesso), senza l’intervento umano. L’uso di algoritmi nel software coinvolge aspetti della vita quotidiana come l’analisi dei CV nella ricerca di candidati a posizioni lavorative; i sistemi di e-commerce; fino ad arrivare alla guida senza conducente tra le prime applicazioni della Intelligenza Artificiale.
La Sanità e la Giustizia cominciano a usare l’IA per processi decisionali, anche se per ora in termini di decisioni consigliate a un operatore umano (medico, giudice), che prenderà la decisione finale.
In pratica, una serie di valutazioni algoritmiche si insinuerebbero nelle nostre vita, prendendo via via il sopravvento sulle decisioni (ragionate) dell’essere umano. Un tema familiare ai nostri lettori. Vi abbiamo dedicato anche una raccolta di saggi, oltre che settimanali articoli recenti.
FAQ della Commissione Europea su processi decisionali automatizzati
La Commissione Europea circa la possibilità di essere soggetti a processi decisionali individuali automatizzati, ivi compresa la profilazione, è intervenuta con delle FAQ attraverso le quali, dopo aver spiegato brevemente i due processi evidenziandone le differenze, afferma che «La profilazione e il processo decisionale automatizzato sono prassi comuni in diversi settori, come quello bancario e finanziario, fiscale e sanitario. Possono essere metodi più efficienti, ma sono meno trasparenti e possono limitare la tua scelta.»
E poi aggiunge «…in generale, l’interessato non può essere oggetto di una decisione basata unicamente sul trattamento automatizzato […]. Le decisioni basate unicamente su mezzi automatizzati sono lecite altresì laddove:
- la decisione sia necessaria, ciò significa che non ci deve essere altro modo per raggiungere lo stesso obiettivo per stipulare o eseguire un contratto con l’interessato;
- l’interessato abbia fornito il suo esplicito consenso».
In pratica, la decisione automatizzata è chiamata a tutelare diritti e libertà attraverso l’adozione di misure di salvaguardia.
Conseguentemente, due sono gli aspetti:
- uno imprescindibile e che risiede nel diritto alla informativa per l’interessato
- l’altro auspicabile e che consiste nella possibilità di esprimere il proprio punto di vista, da parte dell’interessato, ed eventualmente di contestazione avverso la decisione.
Rischi e criticità
Da tale excursus ricco di esempi, possiamo comprendere come finché si tratti di analizzare le potenzialità, ad esempio, del successo di un film o di un vino, i rischi parrebbero contenuti, ma quando, invece, gli algoritmi iniziano a coinvolgere aspetti occupazionali, gli avanzamenti di carriera, la salute, la scuola, allora ecco che meritano un controllo significativamente maggiore.
Limiti del processo decisionale automatizzato (GDPR)
A questo proposito, il GDPR ha dovuto (rectius, voluto), evidentemente, porre dei limiti sull’utilizzo di questi processi che di fatto consentono di prendere decisioni impiegando mezzi tecnologici con o senza l’intervento di un soggetto che sia in grado di influenzare ovvero modificare l’esito del processo.
| Qualche esempio | ||
| Processo decisionale completamente automatizzato (senza l’intervento umano) |
| |
| Processo decisionale automatizzato (con valutazione dell’Operatore) |
| |
Gli effetti
Il GDPR non regola solo l’utilizzo dei processi completamente automatizzati produttivi di effetti giuridici o incidenti, in modo significativo, sulla persona.
Secondo il dettato dell’art. 22, infatti, tali processi sono leciti solo se:
- Necessari per la conclusione o l’esecuzione di un contratto tra il soggetto e un titolare del trattamento, senz’altro modo possibile per perfezionare un contratto;
- Autorizzati dal diritto dell’Unione o dello Stato membro nel senso che dev’essere stata emanata una Legge regolante l’uso;
- Muniti di esplicito consenso.
Una precisazione ancora circa le particolari categorie di dati (ex sensibili). Tali processi sono consentiti nella misura in cui sia stato prestato il consenso, in modo esplicito, dell’interessato ovvero se giustificate da motivi di rilevante interesse pubblico secondo il diritto dell’Unione o dei singoli Stati membri.
Profilazione
Il dettato normativo dell’art. 22 comprende, fin dalla rubrica, la profilazione in quanto questa consiste in una forma di trattamento automatizzato di dati personali valutando aspetti personali al fine di analizzare o prevedere nella specie profili riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato.
Il GDPR dà una definizione di profilazione, all’art. 4, punto 4, come: «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».
Il WP 251 offre chiarimenti in merito ed in particolare
il Gruppo di Lavoro chiarisce che per aversi profilazione occorrono tre elementi:
- Automazione del trattamento;
- Dati personali;
- Valutazione degli aspetti personali
La profilazione, inoltre, può implicare una serie di “deduzioni statistiche”, richiamandosi alla raccomandazione CM/Rec (2010)13 del Consiglio d’Europa.
Secondo il citato WP, esistono poi tre modalità d’uso della profilazione:
- profilazione generale;
- processo decisionale basato sulla profilazione;
- decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1)
Per meglio chiarire questi aspetti, dette Linee Guida offrono degli esempi, a distinzione che di seguito riportiamo.
| ESEMPI | |
| un essere umano decide se accordare il prestito sulla base di un profilo prodotto con mezzi unicamente automatizzati | punto ii) |
| un algoritmo decide se il prestito viene accordato e la decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di un essere umano | punto iii) |
In sostanza, possiamo dedurne sinteticamente che la profilazione sia la riconduzione a categorie di appartenenza e/o di interesse di un soggetto determinate, attraverso l’analisi dei dati dell’utente medesimo.
Difficoltà di demarcazione tra profilazione e processo decisionale automatizzato
Analizzati separatamente detti due aspetti, vediamo ora le difficoltà di demarcazione tra l’uno e l’altro. È infatti arduo stabilirne l’esatto confine.
A nostro modesto parere, l’errore risiede proprio nel distinguere questi due elementi che spesso tendono a sovrapporsi integrandosi.
Ci saranno sempre software i quali, eseguendo una semplice istruzione di condizione (If, se), determineranno risultanze diverse come ad esempio far comparire degli annunci, proporre dei campi di input, far svoltare l’autovettura a guida autonoma a sinistra piuttosto che a destra, e via discorrendo.
Certo, il numero di If necessari a proporre un banner pubblicitario a far svoltare l’autovettura in modo autonomo dovranno essere evidentemente in numero differente.
Ma allora la domanda da porsi in fondo risiede nel chiedersi se sia la quantità a determinare la differenza tra processo decisionale autonomo e profilazione, o altro.
Per offrire una risposta, si dovrebbe parlare di:
- Processi decisionali automatizzati quando usiamo queste informazioni (tante o poche che siano, con algoritmi semplici o complessi);
- Profilazione quando si esegue una semplice categorizzazione di un soggetto in base ai suoi dati.
Come superare i problemi
Oltre ai limiti imposti dal GDPR, di cui si è detto, rammentiamo che i Garanti UE sono intervenuti invocando una maggiore trasparenza per entrambi i processi (decisioni automatizzate e profilazione), improntando il trattamento dei dati ai principi di privacy by design e privacy by default.
Ma non basta.
Concretamente, occorre fornire chiare ed esaustive informazioni agli Utenti/Interessati.
Spiegare a questi ultimi cosa sono effettivamente questi due processi è nella pratica tutt’altro che agevole.
Comprendere infatti la differenza tra processo decisionale automatizzato e profilazione, per un comune utente, può essere davvero difficile; a maggior ragione, capirlo da un contratto (magari in forma digitale su di una pagina web) per adesione.
Il primo tra i rimedi consiste nel fornire adeguate informative contenenti informazioni su come effettivamente vengano utilizzati i dati.
Per tali fini, il Titolare del trattamento è tenuto a spiegare all’Utente/Interessato:
- Come funzionano e quali sono i criteri sui quali tali processi si fondano e che conseguenze determinano;
- Cosa vogliono dimostrare vale a dire la necessità non essendoci altri alternativi mezzi meno invasivi;
- Quali sono le basi giuridiche specifiche legittimanti il trattamento;
- Che è garantito al soggetto interessato il diritto di ottenere un intervento umano da parte del Titolare del trattamento, al fine di poter esprimere la propria opinione e di contestarne la decisione.
Stando sulla tematica della profilazione, utilizzata prevalentemente in ambito marketing al fine di promuovere particolari categorie di prodotti ritenuti interessanti per l’Utente/Consumatore/Interessato.
A titolo di esempio, se un soggetto acquista prevalentemente dischi di musica classica da un sito specializzato, piuttosto che di altri generi musicali, il sistema potrebbe profilarlo come appassionato di musica classica indirizzandogli proposte ed offerte in questa direzione.
Volendo ragionare su questo esempio, a ben guardare, i dati che ci riguardano oltre ad essere stati oggetto di profilazione potrebbero avere subito un processo decisionale automatizzato, a noi ignoto.
Non ci è dato sapere infatti se il sito internet che ci propone l’acquisto del prodotto non abbia anche eseguito un algoritmo (seppur semplice) per determinare quale pubblicità mostrarci.
I precedenti, in materia, dell’Autorità Garante
Di seguito, riportiamo due provvedimenti emanati dall’Autorità Garante (nella sua vecchia compagine Collegiale) la quale si è pronunciata in materia, uno ex ante la piena attuazione del GDPR, l’altro ex post.
Provvedimento del 21 dicembre 2017 n. 551 [doc. web n. 7496252]
Si tratta del provvedimento che ha risolto la vicenda dei Totem (ben oltre 500 colonnine), ubicati presso le principali Stazioni Ferroviarie italiane, che profilavano i passanti/viaggiatori senza darne evidenza alcuna.
In pratica, gli utentisu questi, non assolutamente deputata adre
con attenzione possiamo ere di
La vicenda terminò
avvenne con un dubbio tuttavia, come rendere edotti quei passanti/utenti —— .
Provvedimento del 12 giugno 2019, n. 130 [doc. web n. 9120218]
L’altro provvedimento che portiamo all’attenzione, in costanza di attuazione piena del GDPR, concerne le comunicazioni promozionali indesiderate.
La vicenda nasce nei confronti di una nota Società̀ del settore dell’igiene intima dei bambini e degli adulti, con particolare riguardo alla raccolta e al successivo trattamento di dati personali mediante un programma di raccolta punti online. In pratica, gli interessati lamentavano la ricezione di numerose richieste, concernenti l’esercizio del diritto alla portabilità dei dati, non inviate direttamente dai medesimi, bensì generate per loro conto da una App che offriva ai propri iscritti una remunerazione[1] in cambio del conferimento di dati personali.
In questo caso, il Garante ha concluso vietando il trattamento, per finalità promozionali e statistiche, dei dati personali raccolti mediante il sito in assenza del consenso, degli interessati, libero e specifico per tali distinte finalità, oltre che informato e documentato ingiungendo alla nota Società di riformulare il form di raccolta dei dati per svolgere, in maniera corretta, l’attività di raccolta punti on-line.
NOTE
- Peraltro, continua il Garante asserendo, in maniera decisamente condivisibile, che «la problematica connessa al riconoscimento di un valore economico dei dati, fattasi più̀ evidente con il massiccio utilizzo che di questi viene fatto nei servizi digitali, pone interrogativi in merito alla questione del bilanciamento fra la tutela di un diritto fondamentale, qual è quello alla protezione dei dati personali, e l’esigenza di favorire lo sviluppo di nuovi servizi necessari a garantire il pluralismo e la competitività del mercato unico digitale nonché́, ancor prima, la libertà d’iniziativa economica e d’impresa, che pur trova esplicita tutela nella maggior parte degli ordinamenti del sistema UE. Ciò in linea anche con il percorso legislativo avviato in sede europea in materia di tutela del consumatore e della concorrenza nell’ambito della più generale strategia per il mercato unico digitale (cfr. il pacchetto di misure presentate dalla Commissione europea nell’ambito della Comunicazione, Un “New Deal” per i consumatori, COM (2018) 183 dell’11 aprile 2018).» ↑
