Il tema della disciplina funzionale sugli usi delle “tracce digitali”, raccolte dagli operatori ed eventualmente utilizzati dalle amministrazioni per le proprie decisioni, in un ambiente big data, sembra essere ancora aperto anche in Europa ove è imminente l’entrata in vigore del Regolamento generale sulla protezione dei dati, adottato nel 2016, Anche le tre autorità europee dei settori finanziari (ESAs), dopo la pubblicazione del documento di consultazione dello scorso dicembre 2016, stanno predisponendo un rapporto sull’uso dei big data da parte degli operatori finanziari; ed in ambito nazionale si attende l’esito dell’indagine conoscitiva congiunta (la prima in Europa) avviata dalle authorities della concorrenza, delle comunicazioni elettroniche e della privacy, che forniranno ulteriori indicazioni.
Venendo al profilo regolatorio, l’uso dei big data per fare regolazione è oggetto di fecondo dibattito, al punto che si parla di “regolazione algoritmica” (Mitts 2014; Yeung 2017). Il principale ostacolo che si è soliti evocare riguarda la natura degli algoritmi, i quali sono tipicamente complessi e caratterizzati da limitata trasparenza (ce lo ricorda Frank Pasquale nel suo celebre libro Black box society, 2015); mentre il procedimento di regolazione – prendiamo il caso delle autorità amministrative indipendenti – è generalmente trasparente, partecipato e il provvedimento finale motivato.
Potrebbe, ad esempio, il regolatore introdurre obblighi informativi personalizzati avvalendosi dei big data? Cioè, potrebbe obbligare le imprese a trasmettere ai consumatori che ne facciano richiesta avvisi personalizzati su certe caratteristiche dei prodotti o servizi finanziari (profili di rischio, commissioni, scadenze, ecc.) nel momento in cui tali informazioni sono per loro rilevanti? Ricavando tale conoscenza dalla loro profilatura, resa possibile dall’algoritmo?
I risultati che potranno derivare dalla interazione tra regolazione pubblica, tecnologia del big data analytics e imprese private – che detengono gli algoritmi, la capacità di immagazzinamento e di analisi dei dati – dipenderà da come questa interazione sarà disegnata a livello istituzionale. Ovverosia, da quale modello di “regulatory governance” si deciderà di adottare.
Personalmente ritengo che, dal momento che gli operatori sono gli unici a possedere il know-how sugli algoritmi, non si possa che escludere un approccio regolatorio di tipo top-down (diverso è invece il problema della proprietà dei dati che alimentano gli algoritmi, e delle “tracce digitali” che lasciamo dietro di noi).
Tuttavia, al tempo stesso, considerati i rischi di errore dell’algoritmo, di discriminazione, di eccesso di sorveglianza, e di aggravamento dei bias che l’uso degli algoritmi può portare, ritengo che non ci si possa esimere da una forma di controllo sul loro uso a fini pubblici. Penso che l’approccio preferibile sia quello di tipo collaborativo, ovverosia un esercizio di co-regulation, con la partecipazione qualificata di operatori e consumatori per testare con regolarità gli algoritmi prima di un loro impiego a fini regolatori (e poi, successivamente, per arginare eventuali effetti “unintended”). Sarebbe questa una opzione che il regolatore dovrebbe tenere in considerazione, almeno nei settori particolarmente sensibili, ove più elevati sono i rischi summenzionati (si pensi all’enforcement nei dipartimenti di polizia, ovvero alla regolazione dei settori finanziari ed assicurativi, o in quella connessa alla salute).
Del resto, della necessità di un “audit” degli algoritmi e di un loro assesment frequente al fine di prevenirne errori e bias parla anche il “Gruppo di lavoro Article 29” del Garante Europeo della privacy nelle recenti Guidelines sulle decisioni automatizzate e la profilazione del 3.10.2017 (p. 16-17): “[They] should carry out frequent assessments on the data sets they process to check for any bias, and develop ways to address any prejudicial elements, including any over-reliance on correlations. Systems that audit algorithms and regular reviews of the accuracy and relevance of automated decision-making including profiling are other useful measures. [They] should introduce appropriate procedures and measures to prevent errors, inaccuracies or discrimination on the basis of special category data. These should be used on a cyclical basis; not only at the design stage, but also continuously, as the profiling is applied to individuals. The outcome of such testing should feed back into the system design”.
Un tale modello richiederebbe: (1) che il regolatore si dotasse di uno staff in grado di comprendere e valutare la tecnologia; (2) che le sessioni di test sugli algoritmi siano frequenti, al fine di escludere i rischi menzionati (i.e. sotto-rappresentatività, discriminatorietà, conferma dei bias, ecc.); (3) che alle sessioni di test partecipino sia le imprese (appositamente incentivate) sia i privati (entrambi, di volta in volta, qualificati a seconda dell’algoritmo da testare: ad esempio, intermediari finanziari-risparmiatori rispetto al prospetto informativo personalizzato, oppure case farmaceutiche-pazienti rispetto al “bugiardino” profilato, ecc.). Queste sessioni di test degli algoritmi, fornirebbero, infatti, al regolatore terzo un supporto conoscitivo teso a rafforzarne l’attività istruttoria (o di enforcement), al fine di dare ulteriori elementi conoscitivi per individuare quale tra le opzioni di regolazione (nell’esempio fatto, quale disclosure) possa risultare in concreto più efficace e proporzionata; fermo restando che spetterà al regolatore la approvazione della regolazione algoritmica da adottare. (4) Che dell’impiego dei test sugli algoritmi e sulla selezione di quello prescelto a fini regolatori si dia conto nella motivazione della decisione regolatoria finale.
Un simile approccio, che fa uso degli strumenti della partecipazione e della motivazione, è teso a convogliare in uno schema collaborativo il contributo di una tecnologia oggi rilevantissima, combinandola con l’esigenza di garantire al tempo stesso la più ampia trasparenza e accountability dell’operato del regolatore.
Inoltre, non è da escludere che, una volta individuata una best practice in seno ad una amministrazione (i.e. testato un algoritmo che risulti particolarmente efficiente rispetto allo svolgimento di una determinata funzione), la si possa condividere – ad esempio con il supporto facilitatore dell’AgID – a vantaggio ed in collaborazione con altre amministrazioni.
