L’interessato, alla luce del Gdpr, ha sempre il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatico dei suoi dati personali (divenuto ormai comune nell’era dei big data e dell’intelligenza artificiale).
E’ punto cardine delle linee guida adottate a ottobre 2017 (e aggiornate in seguito) dai Garanti privacy Ue del WP29. Sono le “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679” e riguardano l’interpretazione e l’applicazione dell’art. 22 del GDPR che disciplina il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
Cosa sono i trattamenti automatizzati di dati personali
L’esistenza di trattamenti automatizzati che possono avere effetti importanti sulle persone e sui loro diritti non è affatto una novità degli ultimi anni, né è legata alle tecniche Big Data e all’uso crescente di AI e Machine learning oltre che alle promesse del mondo della IoT.
Anche la Direttiva 95/46 aveva nell’art.15 una norma specifica relativa alle decisioni individuali automatizzate. Essa prevedeva che gli Stati membri riconoscessero il diritto a non essere sottoposti a una decisione che procurasse effetti giuridici o effetti significativi nei confronti degli interessati quando questa fosse fondata esclusivamente su un trattamento automatizzato di dati “destinati a valutare taluni aspetti della persona”.
La stessa disposizione consentiva anche agli Stati di autorizzare questi trattamenti a condizione però che riguardassero la conclusione o la esecuzione di un contratto e avvenissero col consenso della persona interessata. Infine, era consentito agli Stati legittimare il ricorso a questo tipo di trattamenti anche in altri casi, specificamente indicati nella norma, purché fossero previste anche misure adeguate a garantire l’interessato, prime fra tutte la possibilità di “far valere il proprio punto di vista” e di ottenere provvedimenti atti a “salvaguardare un proprio interesse legittimo”.
Non mancava dunque nella Direttiva 95/46 una attenzione specifica al trattamento automatizzato dei dati. Del resto in ambito europeo l’attenzione alla protezione dei dati personali è derivata proprio dai rischi legati ai trattamenti automatizzati di dati posti in essere senza alcuna tutela per i diritti dei cittadini ed anzi contro di essi (cfr.su questo F. Pizzetti, Privacy e Diritto europeo alla protezione dei dati personali, vol. I, Parte I, Giappichelli, 2016).
Gdpr e intelligenza artificiale
È innegabile tuttavia che i trattamenti automatizzati assumono nel mondo dei Big Data, della AI, del Machine learning e della IoT una dimensione nuova e assolutamente centrale.
Tutelare i diritti delle persone rispetto a processi decisionali automatizzati che possono incidere sui loro diritti o sulle loro condizioni di vita è oggi lo snodo fondamentale tra le infinite possibili applicazioni del mondo digitale e la nostra vita reale.
Si pensi a un procedimento automatizzato in materia sanitaria che decida senza intervento umano tra quanti mesi un paziente, anche particolarmente urgente, può essere operato; o a un trattamento completamente automatizzato che valuti il diritto di un cittadino a ottenere un passaporto o a iscriversi a un corso universitario, magari a numero chiuso; o ancora a trattamenti automatizzati che decidano se concedere un credito a chi ne faccia richiesta, o anche solo se accettare o respingere una prenotazione a uno spettacolo o a una crociera o a un viaggio che per il richiedente sono di particolare importanza.
Bastano questi pochi esempi per rendersi conto quanto, nel mondo dell’Intelligenza Artificiale e della Data analysis, sia importante una adeguata regolazione dei procedimenti decisionali automatizzati che incidono su diritti o condizioni di vita dei cittadini. Larga parte dello sviluppo tecnologico in atto è finalizzata a rendere le macchine “intelligenti”, in grado cioè di valutare autonomamente e assumere decisioni relative al loro funzionamento e alle modalità operative da adottare nei campi più diversi. Un panorama destinato a complicarsi ulteriormente attraverso il Machine learning, che mira a realizzare macchine programmate per essere capaci di apprendere e modificare di conseguenza le loro decisioni. Infine, tutto il mondo IoT opererà prevalentemente attraverso procedimenti decisionali automatizzati che potranno avere effetti diretti sui diritti e le condizioni di vita degli esseri umani.
In questo quadro l’art. 22 del GDPR si pone come norma cardine per valutare la legittimità di una gran parte delle applicazioni che la ricerca in materia di AI e le tecniche di Data analysis potranno elaborare rispetto alle macchine e alla loro utilizzazione, indipendentemente dalla loro “forma” e dal “nome”.
Un processo automatizzato decisionale che ha effetti sui diritti o le modalità di vita delle persone comporta sempre che attraverso la macchina non siano solo trattati dati personali ma anche adottate decisioni relative alle persone. Decisioni che possono andare anche molto oltre la semplice profilazione degli interessati.
Come dice l’art. 4 paragrafo 4 del GDPR la profilazione è “una qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare e prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione e gli spostamenti”. Essa ricade dunque certamente sotto l’art. 22 quando il procedimento automatizzato abbia anche finalità decisionali, quali ad esempio raggruppare per categorie i risultati della profilazione e riconoscere diritti o possibilità diverse ad alcune di esse.
Tuttavia non necessariamente un procedimento decisionale automatizzato riguarda la profilazione, né questa è la sola finalità possibile. Per questo l’art.22, che pure cita nel suo titolo anche il profiling, non disciplina né i trattamenti automatizzati in quanto tali, né l’attività di profilazione in sé e per sé considerata.
Oggetto della norma sono quei trattamenti (compresa la profilazione ma certo non solo questa) comunque finalizzati a produrre decisioni interamente automatizzate con effetti giuridici sulle persone o conseguenze significative sulla loro vita.
Diritto dell’utente ed eccezioni
Rispetto a questi tipi di procedimenti, caratterizzati non dalla finalità ma dalla loro modalità decisionale e dall’incidenza che possono avere su diritti e condizioni di vita delle persone, la posizione dell’art.22, primo paragrafo, è netta: l’interessato ha sempre il diritto di non essere sottoposto a una decisione basata unicamente sulla automazione.
Tuttavia lo stesso art. 22 prevede che tale divieto venga meno in tre casi: quando il trattamento sia necessario per la conclusione o l’esecuzione di un contratto; quando sia richiesto da leggi dell’Unione o di uno Stato membro che, come già prevedeva la Direttiva, contengano anche misure adeguate alla tutela dei diritti, delle libertà e dei legittimi interessi della persona; quando il trattamento si basi sul consenso esplicito (e cioè fondato su una informativa specifica e dettagliata) dell’interessato.
Il divieto è assoluto e non superabile rispetto ai dati sensibili di cui all’art. 9 salvo che essi siano stati resi pubblici dall’interessato o vi sia un interesse pubblico rilevante dell’Unione o degli Stati.
In tutti questi casi l’art. 22 prevede però che il titolare adotti le misure appropriate per tutelare diritti, libertà e legittimi interessi dell’interessato. Inoltre, e soprattutto, l’interessato ha sempre il “diritto specifico” di ottenere l’intervento umano del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Due sono dunque i principi basilari che l’art. 22 contiene rispetto ai procedimenti decisionali automatizzati che possono incidere su diritti e condizioni di vita della persona. Entrambi sono finalizzati a assicurare una “tutela rinforzata” rispetto ai diritti generali dell’interessato contenuti nel GDPR, ed entrambi sono giustificati dal fatto che i diritti specifici riconosciuti all’interessato riguardano non tanto il trattamento automatizzato in sé, quanto la decisione che ne deriva.
Il primo consiste nel diritto, riconosciuto in via generale all’interessato, a che non siano assunte decisioni automatizzate che possano incidere sui suoi diritti e le sue condizioni di vita.
Il secondo assicura che quando tale divieto venga meno per una delle eccezioni previste dallo stesso art. 22, l’interessato abbia comunque una tutela rinforzata rispetto ai tradizionali diritti di accesso, rettifica, opposizione e cancellazione. È riconosciuto infatti tanto il diritto di ottenere l’intervento umano finalizzato a una nuova valutazione della decisione automaticamente assunta, quanto quello di esprimere la propria opinione e di contestare la decisione.
È chiaro il ruolo dell’art. 22 a tutela degli humans, delle loro libertà, delle loro condizioni di vita e in ultima analisi della loro dignità, rispetto ai rischi legati a procedure interamente automatizzate in grado di adottare, senza alcun intervento umano, decisioni su di loro, i loro diritti e la loro vita.
Il GDPR contiene però anche una altra norma importante.
L’art.14, paragrafo 2, lettera g) prevede che rispetto ai procedimenti decisionali automatizzati, è necessario che l’informativa che deve essere data all’interessato non si può limitare a comunicare che si ricorre a trattamenti automatizzati ma deve contenere anche “indicazioni significative sulla logica utilizzata” nonché “sull’importanza e le conseguenze previste da tali trattamenti, e cioè dalle decisioni adottate”.
Questa norma va letta in stretto raccordo con l’art. 22 e ne rafforza l’effetto barriera contro il dominio delle macchine (e dei loro programmatori e costruttori) sugli umani che le usano, o che ne sono comunque condizionati.
Il combinato disposto dell’art. 22 e dell’art.14 paragrafo 2, lettere g) assicura agli “interessati” che nei casi specifici in cui i loro dati possono essere trattati con procedimenti decisionali automatizzati, oltre ai diritti ad essi riconosciuti dall’art. 22 hanno anche quello di conoscere la “logica” del trattamento.
Come precisa il WP29 questo non significa che debbano essere messi a conoscenza dell’interessato gli algoritmi o i sistemi di algoritmi che presiedono a tali trattamenti e che “guidano” le macchine ad assumere le decisioni e svolgere le attività programmate. Obbliga però a rendere noti gli elementi basici dei programmi con cui le macchine sono istruite a decidere e le finalità relative, comprese le conseguenze che ne possono derivare.
È proprio il diritto a una informazione specifica e una conoscenza mirata che consente agli interessati di valutare non solo il contenuto e gli effetti delle decisioni automatizzate ma anche la loro corrispondenza alle finalità dichiarate da chi pone in essere tali trattamenti e ne predispone i programmi.
In questo quadro la possibilità di richiedere l’intervento umano per il riesame delle decisioni assunte e, implicitamente, anche una valutazione sull’attività delle macchine assume uno spessore forte. È evidente che si chiederà l’intervento umano quando si riterrà che la decisione assunta sia non conforme alla logica programmatoria dichiarata e alle relative conseguenze sulla vita dell’interessato. Successivamente, qualora la decisione ultima del titolare sia considerata non coerente con le finalità dichiarate o comunque tale da mettere in pericolo i diritti, le libertà e le condizioni di vita della persona, scatta l’ultima difesa. Il diritto degli interessati di manifestare la loro opinione e contestare la decisione.
Anche se il GDPR non lo precisa espressamente, la contestazione comporta ovviamente la possibilità di chiedere l’intervento delle Autorità di controllo e anche, specialmente ove l’interessato lamenti un danno, il ricorso al giudice.
Insomma, il sistema normativo del GDPR assicura all’interessato (e dunque agli esseri umani) il diritto di avere l’ultima parola.