Il Gdpr e la protezione dei dati nella società algoritmica: i nuovi sviluppi normativi e giuridici - Agenda Digitale

privacy e algoritmi

Il Gdpr e la protezione dei dati nella società algoritmica: i nuovi sviluppi normativi e giuridici

Le caratteristiche del GDPR sembrano sempre più definirsi per via giurisprudenziale. Negli ultimi anni le corti hanno assunto un ruolo centrale, portando all’estensione, a volte forzata, delle garanzie europee e dando una spinta all’evoluzione della privacy e della tutela dei dati personali

09 Set 2021
Marco Bassini

Università Bocconi

Giovanni De Gregorio

Università Bocconi

Oreste Pollicino

Professore ordinario di diritto costituzionale, Università Bocconi. Membro italiano del consiglio di amministrazione dell'European Fundamental Rights Agency (FRA)

Tiro a segno sull’Intelligenza Artificiale

Il rapporto tra dati personali e tecnologie algoritmiche costituisce un punto nevralgico del dibattito europeo e nazionale che sembra non sempre trovare un punto di equilibrio, portando quindi a nuovi sviluppi dal punto di vista normativo e giurisprudenziale.

Dati e algoritmi sembrerebbero costituire infatti un binomio non del tutto risolutivo né esaustivo, se si considerano, per un verso, la molteplicità delle varie questioni giuridiche sollevate dall’avvento delle tecnologie algoritmiche e, per altro verso, l’ambito apparentemente limitato entro cui le tutele previste dalla disciplina in materia di protezione dati, ossia il GDPR, spiegano la loro efficacia. Questo collegamento, del resto, emerge anche nella recente proposta di regolamento che definisce un quadro europeo in materia di intelligenza artificiale (“Artificial Intelligence Act”), in cui le istituzioni dell’Unione europea sembrano aver inteso riprodurre, seppur con un taglio top down, la matrice sottostante al GDPR, ossia l’approccio fondato sul rischio.

Come noto, questo principio mira alla valorizzazione dell’accountability dei soggetti che effettuano trattamenti di dati personali, sostituendo alla ispirazione paternalistica che aveva caratterizzato il quadro giuridico previgente un’impronta di maggiore apertura agli sviluppi della tecnologia, pur nel rispetto dei diritti e delle libertà individuali.

L’intelligenza artificiale made in Ue è davvero “umano-centrica”? I conflitti della proposta

La relazione tra algoritmi, privacy e tutela dei dati personali

In un tale contesto, risultano ancora diversi i nodi aperti nella relazione tra algoritmi, privacy e tutela dei dati personali. Sarebbe sufficiente sottolineare le tensioni costituzionali che caratterizzano la relazione tra Big Data e principi generali del GDPR, specialmente quando si guarda ai canoni di trasparenza e minimizzazione dei dati. In particolare, il consenso, quale base giuridica più nota fondata sull’elemento volontaristico, sembra essere in crisi non solo per effetto della sempre maggiore asimmetria informativa tra individui e titolari del trattamento che implementano tecnologie algoritmiche ma anche e soprattutto per via dalla complessità tecnologica. Il consenso non è certo l’unica base giuridica, dato che il GDPR, valorizzando il principio di accountability, sembra aver voluto attribuire nuova linfa a fondamenti normativi diversi, come il legittimo interesse, incentrati su una “responsabilizzazione” del titolare del trattamento.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Ma il consenso continua a rappresentare uno dei capisaldi della disciplina in materia, la cui validità come base giuridica deriva da una serie di predicati che devono essere rispettati: tra questi, vi è senza dubbio la natura informata, presupposto affinché la manifestazione di volontà dell’interessato possa legittimare il trattamento dei dati da parte del titolare.

I dubbi sulle decisioni solamente automatizzate

Allo stesso modo restano ancora dubbi sull’effettività della garanzia prevista dall’art. 22 del GDPR avverso le decisioni solamente automatizzate che producano una conseguenza giuridica o che incidano significativamente sull’interessato. Sul punto è ancora discusso che tipo di tutela debba essere garantita all’interessato, specialmente per quanto riguarda il c.d. diritto alla spiegazione e all’intervento umano. Tuttavia, se da un lato il GDPR prevede un limite a tali trattamenti, dall’altro apre le porte a diverse eccezioni tra cui, in particolare, il consenso esplicito dell’interessato che, come sottolineato, non risulta sempre costituire il mezzo più adatto per garantire quel principio di autodeterminazione che caratterizza il sistema della privacy e della tutela dei dati personali.

Eppure, la giurisprudenza che fino a questo momento si è cimentata nel confronto con le problematiche generate dai sistemi algoritmici ha messo in evidenza più che mai la capacità della normativa sulla protezione dei dati di fornire risposte che andassero ben oltre il semplice ambito di riferimento. Questo messaggio, del resto, pareva evincersi già da una sentenza del 2019 del Conseil Constitutionnel francese e dalle sentenze del Consiglio di Stato in merito alla legittimità dell’algoritmo impiegato dal MIUR per l’assegnazione del personal docente delle scuole secondarie di secondo grado.

La sentenza del Consiglio di Stato

In particolare, nella sentenza del 13 dicembre 2019, n. 8472, nel riallacciarsi al suo precedente (la sentenza dell’8 aprile 2019, n. 2270) per ribadire l’esigenza di garantire la conoscibilità e comprensibilità dell’algoritmo, il Consiglio di Stato si è soffermato proprio sulle norme contenute nel GDPR per sottolineare l’attenzione del legislatore europeo ai casi in cui il trattamento di dati sia interamente automatizzato. Proprio a questo fine, il GDPR affianca, alle esigenze conoscitive (soddisfatte dalla previsione di un diritto di accesso e a ottenere informazioni), un espresso limite allo svolgimento di processi decisionali automatizzati (ex art. 22).

Ma soprattutto, secondo il Consiglio di Stato, dal diritto sovranazionale si possono evincere in particolare tre principi:

  • il principio di conoscibilità, che si rafforza in principio di comprensibilità quanto si tratti di decisioni automatizzate adottate da soggetti pubblici;
  • il principio di non esclusività della decisione algoritmica, che assicura un contributo umano in grado di controllare, validare o smentire la decisione automatica;
  • il principio di non discriminazione algoritmica, che impegna il titolare dei trattamenti a mettere in atto quanto necessario a rettificare i fattori che comportano inesattezze, per minimizzare gli errori e impedire effetti discriminatori.

Nel caso di specie, secondo i giudici, l’algoritmo non risultava essere stato utilizzato in termini conformi ai principi in questione, anche in considerazione del fatto che non era dato comprendere per quale ragione le legittime aspettative di soggetti collocati in una determinata posizione in graduatoria fossero andate disattese.

La pronuncia del Conseil Constitutionnel francese

Prima ancora, nel 2018, il Conseil Constitutionnel francese si era pronunciato sulla legittimità di una norma che ampliava la possibilità per la pubblica amministrazione di ricorrere (seppure a titolo di eccezione) a decisioni in grado di produrre effetti giuridici sugli individui fondate su un trattamento automatico di dati personali. La stessa disposizione legittimava decisioni automatizzate nel caso in cui a) l’attività algoritmica non riguardasse dati sensibili, b) fosse percorribile una via di ricorso amministrativa e c) fossero fornite adeguate informazioni in relazione all’utilizzo di algoritmi. Della norma in parola era stato dedotto un conflitto con la distribuzione dei poteri esecutivi prevista dall’art. 21 della Costituzione, soprattutto in relazione alle capacità di autoapprendimento degli algoritmi che avrebbero potuto determinare l’applicazione di regole differenti da quelle preimpostate. Il Conseil ha escluso l’esistenza di profili di incostituzionalità, ritenendo che fossero state osservate tutte le garanzie necessarie alla salvaguardia dei diritti e delle libertà degli individui, tra cui la la limitazione dell’utilizzo a specifiche tipologie di decisioni, la previsione di specifiche condizioni legittimanti e la possibilità per l’individuo destinatario ultimo di una decisione di ottenere una spiegazione in modalità intellegibili e dettagliate del funzionamento del processo algoritmico.

L’ordinanza della Corte di Cassazione

Allo stesso modo, l’ordinanza n. 14381/2021 della prima sezione civile della Corte di Cassazione ha confermato la relazione tra algoritmi e protezione dei dati personali. La pronuncia della Cassazione ha tratto origine dal ricorso proposto dal Garante per la protezione dei dati personali contro una pronuncia del Tribunale di Roma che ne aveva ridimensionato un provvedimento di blocco dei trattamenti eseguiti da un soggetto imprenditoriale intento a gestire un servizio di rating reputazionale. La Cassazione ha accolto il ricorso, ritenendo che la decisione del Tribunale di Roma non avesse correttamente considerato il sistema di garanzie che circonda l’interessato al cospetto di trattamenti di dati personali.

Nella vicenda finita all’esame della Cassazione la base giuridica rappresentava il vero nodo critico. Non perché una normativa ad hoc fosse carente rispetto alla regolazione dei sistemi di scoring reputazionale, irrilevante di per sé per la sorte dei trattamenti di dati; ma perché era in questione su quale fondamento il sistema di rating potesse riposare rispetto ai trattamenti medesimi. Questa premessa ha consentito alla Cassazione di appuntare le proprie attenzioni sulla rilevanza del consenso degli interessati e sulla validità dello stesso, alla luce delle circostanze in cui era acquisito. È indispensabile, infatti, che la prestazione di consenso sia preceduta da una previa acquisizione di informazioni che illustrino dettagliatamente all’interessato le attività di trattamento. Ciò permette di individuare e definire i trattamenti che occorrono nell’ambito di un sistema algoritmico.

Da queste premesse discende non soltanto la natura informata del consenso prestato dall’interessato, ma anche la sua libertà e specificità. Si tratta, in altri termini, di rappresentare alla sfera conoscitiva dell’interessato tutti gli elementi utili a determinare il suo comportamento adesivo. Così, non si può ritenere valida una manifestazione di consenso che non sia preceduta da un idoneo compendio informativo che rappresenti all’interessato, tra l’altro, le caratteristiche del sistema algoritmico utilizzato. In altri termini, l’interessato deve poter conoscere le modalità di funzionamento di un trattamento algoritmico onde potervi liberamente assentire; infatti, “non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.

Conclusioni

Il quadro d’insieme sembra suggerire la bontà dell’impianto del GDPR le cui caratteristiche paiono sempre più definirsi per via giurisprudenziale. La centralità delle corti in tale ambito, negli ultimi anni ha portato all’estensione, alle volte forzata, delle garanzie europee costituendo una spinta all’evoluzione della privacy e della tutela dei dati personali. Tuttavia, seppur non esclusivamente visti i recenti delle autorità di tutela dei dati personali anche in Italia nel caso di Foodinho, le corti sembrano costituire gli attori privilegiati a garanzia non solo del diritto alla protezione dei dati ma anche della centralità dell’individuo nella società algoritmica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3