Il trattamento dei dati personali nell’ambito dell’utilizzo di sistemi algoritmici di profilazione rappresenta una tematica di crescente rilevanza nel panorama giuridico italiano.
Indice degli argomenti
Definizione e ambito normativo dei sistemi algoritmici di profilazione
Il quadro normativo e giurisprudenziale è, infatti, piuttosto articolato e ha avuto diverse evoluzioni, tutte con la finalità di definirne principi e requisiti fondamentali.
Per dare una definizione e un ambito di applicazione al concetto di profilazione possiamo fare riferimento alla sentenza della Cassazione n. 6177/2023, secondo la quale la profilazione si configura come una tecnica di trattamento automatico dei dati che:
a) richiede un’attività preliminare di preparazione e predeterminazione di profili e categorie;
b) applica un profilo (categoria predeterminata) a una persona fisica specifica;
c) indi procede all’applicazione di tali profili a persone fisiche determinate. In altre parole, categorizza i soggetti sulla base di caratteristiche predeterminate da chi effettua la profilazione. Proprio per questa ragione l’art. 22 del GDPR stabilisce che il consenso alla profilazione deve essere esplicito, libero d il titolare dei dati deve poter dare prova di tale esplicito consenso.
Requisiti per un valido consenso nei sistemi algoritmici di profilazione
La Cassazione con l’interessante sentenza n. 28358/2023 ha poi stabilito in quali casi e a quali condizioni il consenso al trattamento mediante sistemi algoritmici è valido.
Innanzitutto, l’algoritmo deve essere descritto in modo trasparente e comprensibile nelle sue caratteristiche funzionali essenziali; questo dovrebbe permettere all’utente profilando una consapevolezza nella propria scelta.
Il procedimento, poi, deve essere illustrato con un linguaggio comune, non squisitamente tecnico al fine di essere compreso anche da chi non è un tecnico. La spiegazione deve riguardare i dati di input considerati, ossia quali informazioni tra quelle inserite sono rilevanti; i criteri di valutazione utilizzati, in altre parole parametri predefiniti applicati; le sequenze logiche seguite.
I passaggi dell’algoritmo devono poi essere elementari, univoci, di numero finito e con risultato unico. Questo dovrebbe garantire la non discriminatorietà dell’algoritmo.
I tre principi fondamentali da applicare alla profilazione su base algoritmica secondo il Consiglio di Stato
In effetti, già il Consiglio di Stato con la sentenza n. 881/2020 aveva individuato nella conoscibilità, nel principio di non esclusività e in quello di non discriminazione i tre principi fondamentali da applicarsi alla profilazione su base algoritmica.
Per principio di conoscibilità, come spiega la Corte, si intende la piena trasparenza del modulo utilizzato e dei criteri applicati; la comprensibilità della regola algoritmica in tutti i suoi aspetti; l’illustrazione del, procedimento di elaborazione e del meccanismo decisionale alla base.
Per principio di non esclusività la necessità di un contributo umano nel processo decisionale (modello HITL – human in the loop) e conseguentemente la capacità di controllo, validazione o smentita della decisione automatica da parte del soggetto – umano – controllante.
Da ultimo, ma non certo secondario, il principio di non discriminazione, che si concretizza nell’obbligo di utilizzare procedure matematiche appropriate, di rettificare i fattori che possono causare inesattezze (quindi nuovamente la preminenza dell’apporto umano rispetto all’automatizzazione) e il divieto di effetti discriminatori basati su caratteristiche personali.
Il principio “human in the loop” nei sistemi algoritmici di profilazione
Appare interessante il riferimento che la decisione del Consiglio di Stato fa al concetto di “Human in the Loop” (HITL) o “Essere umano nel ciclo”, principio fondamentale nell’utilizzo dei sistemi algoritmici e dell’intelligenza artificiale. Il principio vuole che debba sempre esistere un contributo umano capace di controllare, validare o smentire la decisione automatizzata. L’intervento umano non può essere meramente formale, ma, al contrario, deve essere sostanziale ed effettivo ed il responsabile deve poter verificare la logica e la correttezza della decisione algoritmica.
In altri termini, la decisione finale non può essere delegata interamente alla macchina perché il funzionario deve mantenere la responsabilità di ogni decisione. Decisione in modo che l’algoritmo sia uno strumento procedimentale di supporto e non il decisore finale.
Supervisione umana qualificata nei sistemi algoritmici di profilazione
Il TAR Lazio con la decisione n. 8313/2022 ha poi messo in evidenza come l’intervento umano debba essere previsto in momenti significativi del processo decisionale e debba poter modificare o correggere eventuali errori dell’algoritmo, evitando meccanismi disfunzionali e impropri.
Proprio perché fondamentale e imprescindibile la supervisione umana e le sue modalità devono essere documentate e tracciabili.
Tutti i procedimenti di profilazione basati su algoritmi devono quindi, obbligatoriamente, prevedere momenti di verifica e controllo e devono esistere meccanismi di contestazione della decisione algoritmica.
L’intervento umano, per questa ragione, deve essere non solo effettivo, ma anche qualificato.
La sentenza della Cassazione n. 28358/2023 ha evidenziato che la persona incaricata deve avere competenze adeguate e il processo deve darle la possibilità tecnica di discostarsi dalla decisione algoritmica.
Solo questa supervisione umana consente, infatti, la trasparenza delle decisioni e la tutela dei diritti fondamentali, prevenendo quelle possono essere definite come discriminazioni algoritmiche. D’altra parte, il principio secondo cui la responsabilità finale rimane in capo a persone fisiche incentiva il controllo umano in tutte le fasi del procedimento e vieppiù in quelle critiche.
Tutela degli interessati contro i sistemi algoritmici di profilazione
In questo modo il sistema viene spinto, anche attraverso la costruzione giurisprudenziale di queste “linee guida” imprescindibili, a garantire la tutela degli interessati a cui è riconosciuto il diritto di contestare la decisione automatizzata e richiedere un riesame umano in un contraddittorio effettivo.
Il principio HITL rappresenta quindi una garanzia fondamentale nell’utilizzo di sistemi algoritmici, assicurando che:
- Le decisioni automatizzate siano sempre soggette a supervisione umana;
- Esistano meccanismi di controllo e correzione;
- I diritti degli interessati siano adeguatamente tutelati.
Questo approccio riflette la necessità di bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali, garantendo che l’automazione non si traduca in una diminuzione delle garanzie procedimentali e sostanziali per i cittadini.
