Algoritmi nella PA: i paletti del Gdpr nella sentenza del Consiglio di Stato | Agenda Digitale

Giustizia amministrativa

Algoritmi nella PA: i paletti del Gdpr nella sentenza del Consiglio di Stato

L’utilizzo di algoritmi nelle procedure di selezione della PA è di per sé corretto e utile anche per il taglio di tempi e costi ma bisogna rispettare determinati canoni, in particolare quelli fissati dal Gdpr poiché, come riconosce dal giudice, non possono valere per talim attività leggi concepite nell’era “analogica”

26 Feb 2020
Massimo Borgobello

Avvocato, Vice presidente Assodata, DPO Certificato 11697:2017


In Italia sono già in uso algoritmi per effettuare procedure di selezione da parte della Pubblica Amministrazione (e non solo): spesso i risultati a cui perviene l’intelligenza artificiale non sono conformi a diritto e il giudizio mediante algoritmo – ancorché questo sia una mera trasposizione matematica ed informatica della normativa – deve essere sempre assistito da una decisione “umana”.

Proviamo allora a fornire una lettura della materia a partire dall’ultima sentenza in questa tematica di frontiera, ossia la sentenza n. 881 del  4 febbraio 2020 della sesta sezione del Consiglio di Stato.

Il caso

Il Consiglio di Stato, massimo organo della giustizia amministrativa, è stato chiamato a giudicare sul corretto funzionamento di un algoritmo utilizzato dalla Pubblica Amministrazione per disporre i trasferimenti di personale con posti di potenziamento, sostegno o comune della scuola secondaria.

Nel caso di specie vi era stata una procedura, svolta per mezzo di un algoritmo, per disporre dei trasferimenti: i medesimi erano stati disposti senza tener conto delle preferenze indicate dal personale, anche a fronte di posti disponibili nelle province indicate.

Il Consiglio di Stato, attraverso un’articolata motivazione, ha affermato che “l’impossibilità di comprendere le modalità con le quali, attraverso il citato algoritmo, siano stati assegnati i posti disponibili, costituisce di per sé un vizio tale da inficiare la procedura”, con tutte le conseguenze di legge.

I canoni da rispettare per il corretto utilizzo degli algoritmi nella PA

La motivazione della sentenza è un “viaggio” attraverso la normativa nazionale ed europea sul processo decisionale automatizzato nella Pubblica Amministrazione (e non solo).

In primo luogo, il Consiglio di Stato ha affermato che l’utilizzo di strumenti decisionali automatizzati (cosiddetti robot) sia rispondente ai criteri di efficienza ed economicità dell’azione amministrativa, espressioni del principio di buon andamento della pubblica amministrazione ex art. 97 Cost.

Di fatto, l’utilizzo dell’algoritmo nelle procedure selettive viene ricondotto ad un modello organizzativo di utile ausilio nell’attività procedimentale ed istruttoria, e può essere utilizzato tanto nell’attività cosiddetta vincolata della Pubblica Amministrazione che in quella discrezionale.

L’utilizzo di algoritmi, quindi, non solo è di per sé corretto, ma è anche un utile strumento per il taglio di tempi e costi della Pubblica Amministrazione, a patto però che vengano rispettati determinati canoni.

In primo luogo, deve essere garantita la piena conoscibilità del modulo utilizzato e dei criteri applicati. In secondo luogo, vi deve essere un controllo di logicità e legittimità della decisione presa mediante strumento automatizzato da parte dell’organo titolare del potere.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Sotto il primo profilo incide il principio di trasparenza, che informa l’attività della Pubblica amministrazione e che impone, in caso di utilizzo di un algoritmo, una conoscibilità “rafforzata” dei criteri utilizzati.

Tale principio implica che debbano essere conoscibili gli autori dell’algoritmo, il procedimento di elaborazione ed il meccanismo di decisione.

Il fatto che lo strumento tecnico robotizzato richieda competenze non solo giuridiche non implica che la “formula tecnica” non sia corredata delle necessarie spiegazioni utili a tradurla in “regola giuridica”.

I paletti del Gdpr

Su altro fronte irrompe la normativa UE, ed il particolare il Reg. UE 16/679, ossia il Gdpr laddove prevede, agli artt. 13 e 14, la necessaria informativa agli interessati circa l’utilizzo di procedimenti decisionali automatizzati.

L’art. 15, inoltre, nel porre il diritto dell’interessato a ricevere informazioni circa l’esistenza di processi decisionali automatizzati, comporta un diritto azionabile dagli interessati stessi.

Va a questo punto detto che il diritto di cui sopra è posto con fonte prevalente su quella che prevede l’ordinario diritto di accesso agli atti della Pubblica Amministrazione e che, conseguentemente, determina che vengano meno anche gli ordinari contemperamenti in materia.

L’art. 22 del Reg. UE 16/679, infine, riconosce al singolo il diritto di non essere sottoposto a decisioni automatizzate prive di un coinvolgimento umano che producano effetti giuridici.

Il principio di conoscibilità, così declinato, deriva, quindi direttamente dall’art. 42 della Carta Europea dei Diritti Fondamentali e deve essere completato dal principio comprensibilità ossia il diritto di ricevere “informazioni significative sulla logica utilizzata” (art. 15, lett. h), Reg, UE 16/679).

Il Consiglio di Stato, da ultimo, ha richiamato il considerando n. 71 del Gdpr da cui si evince un principio fondamentale per l’economia ed i rapporti giuridici “del futuro”: ossia il principio di non discriminazione algoritmica.

Tale principio impone che nell’utilizzo di strumenti decisionali automatizzati e basati su profilazione degli interessati, oltre alla minimizzazione, alla correttezza ed all’integrità dei dati, siano garantiti anche risultati non discriminatori attraverso l’intervento di una valutazione umana.

Detto altrimenti, l’algoritmo deve essere non solo conoscibile e comprensibile, ma anche non discriminatorio, a partire dall’attività di selezione dei dati nella fase di inserimento fino a quella di output decisionale.

Il Consiglio di Stato conclude quindi con un’affermazione di principio, tanto logicamente e giuridicamente necessitata, quanto “rivoluzionaria” per la portata che assume: nell’attività amministrativa algoritmica, non può ritenersi applicabiletutta la legge sul procedimento amministrativo, concepita in un’epoca nella quale l’amministrazione non era investita della rivoluzione tecnologica”.

Conclusioni

Come noto, le fonti Ue prevalgono su quelle interne, determinando la disapplicazione di queste ultime in caso di conflitto.

Nel caso in esame, il richiamo alla normativa UE ed al Gdpr in particolare ha impedito una sostanziale violazione dei diritti, avvenuta nell’apparente rispetto delle norme sul procedimento amministrativo.

La tutela garantita dal Reg. UE 16/679, quindi, inizia a dispiegare i propri effetti sulla vita quotidiana dei cittadini italiani, a fronte dell’iniziale sgomento che ha colpito gli addetti ai lavori (e le imprese in particolare) in relazione ai nuovi adempimenti ivi previsti.

La decisione automatizzata è ormai realtà comune ed impatta significativamente sulla vita delle persone: il contenzioso amministrativo ne è una efficace cartina tornasole.

In attesa della casistica del contenzioso civile e penale, questa recentissima sentenza del Consiglio di Stato offre coordinate interpretative significative e consente anche una visione prospettica sui futuri contenziosi in materia di trattamento dei dati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 3