Mentre l’umanità scivola in uno stato di «dipendenza sistematica e strutturale dalla datificazione»[3] e assiste alla (o, meglio, produce la) graduale trasformazione delle macchine da strumenti ad agenti[4], il diritto fatica a tenere il passo.
A bene vedere, ciò è, in parte, strutturale, se è vero che il diritto è la risposta che nasce, con Ulrich Beck, «dalla riflessione pubblica sull’orrore prodotto dalla vittoria della modernità»[5].
Per altra parte, tuttavia, sono l’incessante e repentina evoluzione tecnologica ad aver accelerato il fenomeno dell’obsolescenza normativa, sospingendo, al contempo, l’ordinamento verso forme di regolazione soft e di auto- e co-regolazione[6].
Poiché sembra tuttora potersi affermare che la chiave di volta del sistema di tutele della persona nell’infosfera[7] sia il diritto alla riservatezza ‒ in particolare sotto il profilo dinamico di diritto alla protezione dei dati personali e all’autodeterminazione informativa ‒, il contributo mira a indagare la “tenuta” del Regolamento (UE) 679/2016 (General Data Protection Regulation, GDPR), a fronte dell’emersione di nuovi fenomeni tecnologici, in particolare di Big Data e dell’Intelligenza Artificiale (IA).
Indice degli argomenti
GDPR, Big Data e intelligenza artificiale: un regolamento che rischia di inseguire
Il problema di fondo è che il Regolamento in parola, pur non ignorando le profonde trasformazioni che già erano in atto e, anzi, ponendo norme, per certi aspetti, decisamente lungimiranti e flessibili, è, per altri versi, “nato già vecchio”.
Del resto, dalla lettura dei documenti delle istituzioni dell’Unione europea redatti nel periodo di gestazione del GDPR emerge come tale impianto normativo sia stato messo a punto in un’epoca in cui a tali organismi non era ancora chiaro l’impatto che la protezione dei dati personali stava subendo per l’avvento dei Big Data e, di lì a poco, avrebbe subito, per la diffusione dell’intelligenza artificiale (IA)[8].
Il lancio della strategia europea del Digital Single Market, la responsabilizzazione delle grandi piattaforme rispetto all’utilizzazione da parte di minori, l’incentivazione al riuso dei dati a scopi di ricerca scientifica, la necessità di assicurare l’affidabilità dei sistemi di IA, sarebbero stati fatti propri dalle Istituzioni dell’Unione Europea solo successivamente (in particolare, sotto la Commissione Juncker 2014-2019 e, poi, sotto la prima Commissione von der Leyen, 2019-2024, per continuare, tutt’ora, con la seconda)[9].
Tali affermazioni saranno approfondite nel prosieguo, previe alcune necessarie precisazioni terminologiche attorno ai concetti di Big Data e IA, sì da perimetrare l’oggetto (seppur di “secondo grado”[10]) dell’elaborato.
Big Data e intelligenza artificiale: definizioni mobili e confini sfocati
Tra gli aspetti che accomunano i due fenomeni in parola vi sono sicuramente l’incertezza e la relatività delle rispettive definizioni.
Consideriamo innanzitutto i Big Data: benché non esista una definizione condivisa, con questo termine si suole riferirsi al processo di analisi di “grandi” set di dati o, nell’accezione più diffusa, ai (“grandi”) set di dati stessi[11].
Il concetto è, in tutta evidenza, storicamente condizionato: i data sono big quando, alla luce delle attuali conoscenze tecnologiche, sono difficili da analizzare, gestire, elaborare in un tempo ragionevole, a causa delle loro dimensioni e complessità.
In assenza di soglie dimensionali predefinite, ciò che è considerato big oggi (proprio come ciò che è considerato intelligente, come vedremo) potrebbe non esserlo domani.
Le “V” dei Big Data e la soglia dell’automazione
Non a caso i tentativi definitori hanno condotto all’elaborazione, oramai “classica”, delle “V”[12], che cercano di descrivere il fenomeno da un punto di vista qualitativo.
Alle tre “V” originarie – volume, velocità (ossia la rapidità del trattamento, ma anche della creazione dei dati, spesso generati in tempo reale e costantemente aggiornati) e varietà (delle fonti da cui i dati o i metadati provengono) – sono state affiancate una serie di altre caratteristiche, quali la veridicità o veracità (che, in realtà, ben potrebbe mancare laddove i Big Data siano costituiti da dati inesatti o da dati sintetici); il valore che è possibile estrarne (che dipende dalla loro natura, accuratezza, grandezza, etc.); la vulnerabilità, connessa al rischio di furto dei dati o di utilizzi illeciti (caratteristica che evidenzia la stretta relazione fra protezione dei dati e cybersicurezza); la valenza (ossia il grado di connessione del dato con altri dati); e, infine, la visualizzazione (cioè, la necessità di riassumere graficamente o comunque in maniera facilmente interpretabile le informazioni più rilevanti tratte da tali set di dati).
Tali tentativi definitori non sembrano cogliere nel segno: da un lato, la seconda e la terza “V” originarie sembrano costituire presupposti della prima (sono la generazione costante e in tempo reale e la provenienza dalle fonti più disparate a determinare l’enorme volume dei Big Data).
Dall’altro lato, le successive “V” parrebbero caratteristiche meramente accessorie o, comunque, conseguenziali all’aspetto dimensionale.
Nel tornare, dunque, a quest’ultimo quale irrinunciabile punto di partenza, si può ipotizzare, come soglia dimensionale minima perché si possa parlare di Big Data, quella che rende necessario un trattamento di tipo automatizzato, grazie al quale realizzare analisi descrittive e, soprattutto, predittive.
Intelligenza artificiale nel diritto europeo: autonomia, output e black-box
Numerosi problemi definitori si riscontrano anche in relazione all’IA, non solo perché si tratta di un altro termine storicamente condizionato[13], ma anche in quanto il dibattito attorno a tale concetto investe una pluralità di settori disciplinari ‒ dalla psicologia cognitiva all’ingegneria informatica, dalla filosofia all’economia ‒ e ha radici molto risalenti[14].
Il diritto positivo, quando si è trovato a dover definire e disciplinare l’IA, ne ha riconosciuto la natura di termine-ombrello, sotto il quale sono variamente ricondotti approcci e tecniche che creano sistemi automatizzati in grado, secondo la formula adottata dal legislatore europeo, di «funzionare con livelli di autonomia variabili», eventualmente adattandosi all’ambiente circostante, in grado di dedurre dai dati di ingresso che riceve (input), dati di uscita (output) «quali previsioni, contenuti, raccomandazioni o decisioni» (art. 3, n. 1, Regolamento sull’IA[15]).
Si tratta, nella maggior parte dei casi, di algoritmi[16] che sfruttano tecniche e approcci non basati su un modello (non model-based[17]).
I sistemi di IA non sono, cioè, in grado di astrarre la regola causale sottostante il rapporto tra l’input e l’output, ma solamente di esprimere la probabilità che a un certo input corrisponda un certo output.
Si pensi ai Large Language Models usati per l’IA generativa: l’algoritmo, in questi casi, non astrae ed applica una qualche regola o conoscenza, ma produce (genera, appunto) una lettera dopo l’altra sulla base della probabilità che, in un dato contesto, ad una segua l’altra (emulando, così, il linguaggio umano).
Big Data e IA sono inoltre fenomeni strettamente interconnessi: non è un caso che sia stato l’avvento dei primi, unitamente all’accresciuto potere computazionale, a permettere a tecniche già conosciute, ma relativamente poco sfruttate – come quelle dell’apprendimento autonomo – di dispiegare appieno le proprie potenzialità, generando crescente attenzione da parte della ricerca, del mercato, delle istituzioni.
I sistemi di IA hanno sollevato, tuttavia, una serie di problematiche specifiche e ulteriori, che possono schematicamente riassumersi ne: a) l’opacità “intrinseca”[18] dell’algoritmo di intelligenza artificiale, che spesso costituisce una vera e propria “scatola nera” (black-box), la cui “logica di funzionamento” consiste in centinaia di migliaia di parametri e correlazioni, dai quali non è tecnicamente possibile ‒ specie nei sistemi non basati su un modello ‒ astrarre alcuna regola che spieghi la produzione di un determinato output[19].
b) la graduale corrosione dell’autonomia umana da parte di sistemi che, da semplici strumenti, si trasformano, direttamente o indirettamente (per il graduale inconsapevole “affidamento” ai risultati della macchina)[20], in veri e propri agenti.
c) il problema delle distorsioni (bias) dei sistemi, che possono produrre “allucinazioni” (false informazioni) e generare discriminazioni (o, meglio, perpetrarle, atteso che i sistemi altro non fanno che riprodurre e, dunque, cristallizzare correlazioni e schemi esistenti nei dati di ingresso).
Big Data e intelligenza artificiale nel GDPR: perché il modello “statico” scricchiola
Tracciate queste brevi premesse introduttive, occorre riprendere la riflessione attorno alla duplice e opposta lettura del GDPR quale, da un lato, disciplina flessibile e, almeno nelle intenzioni, tesa a evitarne la rapida obsolescenza, e, dall’altro, come intervento incapace di cogliere le novità introdotte dai Big Data e più ancora dall’IA.
A un primo sguardo, l’impianto normativo sembra fondato su una serie di assunti che ne denunciano una certa staticità[21]: che sia possibile individuare un titolare del trattamento (o, al limite, più contitolari o titolari autonomi) e un soggetto responsabile ex art. 28 (eventualmente supportato da sub-responsabili), nonché un numero definito di interessati.
Che sia posto in essere un numero definito di trattamenti, ciascuno dei quali fondato su una precisa base giuridica.
Che sia possibile individuare ex ante le finalità per le quali i dati sono raccolti e trattati, considerato che ogni ulteriore trattamento è lecito solo se effettuato per finalità non incompatibili con quelle per le quali i dati sono stati raccolti (secondo il principio di limitazione delle finalità).
Che sia possibile raggiungere tutti gli interessati e renderli consapevoli delle caratteristiche dei trattamenti in corso attraverso un testo scritto (l’informativa).
Un quadro così delineato sembra male applicarsi alle problematiche sollevate dai Big Data: le sempre più ingenti quantità di dati raccolte, conservate, condivise fra moltissimi soggetti e il loro impiego per le finalità più diverse, creano “catene” di rapporti che difficilmente possono essere ricondotte al modello che fa capo a un titolare che tratta i dati di più interessati per finalità predeterminate.
Per non parlare delle sfide precipue dell’IA più sopra sinteticamente richiamate (opacità, autonomia, bias).
Per comprendere meglio i termini del problema, occorre tuttavia procedere a un’analisi più minuta, soffermandosi su alcuni profili specifici della disciplina disegnata dal GDPR, che, se, per certi versi, hanno costituito un primo passo nella tutela dei diritti fondamentali nell’ambiente digitale, possono, tuttavia, essere interpretati come altrettanti punti di caduta della normativa in tema di protezione dei dati rispetto alle sfide poste dai fenomeni tecnologici in oggetto.
Nel prosieguo saranno pertanto oggetto di approfondimento: 1) il concetto di dato personale, 2) la disciplina in tema di decisioni automatizzate e 3) la regolamentazione dei trattamenti di dati sensibili per l’addestramento degli algoritmi a fini antidiscriminatori.
Dato personale e anonimizzazione tra GDPR, Big Data e intelligenza artificiale
La definizione del GDPR abbracciata dal legislatore europeo è ampia ed elastica: qualsiasi informazione riferibile a una persona «identificabile», anche «indirettamente» può costituire dato personale, in particolare attraverso il collegamento con un qualsiasi «identificativo», che può consistere, oltre che nel «nome» o in «un numero di identificazione» anche nei «dati relativi all’ubicazione» o in «uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»[22].
Un dato personale può perdere la caratteristica della “personalità” attraverso una serie di tecniche che abbiano come effetto l’anonimizzazione, cioè quel trattamento che – diversamente dalla mera pseudonimizzazione – comporta l’eliminazione irreversibile della possibilità di collegare i dati a una persona fisica.
Ebbene, nell’era dei Big Data, l’anonimizzazione in senso tecnico è, in molti casi, impossibile: attraverso il trattamento automatizzato e incrociato di grandi banche dati, spesso liberamente accessibili online, si è potuto, infatti, in un caso, identificare i soggetti ai quali si riferivano semplici punteggi attribuiti dagli utenti di una piattaforma di streaming ai contenuti fruiti, e, in un altro caso, ricollegare a rispettivi interessati alcuni dati genetici resi pubblici a fini di ricerca[23].
Inoltre, così come è più labile il confine tra dato personale e non personale, anche la «distanza computazionale» che separa un dato personale comune da un dato appartenente alle categorie particolari di dati (ai sensi dell’art. 9 GDPR) è andata accorciandosi[24].
Di fronte all’impossibilità di azzerare il rischio di re-identificazione, la nozione giuridica di anonimizzazione introduce elementi di flessibilità rispetto a quella tecnica: si considerano, cioè, anonimizzati (e, dunque, non personali) i dati quando sia diventato ragionevolmente impossibile ricollegarli a persone fisiche[25].
Il «test di ragionevolezza» si fonda su una serie di parametri oggettivi, tra i quali, il costo della re-identificazione (in termini economici e di tempo) e il valore dei dati in oggetto (a sua volta dipendente, ad esempio, dalla loro rarità, natura, volume), ma anche soggettivi (come le caratteristiche del potenziale terzo intruso, quali la disponibilità di risorse, l’accesso ad altre banche dati, etc.).
Nel valutare la probabilità che i mezzi di re-identificazione della persona siano effettivamente utilizzati, il considerando 26 GDPR[26] chiede di tenere in considerazione sia le «tecnologie disponibili al momento del trattamento» sia, con una valutazione prospettica, gli «sviluppi tecnologici»: anche l’anonimizzazione diventa, dunque, un concetto storicamente condizionato, rendendo relativo e dinamico il concetto di dato personale.
Resta la domanda se il tentativo di evitare (o ritardare) l’obsolescenza della definizione di dato personale, agganciandola all’evoluzione tecnologica, sia di per sé sufficiente a garantire l’equilibrio tra la riservatezza e i molteplici altri diritti e interessi di rilievo costituzionale che con essa possano confliggere.
Decisioni automatizzate: art. 22 GDPR davanti all’intelligenza artificiale
L’articolo 22 GDPR è sicuramente una delle disposizioni del Regolamento più innovative per il periodo in cui è stata redatta.
Esso, come noto, disciplina i processi decisionali automatizzati, ponendo, al primo comma, un generale divieto di sottoporre gli interessati a un trattamento unicamente automatizzato, compresa la profilazione[27], quando questo produca «effetti giuridici» (ad esempio, il rifiuto di un permesso di soggiorno o della cittadinanza, la negazione di prestazioni previdenziali, l’annullamento di un contratto) o «incida in modo analogo significativamente» sulla persona (ad esempio, influenzando l’ammissibilità al credito, negandole opportunità di impiego o l’accesso all’università)[28].
Al secondo comma, contiene ben tre eccezioni al divieto, di un’ampiezza tale da svuotarlo largamente della sua portata garantista[29].
Nei casi in cui sia ammessa la decisione unicamente automatizzata, l’interessato ha diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Egli ha altresì diritto, non solo di sapere dell’esistenza del processo automatizzato, ma di ottenere anche, nell’ambito della consueta informativa e in caso di esercizio del diritto di accesso ai dati, informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze di tale trattamento[30].
Ora, poiché i sistemi di intelligenza artificiale eseguono trattamenti automatizzati di dati (anche) personali, che in molti casi si traducono in profilazione e/o decisioni automatizzate, si può certamente affermare che l’art. 22 costituisca il primo nucleo di garanzie della persona rispetto ai sistemi di IA.
Tale tutela è, tuttavia, parziale, per almeno tre ordini di ragioni.
In primo luogo, l’ambito di applicazione è, per un verso, più ampio, e, per un altro verso, più ristretto, atteso che il concetto di «processo decisionale automatizzato» non coincide con quello di «sistema di IA»: ben possono configurarsi, da un lato, decisioni automatizzate che non si basano su algoritmi propriamente rientranti nelle tecniche di intelligenza artificiale (è il caso dell’algoritmo per l’assegnazione delle sedi di lavoro agli insegnanti della scuola pubblica, oggetto delle pronunce del Consiglio di Stato delle quali si tratterà nel prosieguo) e, dall’altro lato, sistemi di IA che non comportano alcuna decisione che produca effetti giuridici o incida in modo analogo significativamente sull’interessato (si pensi a un robot ad uso industriale, o a generatori di testo e di immagini[31]).
In secondo luogo, le sopra menzionate garanzie di trasparenza poste dal GDPR (fornire al soggetto interessato informazioni significative sulla logica utilizzata, così da permettergli, eventualmente, di esercitare il diritto di contestare la decisione ed esprimere la propria opinione) presentano alcuni limiti testuali, che si è cercato di superare in via interpretativa, dando luogo a un vivace dibattito dottrinale sull’esistenza, l’ambito di applicazione e il contenuto di un “diritto alla spiegazione” della decisione automatizzata[32].
Il dibattito verte, innanzitutto, sulla riferibilità di tali garanzie a tutti i trattamenti automatizzati o solamente a quelli unicamente automatizzati (che escludano, cioè, ogni coinvolgimento umano).
Secondo una lettura restrittiva del combinato disposto degli artt. 13, co. 2, lett. f), 14, co. 2, lett. g) e 15, co. 1, lett. h) e del comma 1 e dell’art. 22 GDPR, la previsione di un coinvolgimento umano, anche minimo, escluderebbe l’applicabilità delle tutele.
Non manca, tuttavia, chi ha suggerito di estenderle ad ogni decisione automatizzata, ancorché sottoposta a revisione umana, attraverso una lettura ampliativa fondata sul considerando 71 o direttamente sugli artt. 13 e 14.
Da parte sua, il Gruppo di lavoro articolo 29, nelle Linee guida sulla profilazione, ha, da un lato, confermato il diverso regime di trasparenza per le decisioni fondate su trattamenti unicamente automatizzati rispetto agli altri casi, nei quali fornire informazioni significative sulla logica utilizzata non costituisce un obbligo, bensì una «buona prassi»[33].
Dall’altro lato, riconoscendo il rischio di coinvolgimenti umani fittizi per aggirare gli obblighi di trasparenza rafforzati, ha richiesto che il contributo umano sia «significativo e non costituisca un semplice gesto simbolico» e che sia effettuato «da una persona che dispone dell’autorità e della competenza per modificare la decisione».
Il problema si sposta dunque sulla determinazione del quantum di coinvolgimento umano che escluda l’applicazione delle maggiori tutele.
Altra questione controversa riguarda il contenuto dell’obbligo informativo: se, cioè, il GDPR a) fondi un diritto alla spiegazione della singola decisione imponendo al titolare, ad esempio, di fornire un quadro chiaro di come i dati in ingresso si relazionino alle predizioni.
Oppure, b) stabilisca un (più limitato) diritto a ricevere informazioni ex ante sul funzionamento del sistema e sull’importanza e le conseguenze del trattamento, ma non un diritto ad una spiegazione ex post della singola decisione[34].
O, ancora, c) ponga, al di là di quella che si riduce, agli occhi di alcuni, ad una diatriba sul nomen (diritto alla spiegazione o ad essere informati), un diritto il cui contenuto è circoscritto dalla sua natura strumentale all’esercizio del diritto di contestare la decisione (pertanto tutte e solo le informazioni necessarie a tale scopo saranno oggetto dell’obbligo informativo)[35].
Infine, d) ponga al centro il soggetto e la sua capacità di comprensione, richiedendo al titolare di rendere intelligibile[36] (cioè, a un tempo, conoscibile e comprensibile), il processo decisionale automatizzato.
In terzo e ultimo luogo, le medesime garanzie di trasparenza si scontrano con un dato fattuale, di natura tecnica, ineluttabile: come ricostruire la logica di una decisione se l’algoritmo che l’ha assunta o suggerita consiste in una “scatola nera”?
Se, infatti, neppure lo sviluppatore del sistema è in grado di comprendere la ratio sottostante ai risultati generati, tanto meno, si osserva, potrà farlo il soggetto (lo Stato, l’istituto di credito, etc.) che impiega l’algoritmo per assumere la decisione.
Se, per le ragioni sopra esposte, l’art. 22 non pare offrire garanzie sufficienti a rispondere a tutte le sfide poste dai sistemi intelligenti, si deve tuttavia riconoscere che le disposizioni sulle decisioni automatizzate e i relativi obblighi informativi hanno costituito terreno fertile per interpretazioni ampliative da parte della giurisprudenza, delle Autorità di controllo e della dottrina.
In particolare, nell’ambito di strumenti a supporto o in sostituzione di provvedimenti amministrativi, la tutela accordata dalla giurisprudenza ha finito per eccedere i confini “naturali” della tutela della riservatezza e della protezione dei dati in senso stretto, per ricollegarsi ad altre garanzie di rango sovranazionale (come il diritto a una “buona amministrazione”, di cui all’art. 42 CDFUE) e costituzionale (il principio di buon andamento e imparzialità di cui all’art. 97 Cost. e corollari, come il principio di trasparenza e l’obbligo di motivazione dei provvedimenti, che si ricollegano anche al diritto di difesa in giudizio di cui all’art. 24 Cost.).
Così argomentando, il Consiglio di Stato[37] è giunto a enucleare i tre principi che emergono «in termini generali dal diritto sovranazionale»[38] con riferimento al rapporto tra potere amministrativo e mezzi informatici, principi che tentano di dare risposta ai tre problemi, rispettivamente, dell’opacità, dell’autonomia umana e dei bias, richiamati alla fine del § 2: i) il principio di conoscibilità (dell’esistenza di processi decisionali automatizzati da parte del destinatario), che si completa con il principio di comprensibilità (che fonda il diritto a ricevere informazioni significative sulla logica utilizzata, corredate di necessità di spiegazioni che traducano la «formula tecnica» nella «regola giuridica» ad essa sottesa).
ii) il principio di non esclusività della decisione algoritmica, in base al quale deve esistere all’interno del processo decisionale un contributo umano in grado di controllare, validare ovvero smentire la decisione, secondo il paradigma c.d. human in the loop (la portata di tale principio non è, tuttavia, pacifica[39]).
iii) il principio di non discriminazione algoritmica, in base al quale devono essere messe in atto misure adeguate a prevenire il rischio di errori della macchina: in particolare devono essere modificati i dati in ingresso, sì da evitare che i risultati proposti dall’algoritmo siano distorti[40].
Tali principi sono stati richiamati, in alcune occasioni, anche dal Garante per la protezione dei dati[41], la cui “giurisprudenza” era stata, del resto, anticipatrice delle tutele introdotte con l’art. 22[42].
La letteratura giuspubblicistica, infine, ha spesso ripreso tali principi all’interno della sempre più ampia riflessione sui sistemi intelligenti.
Benché il punto di partenza di tale riflessione sia sempre la necessità di lasciare orientare l’IA dal diritto costituzionale[43], i punti di arrivo dei singoli autori e “scuole” sono diversificati.
Alcuni, ad esempio, hanno enucleato “nuovi diritti” di rilievo sostanzialmente costituzionale (come il diritto alla spiegazione, il diritto ad essere resi consapevoli della natura umana o artificiale dell’interlocutore, il diritto alla non esclusività della decisione algoritmica)[44] o “nuovi principi” (come il principio di sorveglianza umana)[45].
Altri hanno suggerito di applicare analogicamente principi tratti da ambiti differenti (come il principio di precauzione, sorto in materia ambientale[46]).
Altri ancora hanno adottato approcci “settoriali”, che individuano le sfide peculiari poste dalle caratteristiche dei sistemi di IA nei singoli contesti: si pensi ai riflessi dei sistemi di supporto alla decisione giudiziaria sulla discrezionalità del giudice e sul principio di non vincolatività del precedente[47].
O a sistemi di supporto alla diagnosi e alla scelta terapeutica che vengano a inserirsi nella relazione di cura, ponendo, tra le altre cose, il problema di garantire il principio del consenso informato ai trattamenti sanitari[48].
O ai sistemi di sorveglianza biometrica, laddove è evidente che la riservatezza, in quella particolare declinazione che è l’anonimato in luogo pubblico, mostra un carattere di strumentalità all’esercizio del diritto di manifestazione del pensiero e del diritto di riunione[49].
In sintesi, l’art. 22 GDPR, pur con tutti i limiti che derivano dall’estensione delle eccezioni al divieto di trattamenti unicamente automatizzati, dalle ristrettezze dell’ambito oggettivo di tutela e dalla difficoltà sia di interpretazione estensiva sia di applicazione pratica dei requisiti di trasparenza, rappresenta un vero e proprio ponte fra la disciplina dei dati personali e le risposte normative che legislatori, giurisprudenza e dottrina stanno cercando di dare alle problematiche poste dai sistemi di IA.
Bias e non discriminazione tra GDPR, Big Data e intelligenza artificiale e AI Act
Discorrendo dei limiti dell’art. 22, si è già potuta osservare l’insufficienza della tutela apprestata con riguardo all’esigenza che siano adottate, durante la fase di addestramento degli algoritmi di IA, misure tali da mitigare le distorsioni dei sistemi (alle quali ci si riferisce comunemente con il termine inglese “bias”) che possano provocare errori nei risultati e discriminazioni[50].
L’accuratezza e non discriminatorietà di un sistema di IA è soggetta al principio “garbage in-garbage out” (c.d. GIGO): esse dipendono, cioè, in larga parte, dalla quantità e qualità dei dati di addestramento, che devono essere, tra le altre cose, sufficientemente rappresentativi, per evitare il fenomeno, molto frequente, per cui il sistema funziona bene con i dati utilizzati in fase di sviluppo, ma presenta un basso rendimento in contesti reali[51].
Nel riprodurre correlazioni esistenti tra i dati di ingresso, inoltre, i sistemi possono perpetrare o esacerbare discriminazioni esistenti, specie quando i risultati forniti dall’algoritmo sono utilizzati per prendere decisioni che riguardano persone fisiche[52].
È dunque necessario condurre analisi approfondite sugli algoritmi per verificarne la non discriminatorietà ed eventualmente procedere a correzioni.
Tali operazioni comportano una serie di rischi: in molti casi, infatti, non basta escludere le informazioni sull’appartenenza a categorie protette per evitare che gli algoritmi producano risultati discriminatori, occorrendo bensì procedere a correggere “attivamente” l’algoritmo, trattando, a tal fine, dati sensibili[53].
Di fronte a tale scenario, alcuni hanno cercato di fondare la liceità o addirittura l’obbligatorietà dei trattamenti finalizzati a individuare e correggere le distorsioni sul testo del GDPR.
In particolare, si è prospettata una lettura del principio di esattezza dei dati e del principio di correttezza del trattamento alla luce del considerando 71[54], il quale esplicitamente prevede «al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato» che sia «opportuno» che il titolare del trattamento: a) metta in atto «misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori».
b) impedisca «effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale».
Con analoghi risultati, si è sostenuta la necessità che la valutazione del rischio secondo l’approccio della protezione dei dati fin dalla progettazione (privacy by design) prenda in considerazione anche i potenziali effetti discriminatori.
In altre parole, i trattamenti antidiscriminazione farebbero parte di quelle «misure tecniche e organizzative adeguate» volte a «tutelare i diritti degli interessati»[55] che il titolare è obbligato a porre in essere ex art. 25 GDPR[56].
Sarebbe, dunque, proprio l’art. 25 il «ponte gettato verso il futuro», poiché imporrebbe di «inserire, nei programmi e negli algoritmi che costituiscono il linguaggio della macchina, dei principi etici che aiutino le macchine stesse a decidere»[57].
Trattare l’art. 25 come una sorta di clausola generale ha il sicuro vantaggio di rendere la disciplina più flessibile e meno esposta al rischio di obsolescenza.
Ne risente, tuttavia, la certezza e l’uniforme applicazione del diritto, essendo sostanzialmente demandata all’interprete ‒ cioè, ai titolari stessi[58], prima, ed, eventualmente, alle autorità di controllo e giurisdizionali, poi ‒ l’individuazione degli specifici obblighi ai quali il titolare è tenuto per assicurare l’adesione al principio di privacy by design.
In assenza di un’interpretazione evolutiva, condivisa e costante nel senso sopra richiamato delle lacunose disposizioni del GDPR, la normativa sulla protezione dei dati personali sembra insufficiente a rispondere alle esigenze di contemperamento tra le istanze della riservatezza e quelle della non discriminazione.
Il Garante sul punto si è mostrato prudente e non ha fornito, per il momento, indicazioni specifiche sui trattamenti a fini antidiscriminatori, pur richiamando, come già accennato, gli approdi della giurisprudenza del Consiglio di Stato sul principio di non discriminazione algoritmica[59].
Il problema della prevenzione del bias può leggersi come contemperamento tra il principio di minimizzazione, secondo il quale i dati personali trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità, e il principio di non discriminazione, principio generale dell’Unione al quale la Corte di Giustizia ha accordato efficacia diretta anche nei rapporti orizzontali[60], che impone di svolgere ogni operazione necessaria al fine di scongiurare il rischio di discriminazione.
Conferme di questa tensione e un tentativo di risoluzione, con l’imposizione di obblighi più specifici agli sviluppatori e l’esplicitazione di una deroga al divieto di trattamento di dati sensibili ex art. 9 GDPR, è stata raccolta dal legislatore dell’Unione con il Regolamento sull’IA.
In particolare, l’art. 10 impone agli sviluppatori di valutare se i propri sistemi di IA ad alto rischio presentano distorsioni che possano avere un impatto negativo sui diritti fondamentali o comportare discriminazioni e di adottare le misure volte a prevenirle e attenuarle (par. 2, lett. f) e g)).
Qualora, poi, sia strettamente necessario per rilevare e rimuovere le distorsioni e ricorrano tutte le condizioni di cui alle lett. a-f) del par. 5, i fornitori possono eccezionalmente trattare anche categorie particolari di dati personali ex art. 9 GDPR, fatta salva l’adozione di tutele adeguate per i diritti e le libertà fondamentali.
Tra le condizioni che devono essere soddisfatte vi è la circostanza che il rilevamento e rimozione non possano essere efficacemente realizzati tramite dati sintetici o anonimizzati.
Semplificando, la normativa sembra suggerire che nel bilanciamento tra minimizzazione e non discriminazione prevale la seconda (dunque i bias devono sempre essere individuati ed eliminati), ma nella scelta delle tecniche per effettuare tali operazioni si deve optare per quelle meno invadenti possibile dal lato della riservatezza.
Il legislatore europeo non ha dunque confidato negli spazi interpretativi lasciati dal GDPR per fondare la liceità e, ancor più, l’obbligatorietà dell’adozione di misure antidiscriminazione che implicano il trattamento di dati personali comuni e sensibili, preferendo adottare ulteriori e specifiche disposizioni.
Si è trattato di un passaggio importante nella ricerca del punto di equilibrio tra minimizzazione e non discriminazione, nel tentativo di coordinare e integrare GDPR e Regolamento sull’IA.
Tentativo, peraltro, secondo alcuni, fallito o, al limite, rimasto incompiuto, auspicandosi ulteriori chiarificazioni da parte della Commissione e del Comitato per la protezione dei dati[61].
Una conclusione: tra obsolescenza e lungimiranza, il ruolo del giurista
L’analisi condotta conferma l’ipotesi iniziale di questo contributo: alcuni dei nodi normativi del GDPR maggiormente esposti all’evoluzione tecnologica – che si tratti delle fondamenta stesse della disciplina in oggetto (come il concetto di dato personale), o di tentativi di tutela integrale dell’“umano” rispetto ai rischi dell’automazione (le garanzie che circondano le decisioni automatizzate), o, ancora, di aspetti che impongono una visione sistemica degli ordinamenti eurounitario e nazionale (la base giuridica per i trattamenti di dati in funzione anti-discriminazione algoritmica) – oscillano tra obsolescenza e lungimiranza.
E, con essi, oscilla anche il ruolo del giurista, chiamato, in un primo momento, a individuare le soluzioni ermeneutiche che permettano alla normativa di rispondere in modo efficace alle sfide dell’evoluzione tecnologica e, solo in un secondo momento, a valutare interventi legislativi mirati per colmare le lacune residue o attenuarne le rigidità.
Bibliografia
Beck U., The Metamorfosis of the World, Cambridge, Polity Press, 2016, tr. it. di Marco Cupellaro, La metamorfosi del mondo, Bari, Editori Laterza, 2017.
Burrel J., How the machine ‘thinks’: Understanding the opacity in machine learning algorithms, in Big Data & Society, 2016.
Califano L., Il Regolamento UE 2016/679 e la costruzione di un modello uniforma di diritto europeo alla riservatezza e alla protezione dati personali, in ead, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, Editoriale Scientifica, 2017.
Calzolaio S., Vulnerabilità della società digitale e ordinamento costituzionale dei dati, in Rivista italiana di informatica e diritto, n. 2/2023.
Caravita di Toritto B., Principi costituzionali e intelligenza artificiale, in U. Ruffolo (a cura di), Intelligenza artificiale, Il diritto, i diritti, l’etica, Milano, Giuffré, 2020.
Casonato C., Costituzione e intelligenza artificiale: un’agenda per il prossimo futuro, in BioLaw Journal, Fascicolo Speciale n. 2/2019.
Cerrina Feroni G., Intelligenza artificiale e ruolo della protezione dei dati personali. L’analisi di Ginevra Cerrina Feroni, reperibile sul sito del Garante (doc. web. 9855742).
D’Acquisto G., Naldi M., Big Data e privacy by design: anonimizzazione, pseudonimizzazione, sicurezza, Torino, Giappichelli, 2017.
D’Aloia A., Il diritto verso “il mondo nuovo”. Le sfide dell’Intelligenza Artificiale, in BioLaw Journal, n. 1/2019.
De Luca S., Federico M., Algorithmic discrimination under the AI Act and the GDPR, European Parliamentary Research Office, febbraio 2025.
Ducato R., La crisi della definizione di dato personale nell’era del web 3.0. Una lettura civilistica in chiave comparata, in F. Cortese, M Tomasi (a cura di), Le definizioni nel diritto, Atti delle giornate di studio 30-31 ottobre 2015, Università degli Studi di Trento, 2016.
Faro S., Lettieri N., Big Data: una lettura informatico-giuridica, in AA.Vv. (a cura di), Scritti per Luigi Lombardi Vallauri, Padova, Cedam, 2016.
Fasan M., I principi costituzionali nella disciplina dell’Intelligenza Artificiale. Nuove prospettive interpretative, in BioLaw Journal, 1/2022.
Ferrara R., Il giudice amministrativo e gli algoritmi. Note estemporanee a margine di un recente dibattito giurisprudenziale, in Dir. amm., n. 4/2019.
Floridi L., The Logic of Information. A Theory of Philosophy as Conceptual Design, Oxford, Oxford University Press, 2019, tr. it. di Massimo Durante, Pensare l’infosfera. La filosofia come design concettuale, Milano, Raffaello Cortina Editore, 2020.
Goodman B., Flaxman S., European Union Regulations on Algorithmic Decision Making and a “Right to Explanation”, in AI Magazine, n. 3/2017.
Luciani M., La decisione giudiziaria robotica, in Rivista AIC, n. 3/2018.
Malgieri G., Comandé G., Sensitive-by-distance: quasi-health data in the algorithmic era, in Information & Communications Technology Law, n. 3/2017.
Malgieri G., Comandé G., Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, in International Data Privacy Law, n. 4/217, 253 e passim.
Mauro T., I Big Data tra protezione dei dati personali e diritto della concorrenza, in R. Panetta (a cura di) Circolazione e protezione dei dati personali, tra libertà e regole del mercato, Milano, Giuffrè, 2019.
Mayer J., Mutchler P., Mitchell J. C., Evaluating the privacy properties of telephone metadata, in PNAS, n. 20/2016.
Mobilio G., Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative, Napoli, Editoriale Scientifica.
Morana D., Balduzzi T., Morganti F., La salute “intelligente”: eHealth, consenso informato e principio di non-discriminazione, in federalismi.it, n. 34/2022.
Pasquale F., The Black Box society: The Secret Algorithms That Control Money and Information, Cambridge, Harvard University Press, 2015.
Pizzetti F. (a cura di), La regolazione europea della società digitale, Torino, Giappichelli, 2024.
Pizzetti F., GDPR, Codice novellato e Garante nell’epoca dei Big Data e della Intelligenza Artificiale, in id (a cura di), Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, Giappichelli, 2021.
Pizzetti F., La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in Id, Intelligenza Artificiale, protezione dei dati personali e regolazione, Torino, Giappichelli, 2018.
Rinaldi L., Intelligenza artificiale, diritti e doveri nella Costituzione italiana, in BioLaw Journal, n. 1/2022.
Scaffardi L., La medicina alla prova dell’Intelligenza Artificiale, in DPCE online, n. 1/2022.
Selbst A. D., Powles J., Meaningful information and the right to explanation, in International Data Privacy Law, n. 4/2017.
Simoncini A., L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal, n. 1/2019.
Simoncini A., Suweis S., Il cambio di paradigma nell’intelligenza artificiale e il suo impatto sul diritto costituzionale, in Rivista di filosofia del diritto, n. 1/2019.
Traverso P., Breve introduzione tecnica all’Intelligenza Artificiale, in DPCE online, n. 1/2022.
Wachter S., Mittelstadt B., Floridi L., Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, in International Data Privacy Law, n. 2/2017.
Xu e al., Explainable AI: a brief surevy on history, research areas, approaches and challenges, in Tang J. e al. (a cura di), Natural Language Processing and Chinese Computing, Cham, Springer, 2019.
[†] Si segnala che è in corso di pubblicazione nel volume a cura di G. Serges, dal titolo “Diritto pubblico della riservatezza”, edito da Giappichelli, una editio maior del presente contributo, cui sia consentito un rinvio generale, per approfondimenti e ulteriore bibliografia.
[3] S. Calzolaio, Vulnerabilità della società digitale e ordinamento costituzionale dei dati, in Rivista italiana di informatica e diritto, n. 2/2023, 19.
[4] A. Simoncini, S. Suweis, Il cambio di paradigma nell’intelligenza artificiale e il suo impatto sul diritto costituzionale, in Rivista di filosofia del diritto, n. 1/2019, 87 ss.
[5] U. Beck, The Metamorfosis of the World, Cambridge, Polity Press, 2016, tr. it. di Marco Cupellaro, La metamorfosi del mondo, Bari, Editori Laterza, 2017, 41.
[6] Sul tema v. Atti del Convegno finale del Progetto PRIN 2017 Self- and Co-regulation for Emerging Technologies: Towards a Technological Rule of Law (SE.CO.R.E. TECH.), Firenze 8-9 febbraio 2024, in Osservatorio sulle fonti, Speciale n. 1/2024.
[7] Cioè, nelle parole di L. Floridi, quell’ «ambiente globale, costituito in ultima istanza da informazioni» nel quale siamo immersi: L. Floridi, The Logic of Information. A Theory of Philosophy as Conceptual Design, Oxford, Oxford University Press, 2019, tr. it. di Massimo Durante, Pensare l’infosfera. La filosofia come design concettuale, Milano, Raffaello Cortina Editore, 2020, 13.
[8] Si possono prendere ad esempio due documenti del Gruppo di lavoro art. 29 – organo consultivo che riuniva le autorità nazionali di vigilanza e protezione dei dati, poi sostituito dal Comitato europeo per la protezione dei dati con l’entrata in vigore del GDPR – nei quali è significativo che le parole Big Data e IA non compaiano affatto: il contributo congiunto assieme al Gruppo di lavoro su polizia e giustizia intitolato The Future of Privacy, 1° dicembre 2009 e il parere recante «further input on the data protection reform discussions», 5 ottobre 2012, n. 8. Il silenzio sarebbe stato rotto dal Garante europeo dei dati personali, con il parere del 16 marzo 2014, Privacy and competitivness in the age of big data. In ogni caso, hanno tardato a venire a galla alcuni risvolti particolarmente problematici, come il rischio di distorsioni e discriminazioni, appena menzionato nel parere del Garante europeo 11 settembre 2015, n. 4, Towards a new digital ethics Data, dignity and technology, e del tutto assente, ad esempio, in un successivo parere del 23 settembre 2016, n. 8, in tema di «coherent enforcement of fundamental rights in the age of big data». Su questi profili, v. F. Pizzetti, GDPR, Codice novellato e Garante nell’epoca dei Big Data e della Intelligenza Artificiale, in id (a cura di), Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, Giappichelli, 2021, 233 ss.
[9] Tra gli interventi legislativi che hanno segnato il cambio di passo si ricordano il Data Governance Act, il Data Act, il Digital Market Act, il Digital Services Act e il Regolamento europeo sull’intelligenza artificiale. Per uno sguardo d’insieme e a ciascuna di queste discipline, cfr. F. Pizzetti (a cura di), La regolazione europea della società digitale, Torino, Giappichelli, 2024.
[10] L’oggetto di studio sono, infatti, le norme che disciplinano le nuove tecnologie, mentre l’oggetto di secondo grado sono le tecnologie stesse.
[11] V., ex multis, S. Faro, N. Lettieri, Big Data: una lettura informatico-giuridica, in AA.Vv. (a cura di), Scritti per Luigi Lombardi Vallauri, Padova, Cedam, 2016, I, 503.Va subito precisato che i Big Data non consistono necessariamente in dati personali, benché sia altamente probabile che almeno una parte di questi enormi set di dati riguardino persone fisiche identificate o identificabili ai sensi dell’art. 4, n. 1, GDPR. Se si accede a quella impostazione che distingue i concetti di dato e di informazione, i Big Data consistono in (grandi quantità di) dati, cioè rappresentazioni digitali di fatti e atti, dai quali è possibile trarre sia informazioni che riguardano persone fisiche, identificate o identificabili (cioè, dati personali nel senso del GDPR) sia informazioni non riguardanti persone fisiche (cioè, dati non personali). S. Calzolaio, op. cit., 22.
[12] Cfr., ad esempio, T. Mauro, I Big Data tra protezione dei dati personali e diritto della concorrenza, in R. Panetta (a cura di) Circolazione e protezione dei dati personali, tra libertà e regole del mercato, Milano, Giuffrè, 2019, 652 s.
[13] Basti pensare che gli elettrocardiografi interpretativi furono accolti tra gli anni Settanta e Novanta come una delle conquiste dell’intelligenza artificiale in ambito medico; oggi queste tecnologie non sono certo ricomprese fra le tecniche di IA.
[14] Semplificando, si possono identificare tre posizioni, appresso sinteticamente riportate. Alcuni sottolineano la lunga tradizione filosofica, culturale e anche tecnologica dell’IA (dalle opere precorritrici di Alan Turing negli anni ’40 al workshop al Dartmouth College del 1956). Altri identificano alcune particolari tecniche come iniziatrici dell’era della vera e propria IA, segnatamente quella particolare tipologia dell’apprendimento autonomo (machine learning), conosciuta come apprendimento profondo (deep learning): lo spartiacque sarebbe dunque nei primi anni 2000 o intorno al 2012, assurto ad anno-simbolo nella storia del deep learning per la vittoria della competizione ImageNet da parte della rete neurale convoluzionale AlexNet, sviluppata da un gruppo di ricerca coordinato da Geoffrey Hinton (considerato l’ideatore della backpropagation). Altri ancora, infine – sullo sfondo della riflessione filosofica sul concetto di “intelligenza” e degli studi psicologici attorno alla tensione antropomorfizzante –, sostengono che neppure le tecniche più avanzate e che danno la parvenza di essere senzienti, come l’IA generativa, siano veramente “intelligenti” (e neppure propriamente “artificiali”, come ricorda il titolo della traduzione italiana – “Né intelligente, né artificiale” –, edita nel 2021 da Il Mulino, del volume di Kate Crawford, Atlas of AI: Power, Politics, and the Planetary Costs of Artificial Intelligence, Yale, Yale University Press, 2021).
[15] Regolamento (UE) 2024/1689 (Regolamento sull’intelligenza artificiale, più noto come Ai Act).
[16] Sulla differenza tra il concetto di algoritmo, che si riferisce a qualsiasi sequenza di istruzioni che genera un determinato risultato, e il concetto di intelligenza artificiale, si è espressa anche la giurisprudenza del Consiglio di Stato (v., ad es., Cons. St., sent. 25 novembre 2021, n. 7891).
[17] Cfr. P. Traverso, Breve introduzione tecnica all’Intelligenza Artificiale, in DPCE online, n. 1/2022, 155 ss.
[18] Per distinguerla dagli altri due tipi di “scatola nera” osservabili con riferimento agli algoritmi di IA: quella “intenzionale” (dovuta alla secretazione del codice sorgente da parte di enti pubblici e privati secondo la disciplina del segreto commerciale o di stato) e quella “soggettiva” (dovuta alle conoscenze tecniche del soggetto medio, al quale risultano “opachi” sistemi che per i programmatori sono del tutto o in buona misura intellegibili). La tripartizione è di J. Burrel, How the machine ‘thinks’: Understanding the opacity in machine learning algorithms, in Big Data & Society, 2016, 3 ss. Il contributo più famoso sul problema della “scatola nera” algoritmica si deve, però, a F. Pasquale, The Black Box society: The Secret Algorithms That Control Money and Information, Cambridge, Harvard University Press, 2015.
[19] Si segnala, a tal proposito, il filone di ricerca sulle intelligenze artificiali “spiegabili” (Explainable Ai). Sembra tuttavia esistere un ineliminabile tradeoff tra spiegabilità e accuratezza dei sistemi, in base al quale quanto più un modello è semplice tanto più è facile da spiegare, ma presenta una resa più bassa, mentre per ottenere sistemi ad alte prestazioni occorre accettarne la complessità e, quindi, l’opacità. Sul punto, ad es., Xu e al., Explainable AI: a brief surevy on history, research areas, approaches and challenges, in J. Tang e al. (a cura di), Natural Language Processing and Chinese Computing, Cham, Springer, 2019, 565.
[20] Il fenomeno è anche conosciuto come “distorsione dell’automazione” (automation bias).
[21] Sul tema, cfr. F. Pizzetti, GDPR e codice novellato, cit., 242.
[22] Per comprendere questo punto è utile la comparazione con la disciplina statunitense: la nozione di Personally Identifiable Information, attorno alla quale ruota la (frastagliata) disciplina statunitense a tutela della riservatezza, prende in considerazione soltanto il dato ricollegabile ad un soggetto identificato e non anche potenzialmente identificabile. Per questo si suole affermare che ogni Personally Identifiable Information sia dato personale, ma non viceversa. Cfr. R. Ducato, La crisi della definizione di dato personale nell’era del web 3.0. Una lettura civilistica in chiave comparata, in F. Cortese, M Tomasi (a cura di), Le definizioni nel diritto, Atti delle giornate di studio 30-31 ottobre 2015, Università degli Studi di Trento, 2016, 160.
[23] Si fa riferimento, nel primo caso, allo scandalo Netflix del 2006, nel secondo caso, invece, all’esperimento di re-identificazione condotto nel 2013 da un gruppo di ricercatori del MIT sui dati genetici dei partecipanti al progetto “1000 Genome”. Cfr., ivi, 162. Il tema ha avuto eco anche nell’Indagine conoscitiva sui Big Data, avviata nel 2017 e conclusasi nel 2020 dall’Autorità garante della concorrenza e del mercato, dall’Autorità per le garanzie nelle comunicazioni e dal Garante per la protezione dei dati personali.
[24] Tale distanza dipende da fattori oggettivi (tecnologie disponibili) e soggettivi (risorse economiche umane di cui un particolare soggetto potrebbe disporre per procedere alla re-identificazione), cfr. G. Malgieri, G. Comandé, Sensitive-by-distance: quasi-health data in the algorithmic era, in Information & Communications Technology Law, n. 3/2017, 229 ss. Uno studio di ricercatori di Stanford, ad esempio, ha dimostrato che è possibile inferire con sorprendente precisione lo stato di salute di una persona analizzando i metadati relativi alle conversazioni telefoniche (numeri digitati, durata della telefonata, etc.). Cfr. J. Mayer, P. Mutchler, J. C. Mitchell, Evaluating the privacy properties of telephone metadata, in PNAS, n. 20/2016, 5536 ss.
[25] Più precisamente, il processo di anonimizzazione è tale quando impedisce a chiunque impieghi quell’insieme di dati anonimizzati, in combinazione con tutti i mezzi di cui può ragionevolmente disporre, di: 1) isolare una persona da un gruppo, 2) collegare un dato anonimizzato a dati personali contenuti in un altro insieme o 3) dedurre nuove informazioni su una persona a partire dal dato anonimizzato. Cfr. G. D’Acquisto, M. Naldi, Big Data e privacy by design: anonimizzazione, pseudonimizzazione, sicurezza, Torino, Giappichelli, 2017, 34.
[26] Il contenuto del considerando riprende un parere del Gruppo di lavoro articolo 29 sulle tecniche di anonimizzazione (parere n. 5/2014). Si segnala che il Comitato europeo per la protezione ha di recente espressamente richiamato i criteri per effettuare il «test di ragionevolezza» nel parere sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto della pandemia da Covid-19 (parere n. 4/2020).
[27] Le Linee guida del Gruppo di lavoro art. 29 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, 3 ottobre 2017, spec. 8 s., chiariscono i rapporti tra le due nozioni: da un lato, la profilazione (cioè, a mente dell’art. 4, n. 4 GDPR, «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica») può non condurre ad alcuna decisione automatizzata (se rimane, ad esempio, uno strumento di valutazione del posizionamento strategico dell’azienda sul mercato); viceversa, una decisione automatizzata non per forza segue a un’attività di profilazione (si pensi a una multa irrogata a seguito delle rilevazioni di un autovelox).
[28] Gli esempi si ispirano al considerando 71 GDPR e alle sopra citate Linee guida, 24.
[29] Il trattamento unicamente automatizzato è comunque lecito: a) se è stato ottenuto il consenso (libero, informato ed esplicito) dell’interessato; b) se è autorizzato dal diritto dell’Ue o degli Stati Membri; c) se è necessario per la conclusione di un contratto.
[30] Cfr. artt. 13, co. 2, lett. f), 14, co. 2, lett. g) e 15, co. 1, lett. h).
[31] Più complesso il discorso, ad esempio, in caso di robot chirurgici, per i quali potrebbero comunque prospettarsi interpretazioni ampliative della nozione di decisione che produca “effetti che incidono in modo analogo significativamente sull’interessato”. Nella giurisprudenza della Corte di giustizia dell’Unione europea, del resto, è rinvenibile qualche apertura in direzione di un’interpretazione estensiva di tale concetto: si pensi alla nota sentenza Schufa (Causa C-634/21, SCHUFA Holding (Scoring), 7 dicembre 2023) che vi ha incluso i sistemi di credit scoring, utilizzati per stimare la solvibilità di una persona attraverso il calcolo del tasso di probabilità che questa sia in grado di onorare impegni di pagamento in futuro.
[32] Il contributo che ha dato avvio al dibattito è: B. Goodman, S. Flaxman, European Union Regulations on Algorithmic Decision Making and a “Right to Explanation”, in AI Magazine, n. 3/2017, 50 ss.
[33] Pur restando fermo, anche in questo caso, l’obbligo per il titolare di fornire informazioni, espresse in forma chiara e semplice, sull’esistenza del trattamento automatizzato e sulle sue conseguenze. Cfr. Linee guida sulla profilazione (v. nt. 26), 28.
[34] S. Wachter, B. Mittelstadt, L. Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, in International Data Privacy Law, n. 2/2017, 92.
[35] L’accento sull’aspetto teleologico è posto da A. D. Selbst, J. Powles, Meaningful information and the right to explanation, in International Data Privacy Law, n. 4/2017, 233 ss.
[36] Trad. dell’a. per il termine inglese legibility, sul quale v. G. Malgieri, G. Comandé, Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, in International Data Privacy Law, n. 4/217, 253 e passim.
[37] Si v. la “storica” sent. Cons. St. n. 2270 del 2019 e le cd. tre sentenze gemelle Cons. St. Sez. VI nn. 8472, 8473, 8474 del 2019.
[38] Sono parole della sent. Cons. St., n. 8472/2019.
[39] A tale riguardo, si è registrata una diversità di vedute tra il Consiglio di Stato e i giudici di primo grado in ordine alla estensione del necessario apporto umano rispetto a quello algoritmico: secondo i giudici di primo grado alle procedure informatiche può essere attribuito solamente «un ruolo strumentale e meramente ausiliario in seno al procedimento amministrativo e giammai dominante o surrogatorio dell’attività dell’uomo»; il Consiglio di Stato, invece, si è limitato a vietare procedimenti amministrativi unicamente automatizzati, senza esigere una particolare incidenza dell’apporto umano rispetto alla decisione finale. Sulle divergenze e consonanze di questi filoni giurisprudenziali, v., per tutti, R. Ferrara, Il giudice amministrativo e gli algoritmi. Note estemporanee a margine di un recente dibattito giurisprudenziale, in Dir. amm., n. 4/2019, 773 ss.
[40] Il punto è esplicitato nel Regolamento solamente nel considerando 71, ma, come vedremo, può leggersi come declinazione del principio generale dell’Ue di non discriminazione.
[41] Che li ha ripresi esplicitamente in più occasioni (v. ad esempio, il Parere al Consiglio di Stato sulle nuove modalità di ripartizione del fondo sanitario tra le regioni proposte dal Ministero della salute e basate sulla stratificazione della popolazione, del 5 marzo 2020, e il punto 4 del Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, pubblicato nel settembre 2023).
[42] Sul punto si può leggere l’efficace sintesi di G. Cerrina Feroni, Intelligenza artificiale e ruolo della protezione dei dati personali. L’analisi di Ginevra Cerrina Feroni, reperibile sul sito del Garante (doc. web. 9855742).
[43] Non di rado inteso, in senso esplicito e non, come non ristretto all’ambito nazionale: un “costituzionalismo” inteso come «quel modello di tutela delle situazioni giuridiche soggettive, così come si è diffuso nelle culture dei paesi occidentali, ove ha trovato una sintesi nelle Carte dei diritti dell’uomo, e dal quale si va diffondendo in tutte le parti del globo terraqueo». B. Caravita di Toritto, Principi costituzionali e intelligenza artificiale, in U. Ruffolo (a cura di), Intelligenza artificiale, Il diritto, i diritti, l’etica, Milano, Giuffré, 2020, 461.
[44] V., ex multis, C. Casonato, Costituzione e intelligenza artificiale: un’agenda per il prossimo futuro, in BioLaw Journal, Fascicolo Speciale n. 2/2019, 711 ss.; L. Rinaldi, Intelligenza artificiale, diritti e doveri nella Costituzione italiana, in BioLaw Journal, n. 1/2022, 215 ss.
[45] M. Fasan, I principi costituzionali nella disciplina dell’Intelligenza Artificiale. Nuove prospettive interpretative, in BioLaw Journal, 1/2022, 181 ss.
[46] A. Simoncini, L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal, n. 1/2019, 86 ss. In senso solo parzialmente analogo, si è insistito sulla necessità che il diritto assuma «un’impronta intergenerazionale», che «senta il dovere di pensare al futuro», di «mantenere nel tempo le condizioni essenziali della convivenza umana»: A. D’Aloia, Il diritto verso “il mondo nuovo”. Le sfide dell’Intelligenza Artificiale, in BioLaw Journal, n. 1/2019, 30.
[47] V., per tutti, M. Luciani, La decisione giudiziaria robotica, in Rivista AIC, n. 3/2018, 872.
[48] L. Scaffardi, La medicina alla prova dell’Intelligenza Artificiale, in DPCE online, n. 1/2022, 349 ss.; D. Morana, T. Balduzzi, F. Morganti, La salute “intelligente”: eHealth, consenso informato e principio di non-discriminazione, in federalismi.it, n. 34/2022, 127 ss.
[49] Cfr. G. Mobilio, Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative, Napoli, Editoriale Scientifica, 2021, e, se si vuole, il commento all’art. 5 dell’Ai Act (in particolare le voci: I sistemi biometrici vietati (1): riconoscimento delle emozioni e categorizzazione biometrica; I sistemi biometrici vietati (2): identificazione biometrica remota “in tempo reale”; Allegato II; Allegato III), redatto da chi scrive per il Commentario all’Ai Act a cura di A. Mantelero, G. Resta e G. Riccio ed edito da WoltersKluwer, in corso di pubblicazione.
[50] Per comprendere la possibilità che si cumulino errori e discriminazioni, è utile l’oramai classico esempio del sistema per il riconoscimento del carcinoma alla pelle: da un lato, la presenza di bias nei set di dati di addestramento (perché, ad esempio, insufficientemente rappresentativi di soggetti dalla pelle scura) può determinare errori nella diagnosi; dall’altro, la maggiore frequenza di “falsi positivi” e “falsi negativi” con riferimento a certe etnie potrebbe costituire una forma di discriminazione: se il sistema fosse impiegato all’interno del Servizio sanitario nazionale, ben si potrebbe parlare di un vulnus al principio di equità dell’accesso alle cure.
[51] Si tratta del fenomeno del c.d. “overfitting”.
[52] A prescindere che il procedimento possa essere ricondotto nell’alveo delle decisioni automatizzate ex art. 22, per le quali, come detto, occorre, tra l’altro, verificare la decisione produca effetti giuridici o che incidono in modo analogo significativamente sulla persona.
[53] Lo sottolineava già l’Agenzia dell’Unione europea per i diritti fondamentali (FRA) nel Focus #BigData: Discrimination in data-supported decision making, pubblicato il 29 maggio 2018, 8.
[54] Sul valore non precettivo dei considerando cfr. la Guida pratica comune del Parlamento europeo, del Consiglio e della Commissione per la redazione dei testi legislativi dell’Unione europea, 2015, 31 s.
[55] È quindi evidente che la nozione di “interessato”, in questa prospettiva, deve essere interpretata estensivamente, sì da ricomprendere non solo le persone già interessate o coloro che il titolare sa che diventeranno interessate, bensì tutti coloro i cui dati potranno essere sottoposti al trattamento da parte dell’algoritmo che il titolare (nell’esempio, lo sviluppatore del software) sta elaborando. Cfr. F. Pizzetti, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in Id, Intelligenza Artificiale, protezione dei dati personali e regolazione, Torino, Giappichelli, 2018, 127.
[56] Sul punto convergono la posizione delle istituzioni dell’Unione europea (espressa, ad esempio, dal FRA, v. nt. 51) e quella del Consiglio d’Europa (v. le Linee guida sulla protezione degli individui con riferimento al trattamento dei dati personali nel mondo dei Big Data, del 23 gennaio 2017).
[57] Ivi, 129.
[58] Titolari che, in virtù del principio di responsabilizzazione, sono chiamati non semplicemente ad attuare una serie di requisiti formali, bensì a individuare e a dimostrare di aver predisposto le garanzie più indicate nel caso concreto e da un punto di vista sostanziale a proteggere i diritti degli interessati. Cfr. L. Califano, Il Regolamento UE 2016/679 e la costruzione di un modello uniforma di diritto europeo alla riservatezza e alla protezione dati personali, in ead, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, Editoriale Scientifica, 2017, 34.
[59] L’Autorità belga per la protezione dei dati, invece, ha sostenuto che le operazioni atte a individuare e correggere le distorsioni discendono dal principio di correttezza del trattamento e accuratezza dei dati in una brochure informativa pubblicata a dicembre 2024, Artificial Intelligence Systems and the GDPR A Data Protection Perspective.
[60] V., ad esempio, Corte di Giustizia, sent. 19 aprile 2016, C-441/14, Dansk Industri (DI).
[61] Così, ad esempio, per il servizio studi del Parlamento europeo, S. De Luca, M. Federico, Algorithmic discrimination under the AI Act and the GDPR, European Parliamentary Research Office, febbraio 2025.
