Un’analisi profilata dei comportamenti delle persone fisiche effettuata con sistemi automatizzati può essere utilizzata al fine di produrre effetti giuridici significativi nei loro confronti.
Se tale decisione è fondata esclusivamente su un trattamento automatizzato, i rischi di potenziali lesioni dei loro diritti possono essere elevati.
Con i trattamenti completamente automatizzati si può incidere profondamente nella qualità e nelle prospettive di vita degli individui, ovvero si possono rubare loro dei sogni, come nel caso più sottile della perdita di chances.
Eppure, l’attualità del pericolo stenta ad essere compresa dalle persone che, anche quando parzialmente consapevoli, si sentono impotenti e rinunciano al controllo. Urge pertanto l’attivismo dei corpi intermedi e del giornalismo di inchiesta in qualità di “watch-dog” della democrazia e delle istituzioni.
Indice degli argomenti
Il GDPR progetto di alta politica UE
Lo sviluppo della tecnologia ha posto una sfida culturale in relazione alla centralità della protezione dei dati che si presenta quale vera emergenza dell’inizio di questo millennio. A tale sfida ha risposto l’Europa, incredibilmente unita, tramite l’approvazione del GDPR ovvero il Regolamento 2016/679, il quale è frutto di un progetto legislativo di alta politica, diretto a tutelare il nostro Stato di diritto e la nostra democrazia.
Invero già l’art. 15 della Direttiva 95/46/CE aveva preso in considerazione uno dei principali rischi connessi allo sviluppo della tecnologia e dell’economia digitale, riconoscendo un nuovo diritto soggettivo: quello a non essere sottoposti ad una decisione che produca effetti significativi nei confronti delle persone, quando la stessa è fondata esclusivamente su un trattamento automatizzato, salvo che tale decisione venga presa in casi specifici, quali ad esempio nel contesto della conclusione di un contratto o autorizzata per legge.
Decisioni automatizzate: il quadro normativo
Tra l’altro cautamente il legislatore italiano nel tradurre la Direttiva del 95 nel Codice privacy all’art. 14, aveva ampliato, lo spettro del principio di legalità, prevedendo che nessun atto o provvedimento giudiziario o amministrativo che implichi la valutazione di un comportamento umano, avrebbe potuto basarsi su decisioni automatizzate.
Difatti l’uso dell’intelligenza artificiale nel sistema giudiziario è già una realtà in altri Stati, al di fuori del perimetro europeo e, come è stato recentemente reso pubblico nel caso di Eric Loomis e del software predittivo Compas, (Wisconsin S.C., State v. Loomis, 881, Wis. 2016), l’utilizzo di algoritmi nell’amministrazione della giustizia può portare dei “pregiudizi” di calcolo, che applicati su larga scala possono dare luogo a discriminazioni, quali ad esempio: la valutazione della potenziale recidiva in base al background familiare dell’imputato o l’appartenenza ad un certo gruppo etnico.
Quanto già indicato dalla Direttiva è stato con forza ribadito dal GDPR sia nel considerando n.71, che indica anche alcune ipotesi di esempi: quali il rifiuto automatico di una domanda di credito online o le pratiche di assunzione elettronica senza interventi umani sia nell’art. 22, dove viene richiesto al titolare del trattamento di attuare delle misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra i quali almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Quanto sopra è stato inoltre ribadito anche dal Comitato dei ministri del Consiglio d’Europa, nel Protocollo di modernizzazione della convenzione 108 del 1981, che è stata ed è tutt’ora, l’unico strumento giuridicamente vincolante a livello internazionale rispetto al trattamento automatizzato dei dati personali, potendo ad essa aderire anche Stati non membri del Consiglio d’Europa.
Difatti il Protocollo contiene diverse novità rispetto alla convenzione originaria, tra cui il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento e l’ampliamento dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento.
Decisioni automatizzate: il ruolo dell’interessato
Invero in merito al rispetto delle nostre libertà democratiche nell’ambito dell’ecosistema digitale, per ovviare a quello che appare essere il rischio di profilazione di massa e la più sottile possibile conseguenza delle decisioni automatizzate disciplinata dall’art. 22 del Regolamento, il vero presidio dell’applicazione della normativa, non possono che essere in primis gli interessati.
Al riguardo va rilevato che anche alla luce di quanto illustrato recentemente nel dibattitto promosso dall’Osservatorio 679, malgrado i potenziali rischi sulle libertà degli interessati legati agli effetti legali della profilazione e delle decisioni automatizzate, il numero di reclami al Garante per tali problematiche appare ancora realmente esiguo, rispetto reclami legati al seppur talvolta fastidioso marketing telefonico e cartaceo, che costituisce una sintomatologia percepibile dalla utenza.
In assenza di un presidio delle istanze degli interessati ai titolari del trattamento e dei conseguenti reclami, e ancor di più grazie alla nuova arma prevista dall’art. 80 del GDPR secondo cui l’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti tra cui il diritto di ottenere il risarcimento di cui all’articolo 82.
Sarà difatti necessario che si formino specialisti della protezione dei dati a servizio della cittadinanza, affinché i singoli interessati non vengano lasciati soli nella comprensione e nella esegesi di un fenomeno che comporta notevoli complessità e che soltanto chi è estremamente preparato anche tecnicamente può intercettare e arginare.
Decisioni automatizzate: le sanzioni
Ai sensi dell’art. 22 del Regolamento (UE) 679/2016 i titolari del trattamento, siano essi aziende private che pubbliche Amministrazioni, dovranno prevedere dei processi adeguati a fornire un contraddittorio con gli interessati e prevedere appropriate misure di sicurezza, poiché in assenza di garanzie il titolare, quanto meno accetta la conseguenza della discriminazione, indipendentemente dal fatto che costituisca o si identifichi con il fine del trattamento.
Pur immaginando una gradualità delle sanzioni amministrative che possono arrivare fino a 20.000.000 di euro o 4% del fatturato per le aziende, sarà utile che il Comitato, le Authority e la dottrina si interroghino sulla dignità degli effetti giuridici derivanti dalla decisone, che dovrebbero essere circoscritti ad una lesione /o una perdita di chances solo se realmente significativa.
Conclusione
Per concludere ad avviso della scrivente va sottolineata la speranza che l’azione degli interessati e delle Authority non si soffermi in modo esasperato sulle sole comunicazioni commerciali strozzando il business, ma piuttosto vada a smascherare quei processi di controllo di massa utilizzati per indirizzare o gestire l’opinione pubblica e perfino a privarne le libertà fondamentali.
Ben vengano pertanto nuove frecce nell’arco dell’associazionismo soprattutto in Europa, dove l’istituto della class action non è diffuso come negli Stati Uniti ma che vengano usati per tutelare i reali diritti fondamentali delle persone e non come semplice ricatto per ottenere compensi per qualche comunicazione commerciale scappata alla regola dell’opt in.
