di Michele Gorga, avvocato e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager di Aidr
In materia di procedimento automatizzato del trattamento dei dati personali ai fini di una decisione amministrativa la norma di riferimento com’è ben noto è quella dell’art. 22 del GDPR del 2016/679 la quale prevede che: “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” Questo principio riassumibile nella massima che nessuno può subire conseguenze sui suoi diritti in vista di una decisione interamente adottata tramite una macchina, un algoritmo altro processo decisionale non umano, trova la sua corrispondenza nel 15simo CONSIDERANDO del GDPR 2016/679, laddove è previsto che “Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche (il trattamento) dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate……”. Entrambe le previsioni espresse nel Regolamento UE 2016/679 sono perciò perfettamente coerenti con i principi fissati dal diritto amministrativo domestico che in sede di coordinamento tra regole sulla trasparenza ed esigenza di rispetto della normativa sulla protezione dei dati si coniugano da un lato con la discrezionalità amministrativa, dall’altro con la categoria dell’atto vincolato alle quali tutte le amministrazioni pubbliche sono sottoposte e che pone, alla nostra attenzione, ulteriori profili di criticità in ordine all’algoritmo assunto alla base di una decisione adottata dal sistema di intelligenza artificiale.
Il primo profilo riguarda la necessità di rispettare il principio di trasparenza , che oramai è centrale nell’attività della P.A. è dovrà essere alla base dei nuovi servizi pubblici fondati su algoritmi e decisioni automatizzate. In questo senso, occorrerà assicurare la trasparenza non solo dei dati, ma anche degli algoritmi, delle logiche di costruzione dei database, del processo di funzionamento del servizio. Il secondo attiene alla responsabilità giuridica della Pubblica Amministrazione anche quando ricorre a soluzioni di intelligenza artificiale nell’erogazione dei servizi o nelle decisioni di ricorrere a procedimenti interamente automatizzati e la giurisprudenza amministrativa si è occupata di casi in cui il procedimento amministrativo è governato completamente da una macchina e si è mossa tenendo fermo il presupposto fondamentale, quello cioè che la tutela giurisdizionale non può essere esclusa o limitata per determinate categorie di atti. Il giudice amministrativo ha affrontato il problema del processo di automazione nel procedimento amministrativo in alcune recentissime sentenze e hanno individuato come regolatori della materia tre principi basilari; quello di conoscibilità; quello di non esclusività della decisione algoritmica; quello di non discriminazione algoritmica.
Soffermandoci al primo principio ossia “il diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato compresa la profilazione” questo comporta che ogni decisione algoritmica, presa dalla P. A. non può mai essere priva di un controllo da parte di un funzionario – persona fisica preposta -, principio già affermato dalla Corte distrettuale Statunitense del Wisconsin e accolta dalla nostra giurisprudenza amministrativa con l’arresto giurisprudenziale cristallizzato nel 2019, che un recente parere reso dal Garante privacy sembra non riconoscere.