In materia di procedimento automatizzato del trattamento dei dati
personali ai fini di una decisione amministrativa la norma di
riferimento com’è ben noto è quella dell’art. 22 del GDPR del 2016/679
la quale prevede che: “L’interessato ha il diritto di non essere
sottoposto a una decisione basata unicamente sul trattamento
automatizzato, compresa la profilazione, che produca effetti giuridici
che lo riguardano o che incida in modo analogo significativamente
sulla sua persona.” Questo principio riassumibile nella massima che
nessuno può subire conseguenze sui suoi diritti in vista di una
decisione interamente adottata tramite una macchina, un algoritmo
altro processo decisionale non umano, trova la sua corrispondenza nel
15simo CONSIDERANDO del GDPR 2016/679, laddove è previsto che “Al
fine di evitare l’insorgere di gravi rischi di elusione, la protezione
delle persone fisiche (il trattamento) dovrebbe essere neutrale sotto
il profilo tecnologico e non dovrebbe dipendere dalle tecniche
impiegate……”. Entrambe le previsioni espresse nel Regolamento UE
2016/679 sono perciò perfettamente coerenti con i principi fissati dal
diritto amministrativo domestico che in sede di coordinamento tra
regole sulla trasparenza ed esigenza di rispetto della normativa
sulla protezione dei dati si coniugano da un lato con la
discrezionalità amministrativa, dall’altro con la categoria dell’atto
vincolato alle quali tutte le amministrazioni pubbliche sono
sottoposte e che pone, alla nostra attenzione, ulteriori profili di
criticità in ordine all’algoritmo assunto alla base di una decisione
adottata dal sistema di intelligenza artificiale.

Il primo profilo riguarda la necessità di rispettare il principio di
trasparenza, che oramai è centrale nell’attività della P.A. è dovrà
essere alla base dei nuovi servizi pubblici fondati su algoritmi e
decisioni automatizzate. In questo senso, occorrerà assicurare la
trasparenza non solo dei dati, ma anche degli algoritmi, delle logiche
di costruzione dei database, del processo di funzionamento del
servizio. Il secondo attiene alla responsabilità giuridica della
Pubblica Amministrazione anche quando ricorre a soluzioni di
intelligenza artificiale nell’erogazione dei servizi o nelle decisioni
di ricorrere a procedimenti interamente automatizzati e la
giurisprudenza amministrativa si è occupata di casi in cui il
procedimento amministrativo è governato completamente da una macchina
e si è mossa tenendo fermo il presupposto fondamentale, quello cioè
che la tutela giurisdizionale non può essere esclusa o limitata per
determinate categorie di atti. Il giudice amministrativo ha affrontato
il problema del processo di automazione nel procedimento
amministrativo in alcune recentissime sentenze e hanno individuato
come regolatori della materia tre principi basilari; quello di
conoscibilità; quello di non esclusività della decisione algoritmica;
quello di non discriminazione algoritmica.
Soffermandoci al primo principio ossia “il diritto a non essere
sottoposto a una decisione basata unicamente sul trattamento
automatizzato compresa la profilazione” questo comporta che ogni
decisione algoritmica, presa dalla P. A. non può mai essere priva di
un controllo da parte di un funzionario – persona fisica preposta -,
principio già affermato dalla Corte distrettuale Statunitense del
Wisconsin e accolta dalla nostra giurisprudenza amministrativa con
l’arresto giurisprudenziale cristallizzato nel 2019, che un recente
parere reso dal Garante privacy sembra non riconoscere.
E infatti sulla richiesta di parere della Provincia Autonoma di
Trento, in ordine ad una proposta di norma predisposta per poter
eseguire trattamenti che implicano decisioni integralmente
automatizzate, per l’eventuale approvazione di un futuro disegno di
legge nell’ambito degli interventi di sostegno economico-finanziario
erogati, ossia relativi a concessione di contributi, sussidi,
sovvenzioni, ed altre forme di vantaggi economici per i residenti, la
provincia ha manifestato la possibilità di avvalersi, in tali
procedure di sistemi, anche totalmente automatizzati della logica
algoritmica anche se periodicamente verificata allo scopo di
minimizzare il rischio di errori, distorsioni o discriminazioni di
sorta.

Nella richiesta tuttavia, pur prevedendosi che la formula algoritmica
sarebbe stata resa pienamente conoscibile ai destinatari interessati
nel procedimento amministrativo, – anche se nello stesso
provvedimento, poi, non sono state fissate le prescrizione di come
rendere conoscibili ai destinatari la formula degli algoritmi – solo
genericamente è stato previsto che sarebbe stato possibile agli
interessati di “contestare le decisioni assunte sulla base della
stessa formula e richiedere un effettivo intervento umano” e, quindi,
di un intervento ex post e non ex ante con conseguente violazione
dell’ulteriore criterio posto dalla normativa Europea di non
aggravamento del procedimento amministrativo a danno degli utenti
della P.A., il Garante nonostante le evidenti criticità, ha espresso
sullo schema della norma proposto parere favorevole e dettato
prescrizioni e condizioni che tuttavia appaiono marginali e residuali.

Rispondi