Piena trasparenza degli algoritmi per le PA e cloud nazionale. Una strada necessaria a tutela dei diritti dei cittadini

Le PA devono avere il pieno controllo delle soluzioni e delle app che sviluppano per finalità istituzionali. Sono le conseguenze indirette dell’ultimo autorevole pronunciamento della Corte di Cassazione in materia di rating reputazionale basato su algoritmi poco trasparenti.

Piena trasparenza informativa sugli algoritmi utilizzati per garantire un consenso consapevole e libero

In tema di trattamento dei dati personali, il consenso è validamente prestato solo se informato e se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; «ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati». È questo il fondamentale principio espresso in punto di diritto dalla Corte di Cassazione, I Sezione Civile, nell’Ordinanza n. 14381/2021 del 25 maggio scorso.

La decisione della Suprema Corte origina dalla sentenza del Tribunale di Roma n. 5715/2018, che aveva parzialmente annullato un  provvedimento del Garante per la protezione dei dati personali del 24 novembre 2016, che aveva disposto il divieto di trattamento dei dati personali da parte dell’Associazione Mevaluate Onlus effettuato in connessione ai servizi offerti tramite la “Infrastruttura Immateriale Mevaluate per la Qualificazione Professionale”, per contrasto con gli artt. 2, 3, 11, 23, 24 e 26 del D.Lgs. 196/2003 (Codice privacy), applicabili ratione temporis.

Quindi, ci troviamo in una situazione normativa “di passaggio”, prima della modifica al Codice della protezione dei dati intervenuta con il D. Lgs. 101/2018 che – come sappiamo – ha adeguato il nostro Codice all’arrivo del General Data Protection Regulation (Regolamento UE 679/2016). Principi comunque ineccepibili anche nella situazione normativa odierna legata alla piena esecutività  del GDPR.

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso di Unitelma Sapienza in e-learning

Cosa ha statuito la Cassazione? I fatti oggetto del giudizio.

Passiamo quindi al dettaglio dei fatti oggetto della decisione. La Mevaluate offre un servizio di “rating reputazionale” attraverso una piattaforma web preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche, che consente a eventuali terzi di verificare la credibilità dei soggetti che aderiscono a tale sistema. Il Tribunale di Roma ha ritenuto legittimo il trattamento dei dati personali effettuato dall’Associazione, poiché fondato sul consenso degli aderenti al sistema, espressione dell’autonomia privata.

Nei motivi del suo ricorso il Garante ha rilevato l’inconoscibilità dell’algoritmo utilizzato per l’assegnazione del punteggio di rating che si concreta in una violazione dei principi di liceità, trasparenza e correttezza e che rende così il consenso prestato dagli aderenti privo del requisito della consapevolezza.

Attualizzando la pronuncia in commento alle norme espresse nel GDPR, il titolare del trattamento non può sottoporre l’interessato a una decisione basata unicamente sul trattamento automatizzato, quale è il sistema proprietario di Mevaluate, a meno che tale decisione si basi, tra gli altri, sul consenso esplicito dell’interessato[1], che deve essere libero, non equivoco e informato[2].

Le regole del GDPR in materia di decisioni basate su trattamenti automatizzati

Quando il trattamento è effettuato mediante sistemi automatizzati il titolare del trattamento ha l’obbligo di informare correttamente gli interessati sull’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, rendere le informazioni significative sulla logica utilizzata, nonché sull’importanza e le conseguenze previste di tale trattamento[3].

Non è agevole informare l’interessato sulla logica utilizzata (trasparenza ex ante) e sulle conseguenze di un trattamento automatizzato (trasparenza ex post), specie quando gli algoritmi sono parte di un sistema di Intelligenza Artificiale (IA) e, tuttavia, la trasparenza è un principio ineludibile a presidio dei diritti fondamentali che le disposizioni sul trattamento dei dati personali vogliono tutelare, primo fra tutti l’identità personale.

D’altro canto, lo stesso GDPR prevede che siano riconosciuti all’interessato il diritto di ottenere l’intervento umano da parte del titolare del trattamento e di poter esprimere la propria opinione, contestando, se necessario, la decisione assunta sulla base di un trattamento automatizzato[4]. Non solo, in presenza di «trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”», il GDPR impone al titolare del trattamento di effettuare una valutazione d’impatto, dato il rischio elevato per i diritti e le libertà delle persone fisiche che un simile trattamento comporta[5].

Insomma, decisione ineccepibile quella della Corte e ottimo lavoro interpretativo da parte dell’Authority che con coraggio ha gettato il sasso in uno stagno, pestando anche calli rilevanti se si guardano con attenzione gli interessi in gioco anche nella situazione de quo. E, leggendo tra le righe Regolamenti del Servizio e Privacy policy, ci si rende conto che l’attenzione alla protezione dei dati viene letteralmente considerata una vera e propria seccatura all’interno di un progetto, quello portato avanti dal Gruppo Mevaluate, che ha visto la partecipazione di Ministeri e Amministrazioni centrali dello Stato accanto a holding internazionali[6].

E a proposito di PA, nel settore pubblico la “situazione privacy”, come sappiamo, non è delle migliori se guardiamo alla svogliatezza con cui viene trattata la materia anche a livello centrale e gli effetti si notano, ad esempio, se solo si guardano progetti come l’app Immuni interamente poggiata su interfacce di programmazione closed e interamente nelle mani di player internazionali, e – nonostante tale app comporti trattamenti di dati sanitari su larga scala – la protezione del dato è stata vissuta come un fastidio a cui dedicare attenzione solo alla fine della progettazione.

Ma andiamo con ordine e diamo uno sguardo all’importantissima questione della trasparenza degli algoritmi nelle PA italiane.

Algoritmi e Intelligenza Artificiale nelle PA

Il ricorso a trattamenti automatizzati basati su algoritmi inseriti o meno in sistemi di IA è sempre più diffuso nell’ambito di procedure amministrative. Il coinvolgimento di soggetti pubblici impone maggior rigore nella valutazione di sistemi che consentono decisioni basate sulle “logiche algoritmiche”, dal momento che la PA si rivolge perlopiù se non esclusivamente a società private, anche e sempre più spesso extra UE, che sviluppano software e sistemi di IA.

Se è vero che la PA può compiere un trattamento automatizzato, se autorizzato da una disposizione di legge nazionale o europea[7], l’interessato ha comunque il diritto a essere correttamente informato e, quindi, di conoscere preventivamente le logiche applicate e le conseguenze del trattamento.

In tal senso, la pronuncia in commento si inserisce nel solco che la giurisprudenza amministrativa sta tracciando da alcuni anni e che vede nella «regola tecnica che governa ciascun algoritmo una regola amministrativa generale» e come tale «possiede una piena valenza giuridica e amministrativa» e «deve soggiacere ai principi generali dell’attività amministrativa, quali quelli di pubblicità e trasparenza (art. 1 l. 241/90), di ragionevolezza, di proporzionalità, etc.»[8].

In quanto regola amministrativa generale, inoltre, le logiche sottostanti all’algoritmo e al software che lo esprime devono essere conoscibili, «secondo una declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico» e che consenta al cittadino, quindi, di «sindacare come il potere sia stato concretamente esercitato e di conoscere le modalità (anche se automatizzate) con le quali è stata in concreto assunta una decisione destinata a ripercuotersi sulla sua sfera giuridica»[9].

In poche parole, le PA devono sempre consentire l’accesso agli atti, inteso oggi anche come “accesso all’algoritmo” (quindi accesso alla sequenza di operazioni di calcolo del software).[10]

A livello europeo, sono diversi gli atti e i provvedimenti che sottolineano l’importanza di garantire informazioni adeguate ai cittadini riguardo all’uso di sistemi di IA ad alto rischio (in grado appunto di mettere a rischio i diritti e le libertà fondamentali dei cittadini), fornendo informazioni obiettive, concise e di facile comprensione e con modalità adeguate al contesto specifico[11].

Da ultimo, si evidenzia che nella proposta di Regolamento contenente norme in materia di IA, la Commissione europea, oltre a prevedere obblighi puntuali di trasparenza a tutela degli utenti che interagiscono con sistemi di IA ad alto rischio[12], ha esplicitamente vietato l’uso di tali sistemi  da parte dei soggetti pubblici o di coloro che esercitano pubblici poteri, che consentano la valutazione o la classificazione dell’affidabilità delle persone fisiche per un certo periodo di tempo in base al loro comportamento sociale, alle caratteristiche personali o della loro personalità conosciute o prevedibili, con l’attribuzione di un punteggio sociale (“social score”) e che abbiano quale conseguenza:

  1. a) un trattamento dannoso o sfavorevole di determinate persone fisiche o di interi gruppi di esse in contesti sociali estranei ai contesti in cui i dati sono stati originariamente generati o raccolti;
  2. b) oppure un trattamento dannoso o sfavorevole di talune persone fisiche o di interi gruppi di esse che è ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità[13].

Pertanto, sistemi di rating reputazionali come quello sviluppato da Mevaluate, dovrebbero essere valutati non solo sotto il profilo della tutela dei dati personali ma anche, sotto il profilo della legittimità, quando a utilizzarli sono soggetti pubblici.

Le conseguenze per le PA e le strade da seguire

Alla luce di questo autorevole  pronunciamento della Cassazione una PA può, quindi, continuare a usare soluzioni software e sistemi in cloud non trasparenti, imponendoli così ai suoi cittadini nel perseguimento delle sue finalità istituzionali?

Come abbiamo visto, la Corte di Cassazione ha sostanzialmente statuito che quando si chiede a un utente di un servizio il consenso a trattare i propri dati personali perché siano trattati da algoritmi finalizzati a ottenere decisioni automatizzate capaci di incidere sui propri diritti, il consenso non è valido se l’utente destinatario del servizio non è stato adeguatamente informato in merito alle logiche che sono alla base di quelle scelte automatizzate, ove quindi “lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati”.

Principio correttissimo, ma – come sappiamo – non direttamente applicabile ai rapporti digitali tra PA e cittadino, laddove una PA ex lege può imporre app e soluzioni sviluppate perseguendo appunto finalità istituzionali (e quindi attraverso una base giuridica che legittimerebbe il trattamento, senza la necessità di acquisire previamente un consenso libero e informato, ma poggiata su quanto statuito dall’art. 22 par. 2 lett. b e art. 2-ter del Codice per la protezione dei dati personali). In questo caso, la PA deve, quindi, trovare la sua base giuridica in una legge o un regolamento per poter trattare dati personali dei cittadini e, in ogni caso, ha l’obbligo di informare correttamente, in modo  trasparente i suoi cittadini sui trattamenti elettronici effettuati e sulle logiche alla base degli algoritmi utilizzati sempre più spesso attraverso terze parti informatiche.

In poche parole, se questi trattamenti, vengono sviluppati con una certa “leggerezza amministrativa” attraverso partner informatici che offrano soluzioni in cloud,con  infrastrutture informatiche non perfettamente trasparenti e conoscibili, (perchè appunto prese in prestito dai soliti OTT) come può la PA garantire il fondamentale principio della trasparenza informativa?

Inoltre, può con leggerezza una PA finalizzare le sue azioni amministrative legandosi indissolubilmente a piattaforme sviluppate da player internazionali, i quali sono abituati ad agire per finalità commerciali che prevedono (come è tristemente noto) un’aggregazione di informazioni e dati che ci riguardano, in modo da profilare in modo selvaggio e  ottenere così una mappatura predittiva della popolazione a livello mondiale? Agendo così la PA non rischia, forse, di violare quel principio di trasparenza e correttezza statuito oggi dalla Corte e previsto nel GDPR?

La PA digitale che vogliamo

Il problema che oggi non possiamo più ignorare è che queste “decisioni automatizzate” oggetto di specifica regolamentazione del GDPR e che sono finalmente oggetto di specifica attenzione non solo del Garante, ma anche degli Ermellini, non riguardano ciò che la PA fa o vorrebbe fare con app e soluzioni basate su sistemi in mano agli OTT, ma ciò che invece “altri” possono decidere di fare in modo non trasparente in base a dati acquisiti attraverso loro sistemi poco trasparenti e poco controllabili su cui si poggiano queste app o soluzioni.

Per tali motivi, il dibattito sullo sviluppo di piattaforme cloud e soluzioni che garantiscono un controllo e una protezione adeguata almeno al nostro patrimonio informativo pubblico riveste oggi un’importanza strategica di grandissimo rilievo.[14]

E su questi concetti in una delicata scacchiera a livello internazionale si gioca il futuro della nostra democrazia digitale.

[1] Cfr. art. 22, par. 1 e 2, lett. c), GDPR.
[2] Cfr. artt. 5 e 7, GDPR.
[3] Cfr. artt. 13, par. 2, lett. f) e 14, par. 2, lett. g), GDPR.
[4] Cfr. art. 22, par. 3, GDPR.
[5] Cfr. art. 35, GDPR e l’Allegato 1 al Provvedimento del Garante n.  467 dell’11 ottobre 2018 [doc. web n. 9058979]
[6] Si legge nella privacy policy questa incredibile avvertenza per gli utenti del servizio: «APART si scusa anticipatamente con i visitatori di questo sito web per la lunghezza e la pedanteria che caratterizzano questo documento. La sua redazione e le affermazioni virgolettate degli Utenti costituiscono le necessarie cautele per ottemperare ai gravosi e incredibili adempimenti imposti dall’attuazione del Regolamento UE  2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR) entrato in vigore il 25 maggio 2018 relativo alla protezione, al trattamento e alla circolazione dei dati personali degli Utenti». A dir poco imbarazzante il punto di vista dei titolari di questo progetto… E se poi ci si avventura nelle procedure di acquisizione del consenso previste nel Regolamento allora ci si rende conto che il Garante non poteva non agire tutelando con attenzione i diritti evidentemente calpestati degli interessati.
[7] Cfr. art. 22, par. 2, lett. b), GDPR, che subordina la legittima dell’autorizzazione contenuta in una diposizione di legge alla previsione di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
[8] Cfr. Consiglio di Stato, sentenza n. 2270/2019.
[9] Cfr. Consiglio di Stato, cit.
[10] Così, oltre alla già citata sentenza del Consiglio di Stato 2270/19, anche sempre Consiglio di Stato 881/20 e TAR Lazio 7370/20.
[11] Cfr. “Libro Bianco sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia” della Commissione UE – COM(2020) 65.
[12] Cfr. art. 13, Proposta di Regolamento in materia di IA della Commissione UE del 21 aprile 2021 – COM(2021) 206.
[13] Cfr. art. 5, par. 1, lett. c), cit.
[14] La questione della trasparenza informativa e della correttezza nei rapporti con i partner tecnologici è molto rilevante anche al di fuori del contesto pubblicistico, tanto che il legislatore europeo si è “preoccupato” di disciplinarla all’art. 9, par. 2, lett. a) e d) del Reg. UE 2019/1150, che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online: «i fornitori di servizi di intermediazione online informano adeguatamente gli utenti commerciali in particolare dei seguenti aspetti:
a) la possibilità o meno del fornitore di servizi di intermediazione online di accedere ai dati personali o ad altri dati, o a entrambi, che gli utenti commerciali o consumatori forniscono per l’uso dei servizi di intermediazione online in questione o generati tramite la fornitura di tali servizi e, in caso di accesso, le categorie di dati interessate e le condizioni; (…)
d) la fornitura o meno a terzi dei dati di cui alla lettera a), assieme a, qualora la fornitura di tali dati a terzi non sia necessaria per il corretto funzionamento dei servizi di intermediazione online, l’informazione che specifica lo scopo di tale condivisione dei dati nonché le possibilità di cui dispongono gli utenti commerciali per esimersi da tale condivisione dei dati». Del resto, una delle problematiche più complesse da gestire nella società dell’informazione è proprio la parcellizzazione dei processi che determina un’esternalizzazione dei trattamenti Tali esternalizzazioni mettono in costantemente discussione il semplice modello “titolare-responsabile” il quale finisce per svilupparsi in una catena di ‘sub-responsabilità’, sfuggendo così al controllo del titolare (ente pubblico o privato che sia).