Decisione pubblica automatizzata tramite AI: GDPR alla base

Lorena Papini 03/04/24

Come abbiamo visto nel paragrafo dedicato all’etica, il Cepej si è lungamente soffermato sulla relazione tra rispetto dei diritti umani e applicazione di sistemi di AI nell’ordinamento giudiziario, compreso l’eventuale supporto automatizzato alla decisione del giudice e/o la stessa decisione automatizzata.
Ma esistono in Italia casi di decisioni automatizzate che incidono sullo status giuridico dei cittadini?

Il presente articolo è un estratto dal volume Intelligenza Artificiale – Essere Avvocati nell’era di ChatGPT . Per l’approfondimento consigliamo anche il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”

Indice

Decisione pubblica automatizzata e diritti del cittadino


La risposta è sì, e in questo e nei successi paragrafi analizzeremo alcuni casi d’uso e la relativa disciplina, nei settori che ci interessano, quello pubblico e quello giudiziario.
Come sempre ci limiteremo a indicare alcune pietre miliari. Il punto di partenza è il Regolamento generale sulla protezione dei dati personali (2016/679, cd. GDPR), che rappresenta il framework generale per tutte le amministrazioni (e i privati) che intendano utilizzare sistemi di AI per decisioni automatizzate.
In particolare, occorre leggere l’articolo 22, titolato proprio “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”. L’articolo stabilisce condizioni e limiti per la profilazione e per l’assunzione di decisioni automatizzate.
Sin dal 2016, era dunque annunciata la circostanza che il ricorso a processi decisionali automatizzati, compresa la profilazione automatizzata, si sarebbe diffuso in diversi settori, sia privati che pubblici, a causa della maggiore efficienza e della sostanziale economicità di questi trattamenti. Nel contempo, se ne rilevavano i possibili rischi significativi per i diritti e le libertà degli individui.
Rischi quali quelli connessi alla tendenziale opacità dei processi e meccanismi automatizzati: la persona oggetto di profilazione spesso non ne è a conoscenza o non ne è pienamente consapevole (non possiamo qui trattare del tema della trasparenza e del consenso consapevole). Rischi dovuti alla creazione, da parte del titolare del trattamento, di dati nuovi, aggiuntivi rispetto agli originali, che potrebbero “clusterizzare” l’interessato in una categoria in cui non si riconosce, condizionandone così le scelte e, in alcuni casi, portando anche a forme di discriminazione.
Per profilazione il GDPR intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
La decisione automatizzata riguarda invece decisioni assunte solo attraverso mezzi tecnologici (ossia senza il coinvolgimento umano) e può basarsi su dati forniti direttamente dall’interessato, oppure su dati ricavati da programmi traccianti (ad es. la geolocalizzazione individuale fornita da un’app) o dati derivanti da profili precedentemente creati (ad es. l’affidabilità finanziaria in ambito creditizio).
Un esempio potrà chiarire la differenza tra i due concetti, che spesso viaggiano insieme ma potrebbero non coincidere: una multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere è una decisione automatizzata senza profilazione. Sarebbe profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori personali del guidatore, quali le abitudini di guida, altre violazioni al codice della strada, ecc.
Il GDPR innanzitutto stabilisce il diritto dell’interessato “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Le eccezioni a questo principio sono:

  • quando il trattamento è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  • quando il trattamento è stato autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  • quando il trattamento si basa sul consenso esplicito dell’interessato.

Sono sempre vietate, però, le decisioni che sono assunte sulla base di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1 (“l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”) a meno che non si applichino le lettere a) o g) del paragrafo 2, ossia se:
“a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Nel campo pubblico, visto il focus sulla decisione automatizzata, è di rilievo il punto b) dell’articolo 22: perché un potere pubblico eserciti un’attività di profilazione e di decisione automatizzata, deve avere una legittimazione formale ma deve anche prevedere misure adeguate, a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
È quello che accade per esempio nel campo fiscale, nel quale la legislazione degli Stati membri può autorizzare il ricorso ad un processo di decisione automatizzata per il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale o per garantire la sicurezza e l’affidabilità di un servizio fornito dal titolare (ne parleremo dopo come uno degli esempi più penetranti di decisioni pubbliche automatizzate). Nel caso di decisioni basate unicamente su un trattamento automatizzato, come previsto dall’art. 22, il Regolamento introduce la necessità di fornire all’interessato maggiori informazioni sulle modalità di creazione ed utilizzo di questi processi. Infatti, l’art. 13, par. 2, lett. f) e l’art. 15, par. 1, lett. h) stabiliscono il diritto dell’interessato di conoscere l’esistenza del processo decisionale automatizzato e, in particolare, di ottenere informazioni significative sulla logica utilizzata (i criteri assunti per raggiungere la decisione, senza che con ciò si debba necessariamente fornire una spiegazione complessa degli algoritmi utilizzati) e sulle conseguenze previste di tale trattamento (attraverso esempi bisognerà fornire informazioni su come il processo automatizzato potrebbe influenzare in futuro la persona interessata).
Tenuto conto dei rischi rilevanti sui diritti e sulla libertà dell’interessato per queste tipologie di trattamento, il Regolamento da un lato obbliga il titolare del trattamento ad attuare misure appropriate e “rafforzate” di tutela (per esempio prevedere modalità che verificano con regolarità la correttezza dei processi per limitare errori di classificazione o valutazione con impatto negativo sui soggetti profilati); dall’altro lato, assegna all’interessato il potere di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione, nei casi in cui tale decisione sia prevista per contratto o consentita dall’interessato (art. 22, par. 3).
Un processo decisionale automatizzato che coinvolga categorie particolari di dati, di cui all’art. 9, par. 1, è consentito solo in presenza del consenso esplicito dell’interessato o per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri.
Potrebbero interessarti anche:

Volume fonte dell’estratto

FORMATO CARTACEO

Intelligenza Artificiale – Essere Avvocati nell’era di ChatGPT

Nell’anno appena trascorso l’intelligenza artificiale generativa, una delle sue forme più “creative”, è stata ed è ancora oggi uno dei temi più dibattuti. Avvocati e giuristi hanno iniziato a chiedersi se, oltre alla curiosità, le opinioni e i primi esperimenti, non sia opportuno iniziare a formarsi e acquisire nuove competenze nel proprio bagaglio professionale, ma nel mare magnum di informazioni molti si stanno ponendo la stessa domanda: “Da dove inizio?”. Questo libro nasce per rispondere al bisogno “di saperne di più”, raccontando in un quadro unitario a giuristi, avvocati, praticanti e studenti: quali sono gli aspetti che interessano la professione? Qual è lo stato dell’arte?  Le norme in vigore e in corso di approvazione che disciplinano l’utilizzo di AI nei settori principali del diritto, le prime esperienze presso gli studi legali, gli esempi e le istruzioni sui principali tool.Attraverso il racconto dei fatti, vengono naturalmente toccati anche i principali dibattiti in corso: gli aspetti etici, i temi della responsabilità civile in caso di danno, la tutela del copyright per le opere realizzate con le AI generative.Claudia MorelliGiornalista professionista, specializzata nei temi della legal industry e della digital transformation della giustizia, esperta di comunicazione legale. Professoressa a contratto presso l’Università di Bologna, dove insegna Comunicazione del Giurista, già responsabile della Comunicazione del Consiglio Nazionale Forense. Il presente volume è la sua prima riflessione organica sui temi della trasformazione digitale della professione forense.

Claudia Morelli | Maggioli Editore 2024

Formazione per professionisti


“AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Il percorso formativo è rivolto ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT. 
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<

Lorena Papini

Scrivi un commento

Accedi per poter inserire un commento