Così ci si difende dagli eccessi degli algoritmi
Nella parte sui diritti dell’interessato, il Regolamento Ue n. 2016/679 (Gdpr) include il diritto a non essere sottoposto a decisioni basate su trattamenti automatizzati. Questo è un fenomeno molto ampio e spesso non percepibile. Si pensi ai meccanismi di credit scoring nei servizi bancari e finanziari, ai sistemi medici avanzati di diagnosi e prevenzione, a certe valutazioni che possono incidere sulle carriere lavorative. Anche l’amministrazione fiscale ricorre da tempo a soluzioni simili, ad esempio per scegliere contribuenti da sottoporre a verifiche.
In casi del genere, un certo grado di automatizzazione è inevitabile, per accelerare e rendere più efficienti i processi decisionali. Ma ci sono anche rischi: i dati su cui si basano le decisioni potrebbero essere imprecisi e condurre a scelte errate, cristallizzando condizioni e comportamenti passati e creando discriminazioni.
Il Gdpr si concentra sulle decisioni prese senza un intervento umano effettivo, con algoritmi applicati in modo automatico da sistemi informatici, e che producono «effetti giuridici» immediati o che comunque incidono in modo «significativo» sulle persone. Un esempio del primo caso è il diniego di riconoscimento di un determinato status, come cittadinanza, qualità di rifugiato eccetera. Un esempio del secondo è il rifiuto di un finanziamento o l’esclusione da una selezione per un impiego.
Non è chiaro se il Gdpr ponga un vero e proprio divieto o dia agli interessati solo la facoltà di opporsi. L’interpretazione sin qui data in ambito Ue è nel senso del divieto, anche in assenza di opposizione.
In ogni caso, il Gdpr lascia spazio a deroghe, ad esempio se il trattamento automatizzato è necessario per eseguire un contratto o se c’è il consenso dell’interessato. Ci sono però molte garanzie. L’interessato va informato preventivamente del meccanismo e della sua logica. Può chiedere che gli elementi della decisione siano rettificati. Deve potere esprimere la sua opinione e contestare la decisione e ha il diritto di ottenere un «intervento umano».
Le decisioni automatizzate si accompagnano spesso a forme di profilazione, cioè di valutazione degli aspetti di una persona e delle sue abitudini per analizzare o prevedere i rendimenti professionali, la situazione economica, la salute, le preferenze eccetera. Il Gdpr guarda con sospetto a queste pratiche anche quando non portano a una decisione automatizzata. La profilazione, ad esempio, può servire per fare pubblicità mirata. In casi del genere, il Regolamento consente sempre all’interessato di opporsi ai trattamenti.
Le nuove regole richiederanno senz’altro qualche adattamento. Occorrerà rendere più trasparenti i processi decisionali, che oggi sono per lo più opachi, e prevedere meccanismi di revisione con l’intervento umano. L’adeguamento potrebbe essere più oneroso nel settore pubblico. Per i privati, in fondo, c’è sempre qualche incentivo in più a correggere spontaneamente i processi che portano a decisioni errate, automatiche o meno.