Decisione unicamente basata su un trattamento automatizzato

La sola sussistenza di un processo decisionale automatizzato così come configurato nell’analisi fin qui svolta è condizione necessaria ma non sufficiente per dell’applicazione dell’articolo 22. La decisione, infatti, deve essere unicamente basata sul trattamento automa- tizzato. Per poter esaminare la portata di questa ulteriore condizione, è opportuno interro- garsi sul significato del termine decisione. Il Regolamento (così come la Direttiva 95/46) non prevede delle caratteristiche essenziali per poter affermare che si sia davanti ad una decisio- ne. Di certo questa si verifica laddove vengano adottati una posizione o un giudizio nei confronti di un soggetto, indipendentemente dal fatto che ciò comporti un’azione o un’astensione dall’agire, o ancora l’accoglimento o il rigetto di una richiesta259_{. Tuttavia, i}

confini del concetto di decisione tendono talvolta a confondersi con altre tipologie di trat- tamento, soprattutto con quelle prodromiche all’assunzione della determinazione stessa (si pensi a delle pianificazioni o a delle proposte), dalle quali la decisione si differenzia in quan- to dotata di un qualche effetto vincolante su colui che l’assume, ossia egli agirà sulla base della stessa260_.

Un ausilio interpretativo è fornito dal considerando 71 del GDPR che include nel

256 _{J.MAZUR, Right to Access Information As a Collective-Based Approach to the GDPR’s Right to Explanation in Euro-}

pean Law, in Erasmus Law Review, Vol. 11, No. 3, 183 (2018), disponibile al sito:

https://ssrn.com/abstract=3356770 .

257 _{Ibidem; NOTO LA DIEGA, Against the Dehumanisation of Decision-Making - Algorithmic Decisions at the Crossroads of}

Intellectual Property, Data Protection, and Freedom of Information, cit., 25.

258 _{D.KAMARINOU,C.MILLARD,J.SINGH, Machine Learning with Personal Data: Profiling, Decisions and the EU}

General Data Protection Regulation, in Queen Mary School of Law Legal Studies Research Paper, No. 247 (2016), dis-

ponibile al sito: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2865811 .

259 _{BYGRAVE,Minding the Machine: Article 15 of the EC Data Protection Directive and Automated Profiling, cit., 19.} 260 _Ibidem.

concetto di decisione anche quello di misura261, ossia, ad esempio, il caso di marketing mirato avente ad oggetto prodotti medicali contro il cancro basato sulle ricerche effettuate su in- ternet dal soggetto262_{. Su queste basi si potrebbe affermare, in termini più generali, che la}

nozione di decisione, includendo quella di misura, debba ricomprendere fenomeni tipici del c.d. cybermarketing263 _{in forza dei quali gli annunci pubblicitari online si aggiornano e modifi-}

cano costantemente sulla base delle ricerche e delle preferenze dell’utente264_.

Dunque, quando una decisione, così definita, può considerarsi basata unicamente su un trattamento automatizzato? Per rispondere al quesito si potrebbe adottare un approccio re- strittivo, facendo riferimento a tutte quelle situazioni in cui un umano non sia incluso nel processo decisionale. Attribuendo contorni così stringenti a questa condizione, però, si ri- schia di rendere inapplicabile l’articolo 22 del GDPR a tutte quelle decisioni che integrino nel processo anche solo un formale (e fittizio) intervento umano265. Sicché, tale soluzione è da rigettare. A ben vedere, è lo stesso tenore letterale della disposizione a corroborare que- sta interpretazione: il fatto che la decisione debba essere unicamente basata su un trattamento automatizzato implica l’applicazione dell’articolo 22 del GDPR a quelle decisioni i cui pre- supposti siano interamente frutto di trattamenti automatizzati, cosicché l’eventuale interven- to umano limitato ad una presenza formale nulla muterebbe rispetto al fatto che la decisio- ne sia stata assunta unicamente su dette basi266_.

A fare ulteriore chiarezza sono le Linee Guida secondo cui “se qualcuno applica abitual- mente profili generati automaticamente a persone fisiche senza avere alcuna influenza effettiva sul risultato,

261 _{L.EDWARDS,M.VEALE,Enslaving the algorithm: From a “right to an explanation” to a “right to better decisions”,}

Brussels Privacy Symposium, Brussel, 3 (2017), disponibile al sito: https://ssrn.com/abstract=3052831 .

262 _{Commissione europea, The EU data protection Regulation: Promoting technological innovation and safe-}

guarding citizens' rights, Speech 14/175, 4 marzo 2014; KAMARINOU,MILLARD,SINGH, Machine Learning with

Personal Data: Profiling, Decisions and the EU General Data Protection Regulation, cit.

263 _{BYGRAVE,Minding the Machine: Article 15 of the EC Data Protection Directive and Automated Profiling, cit., 19.} 264 _{Qualificare tali dinamiche come decisioni pone le basi per una potenziale applicazione dell’articolo 22 del}

GDPR, ma sarà necessario rispondere ad un ulteriore interrogativo relativo agli effetti che queste decisioni possono avere sull’individuo, poiché solo in caso di effetti giuridici o che incidano in modo analogo e signifi- cativo sulla persona si potrà fare ricorso alle tutele ex articolo 22. Tale riflessione sarà sviluppata nel paragrafo successivo.

265 _{Malgieri e Comandé si chiedono, provocatoriamente, se allora non si possa ritenere sufficiente l’intervento}

di un animale ben addestrato capace di apporre un timbro ad una decisione come farebbe un umano. Cfr. G. MALGIERI,G.COMANDÉ,Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protec- tion Regulation, in International Data Privacy Law, Vol. 7, No. 4, 251 (2017), disponibile al sito:

https://academic.oup.com/idpl/article-abstract/7/4/243/4626991 . Dello stesso avviso: S. HÄNOLD, Profiling

and Automated Decision-Making: Legal Implications and Shortcomings, in M. CORRALES et al (a cura di), Robotics, AI

and the Future of Law, Springer Singapore, 2018, 133, disponibile al sito: https://doi.org/10.1007/978-981-13- 2874-9_6 ; M.VEALE,L.EDWARDS,Clarity, surprises, and further questions in the Article 29 Working Party draft guid- ance on automated decision-making and profiling, in Computer Law & Security Review, Vol. 34, 400 (2018), disponibile

al sito: https://strathprints.strath.ac.uk/62844/.

266 _{MALGIERI,COMANDÉ,Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protec-}

56

si tratterà comunque di una decisione basata unicamente sul trattamento automatico”267. L’elemento di riferimento, allora, è il tipo di coinvolgimento umano e non la sua sola sussistenza. Nello specifico, le Linee Guida richiedono un controllo significativo che non si limiti ad un gesto simbolico e presuppongono che la persona chiamata ad effettuarlo disponga dell’autorità e della competenza necessarie per poter modificare la decisione268_{. Ora, non si hanno diffi-}

coltà a immaginare un coinvolgimento umano avente tali caratteristiche fintanto che le tec- nologie utilizzate sono rudimentali e di facile comprensione. Le criticità sorgono nel mo- mento in cui si prendono in considerazione tecnologie più avanzate le cui logiche divengo- no complesse, se non del tutto oscure269. A vacillare davanti a fenomeni come quello dell’Intelligenza Artificiale sono proprio i concetti di competenza e autorità. Da un lato l’individuo non è dotato delle conoscenze tecniche per poter comprendere il funzionamen- to delle reti neurali (spesso imprevedibile per gli stessi programmatori), dall’altro la mente umana rischia di essere incline a fidarsi maggiormente di un sistema tecnologicamente all’avanguardia che del proprio giudizio270_.

La possibilità di concepire una decisione che non sia unicamente basata su un pro- cesso automatizzato si fa ancor più remota se si considera il contesto in cui l’Intelligenza Artificiale è utilizzata. L’Internet of Things nasce dall’idea di creare degli oggetti in grado di agire e assumere determinazioni in autonomia, il controllo da parte di un umano sarà a stento significativo e tendenzialmente escluso a priori271_.