Dovere di fornire e diritto ad accedere alle “informazioni significative

In considerazione dei potenziali rischi e delle interferenze che i processi decisionali automatizzati ex articolo 22 del GDPR pongono in relazione ai diritti degli interessati, il Regolamento introduce specifiche tutele informative che impongono al titolare di prestare particolare attenzione agli obblighi in materia di trasparenza517. Gli articoli 13 e 14518 del GDPR, infatti, includono tra le informazioni da fornire all’interessato (con la medesima

514 _{Art. 12.1, GDPR.}

515 _{Così il Working Party definisce il requisito dell’intelligibilità. Cfr. Art. 29 WP, Linee guida sulla trasparenza}

ai sensi del regolamento 2016/679, adottate il 29 novembre 2017 versione emendata adottata l’11 aprile 2018, WP 260 rev.01, 6.

516 _{Così il Working Party definisce il linguaggio chiaro e comprensibile. Cfr. Art. 29 WP, Linee guida sulla tra-}

sparenza ai sensi del regolamento 2016/679, cit., 7.

517 _{Linee Guida, 27.}

518 _{L’obbligo si impone sia per i dati raccolti presso l’interessato, ex articolo 13 del GDPR, che per i dati non}

raccolti presso lo stesso, ex articolo 14. In quest’ultimo caso devono considerarsi le eccezioni ex articolo 14.5 che escludono l’obbligo di informativa ove l’interessato disponga già delle informazioni, ove tale obbligo ri- sulti impossibile o destinato a richiedere uno sforzo sproporzionato al titolare, ove l’ottenimento dei dati o la comunicazione siano espressamente previsti dal diritto dell’Unione o nazionale, ove i dati debbano rimanere riservati in ragione di obbligo di segreto professionale.

formula) anche “l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, non- ché l'importanza e le conseguenze previste di tale trattamento per l'interessato”519_{. Nonostante il titolare} sia gravato da tale obbligo solo laddove il processo decisionale e la profilazione soddisfino la definizione data dall’articolo 22 del GDPR, sarà comunque buona prassi fornire le mede- sime informazioni se necessarie a garantire un trattamento corretto e trasparente520_{. La co-}

municazione (i) dell’esistenza521 di tale trattamento, (ii) delle informazioni significative sulla logica utilizzata, e (iii) dell’importanza e delle conseguenze previste, non è quindi un presi- dio a sola tutela dell’interessato: il legislatore ha mostrato al titolare quale via seguire (neces- sariamente se il trattamento rientra nell’articolo 22, facoltativamente in caso contrario) per assicurarsi che l’attività da lui svolta sia conforme agli standard di trasparenza e correttezza fissati dal Regolamento522.

Alla sola tutela dell’interessato è invece preposto il diritto di accesso che, insieme al dovere di informazione523_{, costituisce l’architrave dei poteri di controllo riconosciuti}

all’interessato e il presupposto per l’esercizio degli ulteriori diritti in cui tale potere si so- stanzia524_{. L’articolo 15.1.h) del GDPR riproduce la stessa previsione degli articoli 13.2.f) e}

14.2.g), ma l’omologa formulazione non deve trarre in inganno: mentre gli articoli 13 e 14 si pongono in un momento temporalmente coincidente con la raccolta dei dati525_{, l’articolo}

519 _{Artt. 13.2.f) e 14.2.g).}

520 _{“Il titolare del trattamento dovrebbe fornire all'interessato eventuali ulteriori informazioni necessarie ad assicurare un tratta-}

mento corretto e trasparente, prendendo in considerazione le circostanze e del contesto specifici in cui i dati personali sono trattati. Inoltre l'interessato dovrebbe essere informato dell'esistenza di una profilazione e delle conseguenze della stessa”, considerando

60, GDPR. Cfr. Linee Guida, 28.

521 _{Il riferimento all’esistenza del trattamento è stato interpretato da taluni in un’ottica che restringe lo scopo}

del diritto a ricevere informazioni significative: dall’enfasi attribuita al termine posto all’inizio della frase si è sostenuto che la “logica” e le “conseguenze” fossero da leggere in un’ottica tutta rivolta alla comunicazione dell’esistenza del trattamento e non tanto delle sue dinamiche. Ciononostante, tale tesi appare da rigettare in quanto il tenore letterale dell’inciso differenzia nettamente gli elementi oggetto di informativa, seppur posti all’interno di una stessa frase, dando origine a tre differenti obblighi ognuno con la propria separata dignità. Cfr. (per l’interpretazione restrittiva) WACHTER,MITTELSTADT,FLORIDI, Why a Right to Explanation of Auto-

mated Decision-Making Does Not Exist in the General Data Protection Regulation, cit., 89; (per una critica a tale inter-

pretazione) MALGIERI,COMANDÉ,Why a Right to Legibility of Automated Decision-Making Exists in the General Da- ta Protection Regulation, cit., 256.

522 _{Linee Guida, 28.}

523 _{A conferma dello stretto legame tra dovere di informazione e diritto di accesso e della loro importanza ai}

fini della realizzazione del principio di trasparenza: “Tale principio [di trasparenza] riguarda, in particolare, l'informa-

zione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicura- re un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comuni- cazione di un trattamento di dati personali che li riguardano”, considerando 39, GDPR.

524 _{ALVISI,Dati personali e diritti dei consumatori, cit., 702.}

525 _{Nel caso di raccolta diretta dei dati personali occorre che l’informativa sia data al momento della raccolta}

(considerando 61 e articolo 13.1 del GDPR), ossia, in occasione o nel contesto della raccolta. Cfr. PELINO, I diritti

100

15 attribuisce all’interessato un diritto esercitabile in qualsiasi momento526. In tale discre- panza temporale alcuni interpreti hanno letto l’attribuzione da parte del legislatore di un di- verso contenuto informazionale alle comunicazioni a seconda che queste avvengano ex ar- ticoli 13.2.f) e 14.2.g) o ex articolo 15.1.h): i primi consentirebbero solo informazioni gene- rali in quanto antecedenti alla decisione stessa, il secondo sarebbe potenzialmente idoneo a rivelare informazioni in merito alla decisione concretamente assunta527_.

Per quanto saldamente ancorato al principio di trasparenza, il diritto di accesso subi- sce delle limitazioni - e quindi consente un parziale oscuramento – allorché entri in conflit- to con informazioni tutelate da segreti aziendali o proprietà intellettuale528; si verifica quella che è stata definita come legal black box529_{. Al di là di tali informazioni la cui riservatezza è} esplicitamente tutelata, non è ancora chiaro quale sia il contenuto delle informazioni signi- ficative sulla logica utilizzata che il titolare deve fornire sia in ottemperanza dell’obbligo in- formativo che in risposta all’esercizio del diritto d’accesso. Sull’interpretazione di tale espressione e sull’importanza e le conseguenze previste si concentreranno i prossimi paragrafi.

3.2.1 Informazioni significative sulla logica utilizzata

Nel contesto dell’Intelligenza Artificiale non è agevole definire il concetto di logica e dunque individuare la portata dell’obbligo informativo. Si potrebbe far riferimento agli al- goritmi che muovono i fili del sistema intelligente nonché ai data set utilizzati per addestrare questi ultimi530_{. In tal modo, tuttavia, si rischierebbe di perdere il senso stesso del principio}

di trasparenza: da un lato sarebbe tendenzialmente impossibile per l’interessato comprende- re l’informazione (ammesso e non concesso che il titolare sia in grado di fornirla531);

526 _{Il considerando 63 del GDPR richiede che il diritto di accesso possa essere esercitato facilmente e a “inter-}

valli ragionevoli”.

527 _{B.GOODMAN,S.FLAXMAN,European Union regulations on algorithmic decision-making and a “right to explanation”,}

ICML Workshop on Human Interpretability in Machine Learning (WHI 2016), New York (2016), disponibile al sito:

https://arxiv.org/abs/1606.08813. In senso contrario: WACHTER,MITTELSTADT,FLORIDI, Why a Right to Ex-

planation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, cit. Si approfondirà

il concetto di informazione ex ante ed ex post al Capitolo 2, paragrafo 3.3.

528 _{Cfr. Considerando 63, GDPR. Si precisa che il titolare non può fare affidamento sulla protezione dei se-}

greti aziendali come scusa per negare l’accesso o rifiutarsi di fornire informazioni all’interessato. Cfr. Linee Guida, 19

529 _{Cfr. paragrafo precedente.}

530 _{KAMARINOU,MILLARD,SINGH, Machine Learning with Personal Data: Profiling, Decisions and the EU General}

Data Protection Regulation, cit.

531 _{A causa della natura dinamica del machine learning il funzionamento dell’algoritmo è destinato a mutare in}

via autonoma rendendo difficile per il titolare comunicare quale sia la natura dell’algoritmo al momento in cui i dati sono raccolti. Cfr. Ibidem.

dall’altro tali conoscenza potrebbero essere tutelate da segreto aziendale o proprietà intel- lettuale. A causa della technical black box e della legal black box la possibilità che per logica si intenda una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo stesso è da escludere532. A riprova di ciò, si evidenzia come una descrizione matematica e tecnica della logica impiegata tradirebbe la volontà del legislatore, il quale descrive le infor- mazioni come significative. Anche la portata di quest’ultimo termine necessita di maggior ap- profondimento. Innanzitutto, si evidenzia un cambiamento rispetto alla Direttiva 95/46 in cui si faceva un generico riferimento alla “conoscenza della logica applicata”533 _{e non alle “in-}

formazioni significative sulla logica utilizzata”. Mentre il termine conoscenza sembra riferibile “solo” ad un insieme organizzato di informazioni dettagliate, quello di significato integra an- che l’elemento della comprensibilità, rendendo insoddisfacente un’informazione che si col- lochi al di fuori dalla capacità cognitiva dell’interessato. A confermare questa lettura contri- buisce la versione inglese del Regolamento: in esso si utilizza la parola “meaningful”, che rac- chiude in sé tanto il concetto di meaning (significato), quanto quello di important, useful (rile- vante in quanto comprensibile, utile)534. L’idea dell’utilità dell’informazione acquisisce tanto più valore se la si considera come prodromica per un’eventuale azione positiva dell’interessato535: colui che riceve l’informazione deve poterne comprendere il significato a tal punto da poterla utilizzare per esercitare il proprio potere di controllo (ad esempio con- testando la decisione o richiedendo l’intervento umano).

Riconducendo a unità i concetti di logica e di significato così tratteggiati si potrebbe par- lare di un dovere di comunicare i parametri e le aggregazioni che portano alla collocazione dell’interessato in una categoria predeterminata536 _{e all’assunzione della decisione}537 _affinché

egli possa comprendere i motivi alla base della stessa e determinare di conseguenza il pro- prio agire538_.

532 _{Di questa opinione è il Working Party che precisa, però, che la complessità dell’algoritmo non può essere}

una scusa per non fornire informazioni all’interessato, al contrario, il considerando 58 afferma che il principio di trasparenza è “particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica

dell'operazione fanno sì che sia difficile per l'interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano”. Cfr. Linee Guida, 28.

533 _{Art. 12.1.a), Direttiva 95/46.}

534 _{MALGIERI,COMANDÉ,Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protec-}

tion Regulation, cit., 257.

535 _{A.D.SELBST,J. POWLES, Meaningful Information and the Right to Explanation, in International Data Privacy Law,}

Vol. 7(4), 236 (2017), disponibile al sito: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3039125 .

536 _{PIERUCCI, Elaborazione dei dati e profilazione delle persone, cit., 445.}

537 _{Se per far ciò si debba far riferimento alla system functionality o alle specific decisions sarà l’interrogativo alla base}

del Capitolo 2, paragrafo 3.3.

102

3.2.2 Conseguenze previste

Affinché le informazioni possano effettivamente essere significative e comprensibili non è sufficiente che sia fornita la logica utilizzata, bensì è richiesta anche la comunicazione di esempi reali e concreti del tipo di possibili effetti539_{. In tal senso si parla di conseguenze previste,}

le quali comprendono sia gli esiti immediati che quelli a lungo termine540_.

Il Working Party richiama quanto scritto nel Progetto di relazione esplicativa sulla versione modernizzata della Convenzione 108 del Consiglio d’Europa541 _{per chiarire il le-}

game imprescindibile tra (i) comprensione del ragionamento alla base della decisione, (ii) conoscenza delle sue conseguenze, ed (iii) esercizio effettivo delle altre garanzie essenziali.

“Gli interessati dovrebbero avere il diritto di conoscere il ragionamento alla base del tratta- mento dei loro dati, nonché le conseguenze di tale ragionamento, che ha portato a conclusioni conclusive, in particolare nei casi che prevedono l’uso di algoritmi per il processo decisionale automatizzato, compresa la profilazione. Ad esempio nel caso del grado di affidabilità credi- tizia, gli interessati dovrebbero avere il diritto di conoscere la logica alla base del trattamento dei loro dati risultante in una decisione “sì” o “no” e non semplicemente informazioni sulla decisione stessa. In assenza di comprensione di questi aspetti non potrebbe esserci alcun effet- tivo esercizio di altre garanzie essenziali quali il diritto di opposizione e il diritto di proporre reclami presso un’autorità competente”542.

Infine, il Working Party invita il titolare che si trovi a fornire le informazioni in un contesto digitale a utilizzare strumenti aggiuntivi per illustrare gli effetti previsti, come ad esempio degli elementi grafici543_.