Riferimenti normativi

La trasparenza è uno dei principi cardine del GDPR. L’articolo 5, infatti, afferma che i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Questi tre principi risultano di particolare importanza nell’ambito dei processi decisionali automatizzati. Il principio di liceità impone che l’attività di trattamento dei dati avvenga, oltre che nel rispetto delle previsioni del GDPR, anche nel rispetto delle altre norme dell’ordinamento, comprese quelle appartenenti al campo del diritto antidiscriminatorio e del diritto amministrativo nonché nel rispetto dei principi costituzionali. Il principio di correttezza (fairness) del trattamento mira a contrastare quelle attività che possono risultare in trattamenti iniqui e creare discriminazione. Il principio della trasparenza, invece, ha come fine quello di evitare che i dati personali degli interessati vengano trattati in modo invisibile per gli stessi, e di fornire uno strumento per poter esercitare il controllo sui propri dati.

Con particolare riferimento al ruolo della trasparenza, il considerando 39 specifica ulteriormente che:

dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.

478 _{Art. 2, Reg. (UE) 2016/679.} 479 _{Art. 4, n. 1, Reg. (UE) 2016/679.}

108

Anche nel contesto del GDPR la trasparenza ha un ruolo strumentale480_{: è infatti la} condizione necessaria per l’esercizio di una serie di diritti che il Regolamento attribuisce agli interessati (ossia i soggetti i cui dati sono oggetto di trattamento), come il diritto di chiedere l’accesso481 _{ai dati e la rettifica o la cancellazione}482_{, il diritto chiedere la limitazione del} trattamento483_{, il diritto alla portabilità dei propri dati}484_{, ma anche il diritto a contestare una} decisione automatizzata485_.

In merito ai processi decisionali automatizzati, il GDPR impone degli obblighi di notifica per i titolari del trattamento e stabilisce un diritto di accesso in capo all’interessato. In particolare, gli articoli 13 e 14 affermano che, allo scopo di «garantire un trattamento corretto e trasparente»486_{, il titolare del trattamento deve fornire all’interessato informazioni} circa l’esistenza di un processo decisionale automatizzato487_{. L’articolo 13 si applica qualora} i dati personali siano raccolti presso l’interessato e sancisce che tali informazioni debbano essere fornite nel momento in cui i dati personali sono ottenuti. L’articolo 14, invece, si applica nei casi in cui i dati personali siano stati ottenuti da terzi e, in questo caso, le informazioni relative al trattamento di dati personali dell’interessato devono essere comunicate entro un termine ragionevole dall'ottenimento dei dati personali, al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati488_{. L’articolo 15 stabilisce, invece, che l’interessato ha diritto, anche in un momento} successivo alla raccolta dei dati, ad aver accesso ad informazioni circa l’esistenza di un simile processo489_.

Gli articoli 13, 14 e 15 precisano, in aggiunta, che, almeno nei casi di cui all’articolo 22,

co. 1 e 4, devono essere fornite informazioni significative sulla logica utilizzata nonché

sull’importanza e sulle conseguenze previste del trattamento automatizzato per l’interessato490 _{(enfasi aggiunta). L’aggiunta del termine “almeno” rappresenta} un’esortazione a fornire tali informazioni in tutti i casi in cui siano coinvolti sistemi automatizzati, a prescindere che il trattamento rientri nella casistica limitata dell’articolo 22491_.

L’articolo 22 è interamente dedicato alla disciplina dei processi decisionali automatizzati e sancisce, al comma 1, che «l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione,

480 _{Kaminski M. E., The right to explanation, explained, in Berkeley Technology Law Journal 34 (2019), 1, p. 213:} «If one has a right of correction, one needs to see errors. If one has a right against discrimination, one needs to see what factors are

used in a decision. Otherwise, information asymmetries render underlying rights effectively void».

481 _{Art. 15, Regolamento (UE) 2016/679.} 482 _{Art. 16, Regolamento (UE) 2016/679.} 483 _{Art. 18, Regolamento (UE) 2016/679.} 484 _{Art. 20, Regolamento (UE) 2016/679.} 485 _{Art. 22, co. 3, Regolamento (UE) 2016/679.}

486 _{Art. 13, co. 2 e art. 14, co. 2, Regolamento (UE) 2016/679.}

487 _{Art. 13, co. 2, lett. g), art. 14, co. 2, lett. g), Regolamento (UE) 2016/679.} 488 _{Art. 14, co. 3, lett. a), considerando n. 61, Regolamento (UE) 2016/679.} 489 _{Art. 15, co. 1, lett. h), Regolamento (UE) 2016/679.}

490 _{Art. 13, co. 2, lett. g), art. 14, co. 2, lett. g), e art. 15, co. 1, lett. h), Regolamento (UE) 2016/679.}

491 _{Le linee guida del Gruppo di lavoro Articolo 29 specificano che «se il processo decisionale automatizzato e} la profilazione non soddisfano la definizione di cui all’articolo 22, paragrafo 1, è comunque buona prassi fornire le informazioni di cui agli articoli 13 e 14». Gruppo di Lavoro Articolo 29 per la protezione dei dati personali, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del

regolamento 2016/679, 3 ottobre 2017 (modificate in data 6 febbraio 2018), WP 251 rev.01 29, p. 28,

disponibile al link: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053(ultimo accesso il 19/02/2021).

109

che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona»492_.

La singolare formulazione “diritto a non essere sottoposto” ha animato un dibattito dottrinale circa due possibili interpretazioni della disposizione in esame: se la si interpretasse come un divieto generale, i titolari del trattamento sarebbero obbligati a non prendere decisioni automatizzate prima di aver appurato che il trattamento rientra in una delle eccezioni previste dal comma 2 dell’articolo; se la si interpretasse come un diritto soggettivo, l’interessato avrebbe l’onere di obiettare al trattamento automatizzato ogni qual volta questo non rientri nelle suddette eccezioni493_{. Le linee guida del Gruppo di Lavoro ex} art. 29 (ora sostituito dal Comitato europeo per la protezione dei dati) hanno specificato che il termine “diritto” non implica che tale disposizione trovi applicazione solo quando l’interessato intervenga attivamente. L’articolo 22 comma 1, piuttosto, stabilisce un divieto generale di prendere decisioni basate esclusivamente sul trattamento automatizzato, indipendentemente dal fatto che la persona interessata intraprenda o meno un'azione relativa al trattamento dei suoi dati personali494_{. Nonostante tale chiarificazione, la} questione non è ancora pacifica in dottrina495_.

Il comma 2 prevede delle eccezioni al divieto di cui al comma 1: esso, infatti:

non si applica nel caso in cui la decisione: a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisi altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; c) si basi sul consenso esplicito dell'interessato.

Tale comma stempera notevolmente la presa di posizione di cui al comma 1, che sembra introdurre un divieto generalizzato.

Si può dunque concludere che, sulla base del combinato disposto degli articoli 13, 15, e 22, nel caso di decisioni basate unicamente sul trattamento automatizzato, che rientrino in una delle eccezioni citate, l’interessato abbia diritto ad ottenere informazioni significative sulla logica utilizzata dal sistema automatizzato.

Nel caso della conclusione del contratto e del consenso esplicito, il comma 3 impone l’obbligo per il titolare del trattamento di attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato. In particolare, tali misure devono salvaguardare almeno il diritto ad ottenere l'intervento umano da parte del titolare del trattamento, il diritto di esprimere la propria opinione, e il diritto di contestare la decisione496_.

Infine, il comma 4 fissa un limite costituito dal principio per cui le decisioni automatizzate non possono basarsi sul trattamento di dati particolari ex articolo 9 (tra cui dati sanitari, sull’orientamento sessuale o politico, sull’appartenenza etnica ecc.), a meno

492 _{Art. 22, co. 1, Regolamento (UE) 2016/679.}

493 _{Kaminski M. E., The right to explanation, explained, cit., pp. 196-197; Wachter S. et al., Why a Right to}

Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, cit., p. 94.

494 _{Linee guida sul processo decisionale automatizzato, cit., p. 21.}

495 _{Bygrave L.A., Minding the Machine v2.0: The EU General Data Protection Regulation and Automated Decision}

Making, in Yeung K. e Lodge M. (a cura di), Algorithmic Regulation, Oxford University Press, Oxford (UK),

2019, p. 253: «an interpretation of Article 22(1) as a right to be exercised by the data subject is consistent with its actual

wording and makes sense in light of other GDPR provisions which seem to assume the existence of the decisional processes caught by the rule»; Tosoni L., The right to object to automated individual decisions: resolving the ambiguity of Article 22(1) of the General Data Protection Regulation, in International Data Privacy Law (di prossima pubblicazione 2021) p .17:

«Article 22(1) is better characterized as conferring upon data subjects a right that they may exercise at their insistence, rather

than establishing a general ban on individual decisions based solely on automated processing».

110

che vi siano il consenso esplicito dell’interessato o motivi di interesse pubblico e che siano state adottate misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessati dell’interessato. Anche per quanto concerne le decisioni automatizzate basate su dati particolari che rientrano in tali eccezioni, l’interessato avrà diritto ad ottenere informazioni significative sulla logica utilizzata dal sistema automatizzato.

A completamento del quadro normativo sin qui delineato, si deve considerare che, ai sensi dell’articolo 23, il diritto dell’Unione o degli Stati membri può limitare la portata degli obblighi e dei diritti di cui all’articolo 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare una serie di finalità di interesse generale, come la sicurezza nazionale o la prevenzione di reati, ma anche per salvaguardare la tutela dei diritti e delle libertà altrui (tra cui possono rientrare anche le libertà economiche).

Riassumendo, ai sensi del GDPR gli individui ricevono due diverse protezioni: i) il diritto a essere messi a conoscenza di un trattamento automatizzato prima che questo venga posto in essere, il diritto a ricevere informazioni a riguardo anche successivamente, e il diritto ad ottenere informazioni significative sulla logica, l’importanza, e le conseguenze di tale trattamento; ii) il diritto a non essere soggetti ad un trattamento automatizzato ad eccezione di alcuni casi specifici (esecuzione di un contratto, consenso esplicito), in cui però devono essere adottate garanzie appropriate, tra cui il diritto ad ottenere l’intervento umano, il diritto ad esprimere la propria opinione, e il diritto di contestare la decisione.

In ultima istanza, è interessante sottolineare che il considerando 71 affronta anch’esso il tema delle garanzie che debbono essere prestate in caso di trattamento automatizzato ma, oltre a quelle elencate all’articolo 22, prevede anche un “diritto ad ottenere una spiegazione”. Tale espressione è utilizzata esclusivamente nel considerando, il quale non è giuridicamente vincolante. In particolare, il considerando afferma che qualsiasi trattamento automatizzato «dovrebbe essere subordinato a garanzie adeguate che dovrebbero comprendere la specifica informazione all'interessato e il diritto di ottenere l'intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione»497_{. La scelta di} inserire il “diritto di ottenere una spiegazione” prima del “diritto di contestare la decisione” non è una semplice scelta di forma: tale sistemazione rimarca, in realtà, il carattere strumentale della trasparenza. Infatti, il diritto ad ottenere una preventiva spiegazione di come è stata raggiunta una certa decisione è la premessa logica del diritto a poter contestare tale decisione, il quale sarebbe, in mancanza di informazioni in merito al processo decisionale, privo di significato.

Sull’esistenza e sulla portata di un diritto ad ottenere una spiegazione è nato un acceso dibattito dottrinale, che si basa sull’interpretazione delle norme sin qui esaminate alla luce dei principi generali del Regolamento.

4.2.2. Dibattito intorno al “diritto ad ottenere una spiegazione”

Sin dalla pubblicazione del Regolamento nel 2016, numerosi autori si sono cimentati nell’interpretazione delle norme in tema di processo decisionale automatizzato. In particolare, il dibattito si è concentrato su due temi: in primo luogo gli autori si sono interrogati sul concreto ambito di applicazione dei divieti e degli obblighi imposti dal GDPR in caso di trattamento automatizzato, e in secondo luogo è stata affrontata la

111

questione circa il significato concreto delle espressioni “diritto ad ottenere informazioni circa la logica utilizzata” e “diritto ad ottenere una spiegazione”.

I. La portata limitata delle disposizioni sul processo decisionale automatizzato