Profilazione e informativa: come risolvere un potenziale contrasto
Un argomento che sta sollevando un notevole interesse, sia dal punto di vista teorico, sia dal punto di vista giuridico, riguarda il tema della profilazione. Come è noto, oggi quasi tutti i grandi gestori di dati utilizzano tecniche di profilazione per selezionare particolari interessati ed indirizzare le loro particolari messaggi. In altri contesti, la profilazione viene adottata per assumere decisioni in merito, ad esempio, alla possibilità o meno di concedere un prestito. È ben vero che il regolamento chiarisce assai bene che non vi è una proibizione all’utilizzo di applicativi automatizzati, ma questi applicativi devono presentare dei risultati, che devono essere valutati da un addetto al trattamento.
La prescrizione del regolamento è certamente apprezzabile, ma sorgono molti dubbi circa il fatto che spesso l’incaricato del trattamento potrebbe recepire, senza una valutazione critica, il risultato proposto dall’algoritmo di profilazione.
Per questa ragione gli interessati, che possono essere coinvolti in un processo di profilazione automatizzata, dovrebbero ricevere informazioni assai approfondite sulle modalità con cui questo algoritmo acquisisce i loro dati personali e rielabora.
I giuristi, insieme agli esperti di informatica, stanno ora discutendo se il regolamento effettivamente impone che il titolare offra una dettagliata illustrazione delle modalità di funzionamento dell’algoritmo di profilazione, oppure possono offrire una sintetica informazione. Poiché l’offerta di un’informazione sintetica rappresenta la risposta banale al problema, è bene esaminare in profondità la seconda alternativa, vale a dire quella che esige che l’informativa, nel rispetto dei requisiti di liceità, correttezza e trasparenza, sia sufficientemente approfondita.
La responsabilizzazione del titolare
Ad avviso di chi scrive, il titolare ha una evidente obbligo di fornire informazioni accurate circa il processo di decisione automatizzata, che egli utilizza, illustrando la logica sottostante. Basta leggere attentamente l’articolo 5, comma 5 e l’articolo 22 del regolamento per vedere che i titolari devono dimostrare la loro conformità con gli obblighi che loro incombono proprio nel rispetto dei requisiti di legittimità, correttezza e trasparenza.
I titolari debbono pertanto dimostrare che gli elementi di correlazione che vengono utilizzati negli algoritmi, come regole decisionali, sono significativi e privi di elementi discriminatori. Solo così vi è una giustificazione legittima per una decisione automatizzata afferente ad un interessato.
D’altro canto, se l’interessato non dispone di sufficienti informazioni, circa le modalità con cui l’algoritmo di profilazione utilizza i suoi dati, egli sarebbe messo in difficoltà nel presentare delle obiezioni ai risultati proposti dall’algoritmo.
Un semplice esempio può spiegare la situazione.
Ad esempio, nell’algoritmo potrebbe essere introdotto un elemento decisionale, che blocca la concessione del credito a persone appartenenti a specifiche categorie etniche o religiose. Se l’interessato è al corrente di questo fatto, egli potrà contestare la decisione in quanto discriminatoria. Toccherà quindi al titolare del trattamento dimostrare che l’utilizzo di questa regola non costituisce una illecita discriminazione nei confronti dell’interessato e può quindi continuare ad utilizzare l’algoritmo. Se le spiegazioni offerte dal titolare non sono soddisfacenti, l’interessato può presentare un reclamo alla autorità di supervisione nazionale, che interverrà in merito.
Lo studio accurato dell’algoritmo di profilazione
I titolari, per soddisfare i loro obblighi nei confronti di decisioni automatizzate, debbono progettare, sviluppare ed utilizzare i relativi algoritmi in una maniera trasparente, prevedibile e verificabile. Appare evidente che una risposta del tipo “è una decisione che ha preso l’algoritmo” non rappresenta certo una risposta accettabile.
Non per nulla due studiosi del settore, Nicholas Diakopulos e Sorelle Friedler, hanno dichiarato quanto segue:
“la responsabilizzazione afferente all’algoritmo di profilazione comporta un obbligo, da parte del titolare, di giustificare le decisioni prese dall’algoritmo, mitigando qualsiasi impatto sociale negativo o danni potenziali che coinvolgano l’interessato.”
Perfino negli Stati Uniti, dove certamente l’attenzione ai problemi di protezione dei dati personali non è così elevata come in Europa, la commissione federale per il commercio US FTC ha pubblicato delle raccomandazioni, che promuovono principi similari di equità, quando si utilizzano algoritmi di profilazione e decisione automatizzata. Addirittura si può cadere nell’eccesso in cui l’utilizzo di regole sbilanciate potrebbe, nell’esame di una domanda di assunzione, favorire in modo anomalo una categoria protetta, rispetto ad altre categorie.
L’argomento ha attirato anche l’attenzione dell’autorità garante norvegese, che ha pubblicato uno specifico rapporto, dove letteralmente si riporta questa affermazione.
“Una organizzazione deve essere capace di spiegare, documentare, ed in certi casi anche dimostrare, che il trattamento di dati personali, da parte di questa organizzazione, rispetta pienamente il regolamento. Se l’autorità nazionale garante sospetta che la descrizione offerta all’organizzazione non sia corretta o contenga informazioni errate, può chiedere all’organizzazione di verificare in dettaglio l’algoritmo di profilazione, soprattutto quando vi è il sospetto che un algoritmo utilizzi dati, che l’organizzazione non dovrebbe utilizzare. Nasce così il legittimo sospetto che l’algoritmo stia correlando dati che potrebbero portare a risultati discriminatori”.
Se leggiamo con attenzione gli articoli 13 e14 del regolamento, notiamo che essi impongono ai titolari, che utilizzano dati personali per sviluppare decisioni automatizzate, di attenersi ai seguenti regole:
- informare gli interessati su questi processi automatizzati e
- offrire agli interessati informazioni comprensibili circa la logica utilizzata,
- illustrare il significato della decisione automatizzata e le possibili conseguenze di tale decisione sull’interessato coinvolto.
Il tema è talmente importante che anche l’ormai famoso articolo 29 Working party, recentemente trasformatosi nel comitato europeo per la protezione dei dati, ha elaborato uno specifico documento, che prende buona nota del fatto che la crescita e la complessità degli applicativi automatizzati potrebbe rendere difficile per un titolare, e figuriamoci quindi per un interessato, di capire come l’algoritmo giunga a determinate conclusioni e presenta il suo risultato.
Ecco la ragione per la quale le organizzazioni devono trovare dei modi semplici per informare l’interessato circa i criteri utilizzati per raggiungere una decisione, senza necessariamente utilizzare complesse spiegazioni, od illustrare in dettaglio il funzionamento dell’algoritmo.
Una diretta conseguenza di questa affermazione sta nel fatto che il titolare deve conoscere a fondo l’algoritmo che utilizza e purtroppo l’esperienza ha mostrato che questa situazione non sempre si verifica.
È per questa ragione che l’articolo 22 al comma 3 impone specificamente che ogni decisione automatizzata sia comunque convalidata da un operatore umano, mentre il considerando 71 offre un ulteriore salvaguardia: il diritto, da parte dell’interessato, di ricevere una spiegazione circa il motivo di alcune decisioni automatizzate.
Gli studiosi di diritto affermano che l’articolo 22 non offre all’interessato il diritto di ricevere una spiegazione, ma che questo diritto è solo presente nel preambolo del regolamento europeo e il preambolo non ha valore di legge. Tuttavia è bene ricordare che la corte di giustizia dell’Unione Europea ha già fatto presente che questo fatto non toglie validità al preambolo, ma solamente proibisce l’uso del preambolo per interpretare una disposizione in una maniera chiaramente contraria al suo significato formale.
Sempre leggendo attentamente l’articolo 22, comma 3, ci si rende conto che il testo non solo impone di utilizzare adeguate salvaguardie nel progetto di questi applicativi, ma lascia anche spazio per utilizzare altre salvaguardie, come ad esempio il diritto a ricevere una spiegazione sull’esito di una decisione automatizzata, come appunto previsto al considerando 71.
Ancora una volta, le opinioni dell’articolo 29 Working party e il rapporto dell’autorità garante norvegese sono illuminanti.
Un altro elemento di garanzia, che ogni titolare diligente dovrebbe attuare, riguarda la verifica periodica dell’esito di particolari profilazioni, utilizzando dei dati di prova. In questo caso vengono inseriti alcuni dati specifici all’interno dell’algoritmo e si può controllare se l’esito della valutazione automatizzata presenta caratteristiche di equità e chiarezza.
Una appropriata impostazione in fase di progetto dell’algoritmo ed una successiva attenta valutazione periodica degli esiti proposti dall’algoritmo stesso rappresentano due passi fondamentali per tenere sotto controllo l’algoritmo stesso.
Si può quindi tranquillamente affermare che l’interessato del trattamento ha diritto ad una approfondita e comprensibile informativa, all’offerta di adeguate spiegazioni ed infine all’offerta di chiare giustificazioni, ove egli ritenga che l’algoritmo non abbia elaborato in modo legittimo, corretto e trasparente i suoi dati
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.