Privacy, Algoritmo e Intelligenza Artificiale

La Suprema Corte di Cassazione con l’ordinanza del 25 maggio 2021, n. 14381 ha pronunciato una rilevante e centrale “massima” per quanto riguarda il diritto del trattamento dei dati personali e il rapporto che esso ha con gli algoritmi e l’intelligenza artificiale.

Il caso

Nel caso in specie si trattava di una piattaforma web con archivio informatico che si proponeva come oggetto quello di elaborare profili reputazionali di persone fisiche e giuridiche. Il Sito si proneva di raggiungere due scopi:  per primo, combattere la creazione di profili reputazionali falsi e, conseguentemente per secondo, calcolare attraverso l'uso di un sofisticato algoritmo matematico, il relativo « rating» dei soggetti raccolti (con attribuzione di punteggi divisi in sottocategorie e condivisibili con gli altri utenti della piattaforma),  garantendo che tale selezione sarebbe avvenuta secondo modalità di imparzialità, affidabilità, ed oggettività.

Si pensava in questo modo, di rendere possibile per soggetti terzi la verifica della propria credibilità con il conseguente aumento di limpidezza e sicurezza nel campo del business networking.

L'Autorità Garante per la protezione dei dati personali aveva ritenuto il trattamento operato mediante tale piattaforma “non conforme alla disciplina sulla protezione dei dati personali” considerandola carente in merito a:  

• liceità del trattamento in termini di “consenso” non risultando esso libero, specifico e informato; 
• principi di necessità e proporzionalità, risultando eccessiva e dubbia la rilevanza e pertinenza di molti dei dati raccolti; 
• principio di qualità dei dati non essendo chiaro sia la modalità di funzionamento dell'algoritmo sia il rapporto tra questo e l’efficacia del rating.

Con l’ordinanza in questione, la Corte ha considerato legittimi i motivi proposti dal Garante della Privacysoprattutto in merito all’analisi dei “requisiti di validità del consenso” e dell' “utilizzo dell'algoritmo”.

Si presupponeva infatti che l’adesione alla piattaforma non implicasse in maniera implicita anche l’avvenuta accettazione dell’algoritmo ricordando che il consenso può considerarsi “valido” “se riferito a un trattamento chiaramente individuato e che fosse comunque necessario rendere conoscibile “lo schema esecutivo” attraverso il quale viene calcolato l’algoritmo con le ripercussioni che questo trattamento ha per l’interessato anche secondo i principi indicati nel Regolamento Europeo  - GDPR. 

Motivi di interesse giuridico 

 La Corte di Cassazione, con questo provvedimento emesso proprio al compimento del terzo anno dall’entrata in vigore del GDPR ha posto in esame il complicato rapporto tra il supposto consenso dell’interessato e l’uso degli algoritmi con riguardo ai temi di profilazione che attraverso i primi sono posti in essere. 

Il consenso dell'interessato è dunque ritenuto la base di liceità per il trattamento dei dati personali per lo più in un contesto sensibile come quello dei sistemi di intelligenza artificiale.

Il GDPR è chiamato proprio ad operare in questa rinnovata realtà sempre più virtuale. In questo senso viene consolidato “il ruolo del consenso” arricchendolo del requisito dell' “inequivocabilità”, ed inserendolo tra le principali basi giuridiche principali anche in contesti automatizzati come quello della profilazione. 

Proprio in merito alla profilazione e alla richiesta di trasparenza trasformatasi in “diritto alla spiegazione”, va premesso che strumenti come gli algoritmi hanno delle capacità notevoli non solo in merito alla loro automatizzazione rispetto alla possibilità di analisi ma anche per la  loro capienza rispetto ad enormi quantità di dati. In più tali sistemi posseggono, sulla base di tecniche di “machine learning”, la facoltà di prevedere e decidere in forma autonoma. Tutto ciò li rende spaventosamente vicini alla capacità di ponderazione degli esseri umani.

È in questo ambito che va inserito quanto previsto dalla Corte di Cassazione. Vale a dire la facoltà per l’interessato di “conoscere” l’algoritmo secondo quanto previsto dagli artt. 13, par. 2, lett. f), e 14, par. 2, lett. g), del GDPR. Si discute se in tale contesto rientri anche quanto enunciato dall’art. 22 del GDPR in merito alla profilazione. Infatti, in base a tale disposizione, il titolare del trattamento è tenuto a dare all’interessato tutta una serie di informazioni rispetto « l'esistenza di un processo decisionale automatizzato, compresa la profilazione [...] e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato ». 

Tale “interesse” a conoscere la logica di funzionamento dell'algoritmo è stato denominato dalla dottrina «diritto alla spiegazione» o alla «leggibilità».  Secondo la tesi principale sarebbe in questo caso necessario procurare informazioni significative sulla logica utilizzata senza però andare più a fondo senza che tale materia entri in conflitto con altri diritti quali quello della proprietà intellettuale ed industriale. 

Il “diritto alla spiegazione” del funzionamento dell’algoritmo si sviluppa in maniera duplice:  per primo, in una spiegazione ex ante, riguardo le funzionalità tecniche del sistema e, in secondo luogo, in una spiegazione ex post, in cui vengono evidenziate le articolazioni logiche di interazione tra gli input iniziali conferiti all’algoritmo fino a giungere agli output finali. 

Conclusioni

Questa breve analisi dell’interazione tra privacy ed intelligenza artificiale mostra come debba essere sviluppato un attento lavoro di studio tale da rendere strumenti come gli algoritmi effettivamente al servizio dell'uomo. In questo modo si potrà svilupparli progressivamente e utilizzarli correttamente in chiave antropocentrica, nel pieno rispetto dei diritti inalienabili dell’uomo come quello alla privacy.