I dati rilevanti, i processi alla base dell’elaborazione algoritmica, il perché di una certa decisione assunta con mezzi automatizzati che incida la sfera giuridica di una persona fisica, dovrebbero essere tracciabili, trasparenti, spiegati; ciò anche per mettere l’interessato in condizione di contestarne i contenuti. Invece, raramente lo sono: o per scelta - per ragioni competitive, di tutela del know-how - o per limiti tecnologici: è il caso di quegli algoritmi che vengono definiti "black-box"; sistemi i cui meccanismi inferenziali non sono (completamente) prevedibili ex ante o che, comunque, non sempre consentono di spiegare perché un modello decisionale automatizzato abbia generato un particolare risultato (e quale combinazione di fattori vi abbia contribuito). Dopo aver affermato l'esistenza di un dovere etico di trasparenza dell'algoritmo e di spiegazione della decisione (individuale) raggiunta con mezzi automatizzati, il contributo si interroga, in senso affermativo, sull’esistenza di un corrispondente obbligo sul piano del diritto positivo, indagandone portato e limiti, tanto di natura giuridica che tecnologica. Attingendo criticamente alle più importanti opinioni dottrinali sull'argomento e introducendo il concetto di dato personale inferito, il diritto alla spiegazione è identificato, nella cornice normativa del GDPR, nel diritto di accesso di cui all'articolo 15 del Regolamento sulla protezione dei dati.

SOMMARIO:

1. Decisione algoritmica e Intelligenza Artificiale: il falso mito della neutralità dell’algoritmo - 2. Black-box e AI etica: il problema dell’opacità dei processi - 3. GDPR: le ‘informazioni significative’ tra ‘generale funzionalità dell’algoritmo’ e ‘diritto a ottenere una spiegazione’ - 4. Segue. Il diritto d’accesso come informazione ex post - 5. Limiti. Il dato letterale dell’art. 22 - 6. Segue. Segreto commerciale e diritto d’autore: il difficile bilanciamento - 7. Conclusioni - NOTE

1. Decisione algoritmica e Intelligenza Artificiale: il falso mito della neutralità dell’algoritmo

Decisione algoritmica, trattamento automatizzato dei dati, intelligenza(e) artificiale(i); sono termini (e fenomeni) spesso correlati, talvolta – nella narrazione – anche in modo confusivo. Pertanto, pur senza pretese di nitidezza – abbisognando, ogni discorso che si proponga di contribuire alla generale trattazione di un problema, riferirsi anzitutto ad una certa sistemazione dello stesso – qualche premessa classificatoria risulta imperativa. Quella che chiamiamo, in questa sede, decisione algoritmica è il risultato – l’output – di un cosiddetto processo decisionale automatizzato (spesso individuato dall’acronimo inglese A.D.M., Automated Decision Making), espressione che si riferisce – in senso ampio – a null’altro che qualunque procedimento che consenta, attraverso l’impiego di strumenti tecnologici, di prendere decisioni senza, o comunque con irrilevante coinvolgimento umano. Una tale definizione non implica, dunque, ma chiaramente include, l’utilizzo delle tecnologie cd. di Intelligenza Artificiale, come più in generale qualsiasi tecnica informatica che, basandosi su algoritmi – ovvero una sequenza di operazioni eseguibili da un processore [1] – consenta di eseguire compiti ripetitivi con i dati senza la necessità di una costante guida umana [2]. Tra questi, i sistemi di IA – volendoli definire brevemente – e accogliendo una delle definizioni tra le più accreditate – si distinguono in quanto, essenzialmente, dei sistemi razionali [3] capaci di ‘agire e pensare umanamente’ [4]; in grado, cioè, di risolvere problemi imitando quello che sarebbe il comportamento umano in circostanze analoghe. Un sistema intelligente è capace di raccogliere dati da un certo data-base o ambiente di riferimento, interpretarli [5] e – alla luce dell’obiettivo da raggiungere – decidere quale sia l’azione o la decisone migliore, quindi agire di conseguenza [6] in modo pressoché automatico [7]. Questo processo decisionale è condotto dalla macchina – a seconda delle tecniche di AI implementate – applicando schemi ragionativi statici ovvero ricorrendo a tecniche di apprendimento automatico (e.g. machine learning, deep learning, reti neurali, decision trees e altre). Senza entrare nel dettaglio, basti sapere – ai nostri fini [continua ..]

2. Black-box e AI etica: il problema dell’opacità dei processi

Altro – generale e più grande problema, e che qui maggiormente interessa – è quello dell’opacità, che si riflette sulla possibilità di sindacare la decisione assunta con mezzi automatici [25]. I set di dati, i processi che determinano la decisione degli algoritmi, il perché di una certa decisione che incida la sfera giuridica di una persona dovrebbero essere tracciabili, trasparenti, spiegati; ciò anche per mettere in condizione l’interessato di contestarne i contenuti. Non sempre invece lo sono, o lo sono adeguatamente: vuoi per scelta [26] – per ragioni competitive, di tutela del know-how – o per limiti tecnologici: è il caso di quegli algoritmi che propriamente chiamiamo ‘black-box’, sistemi i cui meccanismi inferenziali non sono (completamente) prevedibili ex ante [27] o che, comunque, non rendono sempre possibile spiegare perché un modello abbia generato un particolare risultato o decisione (e quale combinazione di fattori vi abbia contribuito) [28]. L’insorgenza di questi problemi e la crescente preoccupazione, anche dovuta al timore che la diffidenza verso i nuovi strumenti tecnologici potesse limitarne la diffusione nel mercato, ha portato all’adozione di una serie di Carte Etiche – di derivazione pubblica o anche privata – a tutti i livelli: internazionale, europeo, nazionale [29]. Muovendo dall’idea secondo cui – poiché la tecnologia digitale diventa una parte sempre più centrale di tutti gli aspetti della vita umana – le persone dovrebbero potersi fidare di tale tecnologia [30] e questa debba essere sviluppata al servizio dell’uomo, essere etica e rispettare i diritti fondamentali, si sono individuati una serie di principi e requisiti cui i sistemi intelligenti, le rispettive applicazioni, i produttori, programmatori ed utilizzatori dovrebbero attenersi. Leva, o una delle principali leve, di questa strategia [31] per una IA ‘human-centric’e ‘trustworthy’, per usare le parole del Gruppo di Esperti sull’intelligenza artificiale nominato dalla Commissione europea [32], è proprio la trasparenza [33]. Spesso, presupposto fondamentale per garantire che i diritti umani fondamentali e i principi etici siano rispettati, protetti e promossi [34]. Se l’I.A. deve essere sviluppata al servizio [continua ..]

3. GDPR: le ‘informazioni significative’ tra ‘generale funzionalità dell’algoritmo’ e ‘diritto a ottenere una spiegazione’

Posto, dunque, un pacifico dovere etico di trasparenza dell’algoritmo [39] e di spiegazione della (singola) decisione raggiunta con mezzi automatizzati, occorre chiedersi se esista – e in che termini (cioè con quale ampiezza) – un corrispondente diritto sul piano dello ius positum – e quali siano i suoi limiti, di natura giuridica ma anche tecnologica. Quadro giuridico generale [40] di riferimento, almeno nei casi in cui il trattamento decisionale automatizzato riguardi dati personali è dato dal Regolamento (EU) 2016/679 (in sigla, GDPR) [41]. L’articolo 22 del Regolamento [42] espressamente sancisce il diritto dell’interessato a “non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione [43], che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Il divieto, ai sensi del paragrafo 2 dello stesso articolo, non si applica solo se, e nella misura in cui i trattamenti decisionali automatizzati sono necessari per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento oppure siano basati sul consenso dell’interessato [44]. Sorvolando sulla portata di questa deroga – peraltro non l’unica [45] – che ammette, sostanzialmente, l’Automated Decision Making in presenza di tutte quelle condizioni autorizzative per così dire “consensuali” [46] – che sarebbero idonee, almeno in teoria, ad assicurare una più ampia consapevolezza dell’interessato [47] – si prevede che nelle ipotesi in cui il trattamento decisionale automatizzato sia consentito, il titolare del trattamento ha il dovere – ai sensi del paragrafo 3 dell’esaminando art. 22 GDPR – di adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi del data subject, e tra questi, in particolare, è tenuto in ogni caso a garantirgli il diritto ad ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestarne la decisione. Ulteriori prescrizioni per il caso di trattamenti decisionali automatizzati così come definiti dall’art. 22 sono contenute negli articoli 13 (2)(f),14 (2)(g) e 15 (1)(h) del Regolamento. Queste disposizioni, con formulazione [continua ..]

4. Segue. Il diritto d’accesso come informazione ex post

La necessità di un’interpretazione tal fatta è, per chi scrive, la naturale conseguenza di una lettura sistematica e coerente del paragrafo 1, lettera h) dell’art. 15 del Regolamento. Come visto, infatti, l’art. 22 del GDPR, al paragrafo 3, prevede espressamente il diritto dell’interessato destinatario di una misura di ADM a mettere in discussione la decisione automatizzata attraverso la possibilità di ottenere l’intervento umano e cioè di relazionarsi in modo ‘dialettico’ col titolare del trattamento, esprimendo la propria opinione, chiedendo di procedere ad una verifica della decisione e potendo anche, successivamente, contestarne gli assunti. Si tratta di un diritto, a ben vedere, che, salvo volerne frustrare il contenuto sostanziale, sottende necessariamente, da parte dell’interessato (e quindi richiede al titolare del trattamento) un’informazione specifica sul funzionamento dell’algoritmo decisionale; un’informazione non astratta e prognostica, ma concreta ed ex post [71], calata nell’applicazione specifica che lo riguarda; solo in tal modo infatti l’interessato sarebbe messo in condizione di esercitare appieno il suo diritto oppositivo, disponendo degli strumenti idonei a muovere una contestazione specifica e motivata [72]. Non è a caso, infatti – a parere di chi scrive – che il Considerando 71 del Regolamento [73] – il quale, a differenza del testo normativo, espressamente cita il diritto dell’in­teressato a “ottenere una spiegazione” – esplicitamente metta in relazione questa garanzia al diritto di “ottenere l’intervento umano” e di poter “esprimere la propria opinione” in merito alla decisione automatica. Il rapporto di funzionale implicazione tra informazione (si consenta, spiegazione) e contestazione è, a ben vedere, valorizzato anche dalla relazione esplicativa che accompagna la cd. Convenzione 108+ del Consiglio d’Europa – ovvero il Protocollo di modifica, sottoscritto dall’Italia, che nell’aggiornare la Convenzione di Strasburgo del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale al mutato contesto tecnologico, espressamente aggiunge nel nuovo articolo 9 (rubricato: Rights of the data subject), lett.a, il diritto di ciascun individuo “not to be [continua ..]

5. Limiti. Il dato letterale dell’art. 22

Postulata la possibile base giuridica di un diritto alla spiegazione della decisione algoritmica, veniamo però ai suoi limiti. Un primo attiene all’ambito di applicazione, come ha rilevato qualcuno [88] piuttosto limitato, in base alla formulazione letterale dell’art. 22 GDPR. I trattamenti automatizzati di cui stiamo parlando rilevano infatti, espressamente, solo in quanto siano ‘decisionali’, conducano cioè ad (e applichino) una decisione che influisca sull’interessato. Ciò comporta che siano esclusi dalla fattispecie tutti quei trattamenti di dati non tipicamente ‘inferenziali’, in cui cioè l’utilizzo di tecniche informatiche sia limitato, magari, alla conservazione e/od organizzazione di dati personali senza comportare alcun passaggio analitico e/o valutativo degli stessi. Nei trattamenti decisionali automatizzati (ADM), invece, i dati sono, al contrario, raccolti (o sottoposti alla macchina) proprio perché questa, eseguendo un dato calcolo – applicando cioè al data-set regole deduttive algoritmicamente definite nel programma – li analizzi per arrivare ad una certa ‘soluzione’, un output ’decisionale’, appunto. Questa decisione – perché il relativo trattamento sia rilevante per gli effetti della disposizione in esame – deve essere “basata unicamente sul trattamento automatizzato” [89]: interpretazione letterale della disposizione vorrebbe dunque che ricadano nell’ambito applicativo dell’esaminanda disciplina solo quelle decisioni fully automated, dovendosi invece ritenere escluse tutte quelle in cui sia possibile riscontrare un benché minimo coinvolgimento umano che possa variamente ‘interferire’ col processo decisionale automatizzato, potendo verificare o modificare la decisone ma anche, ad esempio, meramente ratificarla. Un’interpretazione siffatta, a ben vedere, rischierebbe di escludere dall’ambito applicativo della rigorosa disciplina di tutela in esame una buona parte di decisioni che sono in sostanza esito di trattamenti automatizzati ma, ad esempio, formalmente applicate per intervento umano [90]. Tutto ciò – pena vanificare gli scopi di tutela della disposizione che si analizza – dovrebbe perciò più opportunamente condurre ad adottare un’interpretazione larga dell’articolo 22, ritenendo [continua ..]

6. Segue. Segreto commerciale e diritto d’autore: il difficile bilanciamento

La governance degli algoritmi decisionali impone un’ulteriore, e non facile, operazione ermeneutica, connessa alla necessità di operare un bilanciamento tra il diritto di chi è soggetto alla decisione automatica ad essere adeguatamente informato sul funzionamento dell’algoritmo, e quello – opposto – di chi abbia sviluppato ed utilizzi a fini economici l’algoritmo a tenerne segreto il design per evitare di disperderne il valore imprenditoriale a vantaggio concorrenziale dei competitors. Ciò rappresenta un ulteriore limite al diritto alla spiegazione della decisione automatica; quest’ultimo, importante e più difficilmente aggirabile. Secondo il Considerando 4 del GDPR, “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va […] contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità” e il Regolamento “rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta e sanciti dai trattati […]” tra cui “[…] la libertà d’impresa […]”. Più specificamente, il Considerando 63, relativo al diritto di accesso, testualmente afferma che “tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software” con la precisazione che “tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”. In ciò facendo eco, tra l’altro, alla recente Raccomandazione del Consiglio d’Europa [95] secondo cui “States should establish appropriate levels of transparency with regard to […] use, design and basic processing criteria and methods of algorithmic systems […]’ e che “The legislative frameworks for intellectual property or trade secrets should not preclude such transparency, nor should States or private parties seek to exploit them for this purpose” [96], che, peraltro, dà indubbia prevalenza, tra le situazioni tutelate, al diritto dei singoli ad essere opportunamente informati. Sugli estremi di questo bilanciamento [97] ci illumineranno senz’altro la giurisprudenza europea e nazionale, la questione [continua ..]

7. Conclusioni

Se pure si fosse riusciti nell’intento di dimostrare l’esistenza, sul piano giuridico, di un diritto del singolo a ottenere una spiegazione della decisione algoritmica che lo riguardi, da intendersi – riepilogando – almeno come ‘informazioni significative’ sulla logica concretamente utilizzata nel(lo specifico) processo decisionale automatizzato (ex post), resterebbe ancora da porsi il più importante degli interrogativi: se il diritto suddetto non incontri, superati i limiti giuridici, limiti tecnologici in grado di ostacolarne l’attuazione. Secondo quanto ampiamente sostenuto in letteratura [106] la regola inferenziale che anima i processi automatizzati dei sistemi di Machine Learning – come si è detto, adattiva, non definita a priori, in sede di programmazione, ma dinamicamente (e autonomamente) rielaborata dall’Intelligenza artificiale nell’esperienza d’utilizzo – non sarebbe (sempre) conoscibile [107], almeno relativamente alla ricostruzione – determinante, ai fini de qua – della logica in concreto alla base della elaborazione di uno specifico output [108]. Se questo non è sempre vero [109] – e seppur in attesa di nuovi promettenti elaborati della tecnica [110], ciò rappresenterebbe, pur tuttavia – allo stato attuale – un limite, di natura tecnologica, tale da rendere, in queste ipotesi, ‘inutile’ il diritto alla spiegazione che qui si vuole prescritto dal GDPR; inutile, perché impossibile sarebbe, per il titolare del trattamento che si affidi all’utilizzo di sistemi ‘black box’ ad apprendimento autonomo, ricostruire (e quindi condividere) la logica decisionale seguita dalla macchina. Sicuramente ex ante; in molti casi ex post [111]. Ciò posto, occorre chiedersi in che modo l’ipotesi della irrealizzabilità pratica del diritto alla spiegazione reagisca nel sistema del GDPR. Come argutamente rilevato [112], in questa prospettiva, nelle ipotesi in cui si assuma essere precluso il tipo di spiegazione richiesto, risultando impossibile verificare liceità e correttezza del trattamento, la conseguenza che si produce sul piano logico non sarebbe l’inapplicabilità della norma – quindi la sua inutilità – ma il ripristino del divieto – assoluto, mancandone le condizioni minime di [continua ..]

NOTE