Il diritto di spiegazione del soggetto a seguito di processi decisionali che riguardano i suoi dati personali

1.  Introduzione

Nella società contemporanea, ogni settore — dalla finanza alla sanità, dalla pubblica amministrazione alla cybersecurity — si avvale costantemente dell’analisi dei dati personali per prendere decisioni che hanno un impatto diretto sulla vita delle persone. Così, ad esempio, una banca stabilisce l'idoneità per un prestito, un ente pubblico decide l’assegnazione di un impiego, oppure un medico individua il trattamento terapeutico più adeguato.

Oggi, tuttavia, stiamo assistendo a una trasformazione profonda: questi processi decisionali vengono sempre più spesso affidati a sistemi automatizzati basati su tecnologie avanzate e intelligenza artificiale (IA). Questo cambiamento comporta numerosi vantaggi: una maggiore efficienza e rapidità nelle decisioni, l'elaborazione di quantità ingenti di dati, la semplificazione dei processi organizzativi e, potenzialmente, una riduzione dei bias individuali e delle interferenze emotive. Ma ci sono anche importanti criticità, tra cui la scarsa trasparenza delle procedure automatizzate, che può tradursi in una tutela insufficiente dei diritti delle persone coinvolte.

È proprio in questo contesto che si inserisce il principio della esplicability (o «spiegabilità»), che sancisce il diritto delle persone a ricevere una spiegazione chiara e comprensibile in merito a decisioni (parzialmente o totalmente) automatizzate che le riguardano. Nato come esigenza di maggiore trasparenza, questo principio ha progressivamente assunto un ruolo giuridico rilevante, fino a entrare a pieno titolo nelle normative europee, in particolare nel quadro regolatorio sulla protezione dei dati personali e sull’intelligenza artificiale.

 2.  Direttiva 95/46/CE: un primo approccio alla spiegabilità dei processi

La prima significativa normativa europea in materia di trattamento dei dati personali è rappresentata dalla Direttiva 95/46/CE, entrata in vigore in Italia il 31 dicembre 1996. Essa si colloca all’alba del fenomeno della datificazione della società, e il suo obiettivo è quello di costruire un equilibrio tra la tutela della vita privata delle persone e la libera circolazione dei dati personali all’interno dell’Unione Europea.

L’articolo 12 della Direttiva stabilisce l’obbligo per gli Stati membri di garantire, a qualsiasi persona interessata, il diritto di ottenere dal responsabile del trattamento «la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate». Tale previsione ricalca il Considerando 41 e rappresenta la volontà del legislatore europeo di contrastare l’opacità che spesso caratterizza i processi decisionali automatizzati, definita con l’espressione «effetto black box».

Un altro elemento normativo rilevante è contenuto nell’articolo 15, il quale enuncia che ogni persona ha il «diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità» quali l’affidabilità creditizia, il comportamento o la performance lavorativa. Sebbene la norma preveda alcune deroghe — ad esempio nei casi in cui tali decisioni siano necessarie per la conclusione di un contratto o previste da leggi nazionali — essa riflette una chiara diffidenza originaria nei confronti dei sistemi decisionali non supervisionati da esseri umani.

Nonostante la sua importanza storica, la Direttiva 95/46/CE ha presto riscontrato dei limiti strutturali: essendo soggetta a recepimento nazionale, ha portato a una frammentazione normativa nei diversi Stati membri, producendo difformità applicative.  Inoltre, è stata promulgata in un momento in cui le tecnologie digitali erano ancora in «fase embrionale» e, perciò, non è risultata sufficiente per far fronte all’evoluzione tecnologica successiva. Essa ha però posto le basi per la regolamentazione della protezione dei dati personali in Europa, e ha aperto la strada all’adozione di un quadro normativo più avanzato, uniforme e vincolante.

3. Le lacune del GDPR

A oltre vent’anni dalla Direttiva 95/46/CE, l’Unione Europea ha adottato il Regolamento (UE) 2016/679, noto come Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore il 25 maggio 2018. Questo nuovo strumento, direttamente applicabile e vincolante per tutti gli Stati membri, ha segnato un punto di svolta nel sistema europeo di tutela dei dati personali.

Sebbene rappresenti un avanzamento significato nella protezione dei diritti dei soggetti interessati, esso non contiene però una disposizione espressa che sancisca un «diritto alla spiegazione» a seguito di procedure decisionali automatizzate. Piuttosto, in dottrina sono stati proposti due metodi interpretativi per dedurre tale diritto da una varietà di disposizioni e Considerando diversi.

Il primo approccio si fonda sugli articoli 13, 14 e 15 del GDPR, che regolano il diritto dell’interessato all’accesso e all’informazione nei casi di trattamento dei suoi dati personali. In particolare, impongono al titolare del trattamento di fornire «informazioni significative sulla logica utilizzata» nei processi decisionali automatizzati. Questa formulazione, pur non garantendo una spiegazione dettagliata del funzionamento degli algoritmi, è stata interpretata come la base per esigere un certo grado di trasparenza nei confronti dell’interessato.

Il secondo metodo si basa sull’articolo 22 GDPR, che sancisce il diritto dell’interessato a «non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona».

L’applicabilità di questa norma, che si rifà al Considerando 71, richiede un elevato livello di automazione — vietando solamente le procedure automatizzate «sopra soglia». Questo articolo introduce, al paragrafo 3, alcune garanzie procedurali fondamentali per il soggetto, il quale avrà diritto a richiedere l’intervento umano, ad esprimere la propria opinione e a contestare la decisione. In particolare, il diritto di contestazione, essendo fortemente incentrato sul caso individuale, richiamerebbe in via indiretta il diritto a una spiegazione: secondo la nozione di «contestability by design» (C. Sarra, 2025), la contestazione darebbe una misura concreta alla quantità di spiegazione necessaria, la quale dovrebbe variare in base alle esigenze della controversia specifica.

Si tratta, però, in entrambi i casi, di interpretazioni estensive delle norme. Il GDPR, pur introducendo elementi di trasparenza, non riconosce esplicitamente alcun diritto generale alla spiegazione delle decisioni automatizzate.

4.    Un Codice Etico per la IA e la posizione del Consiglio di Stato italiano

In questo quadro normativo incompleto, si è progressivamente affermata la necessità di una riflessione più ampia di carattere etico-giuridico, dovuta anche all’utilizzo sempre più pervasivo della IA in ambiti critici della vita quotidiana. Questa esigenza si è tradotta, a livello europeo, nella creazione di una serie di strumenti non vincolanti ma altamente influenti, tra cui spiccano gli «Orientamenti Etici per un’IA affidabile», pubblicati nel 2019 dall’«High-Level Expert Group on Artificial Intelligence (HLEG)» nominato dalla Commissione europea.

Si tratta di un vero e proprio codice etico dell’IA, che ne analizza le potenzialità e criticità proponendo un modello di sviluppo basato sui principi di legalità, eticità e robustezza tecnica e sociale. Nello specifico, gli esperti delineano i sette requisiti fondamentali che la IA dovrebbe avere: intervento e sorveglianza umana; robustezza tecnica e sicurezza; riservatezza e governance dei dati; trasparenza; diversità, non discriminazione ed equità; benessere sociale e ambientale; accountability. Tra questi, la trasparenza occupa un ruolo cruciale: include non solo la tracciabilità dei processi decisionali, ma anche la spiegabilità degli output generati dal sistema e la comunicabilità del funzionamento dei modelli di IA, in termini comprensibili per gli utenti finali. Questo approccio etico riflette una consapevolezza condivisa anche a livello sociale: una IA trasparente è una IA più degna di fiducia. Il riconoscimento della esplicability come valore etico e requisito tecnico ha quindi progressivamente guadagnato terreno, influenzando anche le scelte normative dell’Unione Europea.

A queste posizioni si riallinea anche una storica sentenza del Consiglio di Stato italiano, la n. 2270 del 8/04/2019. Essa tratta il tema della digitalizzazione dell’attività amministrativa, mettendone in luce gli effetti positivi ma, al contempo, fissando le garanzie e principi costituzionali a cui l’utilizzo di tali procedure «robotizzate» da parte dell’amministrazione si deve conformare: in primis, la trasparenza e partecipazione, quali elementi coessenziali alla legalità procedurale.

5.    Il diritto di spiegazione nell’AI Act

L’ultima e più recente normativa adottata dall’UE, a seguito di un lungo iter legislativo, è il Regolamento UE 2024/1689, noto come AI Act. Esso è uno dei primi strumenti strutturati e innovativi nell’ambito della regolamentazione dei sistemi di intelligenza artificiale, ed è il primo a mettere nero su bianco il principio di esplicability.

L’articolo 86 introduce per la prima volta un esplicito diritto dell’interessato a ottenere una spiegazione chiara sui processi decisionali che lo riguardano, in particolare «sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata». Rappresenta, indubbiamente, un punto di svolta in questo percorso giuridico in continua evoluzione, ma la sua applicabilità è soggetta a delle limitazioni. In particolare, esso si applica alle sole decisioni basate su output di sistemi di IA ad alto rischio elencati nell’allegato III del Regolamento che presentano un rischio significativo ai sensi dell’articolo 6, paragrafo 3, dello stesso; inoltre, il diritto alla spiegazione sussiste solamente se la decisione produce effetti giuridici o in modo analogo incide significativamente sulla persona, in un modo che essa ritenga avere un impatto negativo sulla sua salute, sulla sua sicurezza o sui suoi diritti fondamentali.

L’interazione tra il GDPR e l’AI Act crea un quadro giuridico complesso dal punto di vista sia interpretativo che pratico-applicativo. Sulla base di quanto sancisce l’articolo 2 par. 7 dell’AI Act, i due regolamenti coesistono e dovrebbero applicarsi in parallelo, se non con prevalenza del primo. Per quanto riguarda lo specifico interplay tra articolo 22 GDPR e articolo 86 AI Act, il secondo sembra offrire una protezione complementare all’individuo perché non richiede il raggiungimento di una certa soglia in termini di automazione, e quindi obbliga il deployer del sistema di IA sul cui output la decisione si basa a fornire una spiegazione delle decisioni non-, semi- e completamente automatizzate.

Inoltre, l’articolo 22 GDPR è messo in crisi dall’introduzione dell’articolo 14 AI Act, il quale sembra escludere l’applicabilità del primo quantomeno nei casi che coinvolgono i sistemi di IA ad alto rischio. L’articolo 14 introduce l’obbligo di implementare un’adeguata sorveglianza umana finalizzata a monitorare il funzionamento del sistema di IA e a prevenire o minimizzare i rischi per la salute, la sicurezza o i diritti fondamentali. La necessaria presenza di una persona fisica sorvegliante che svolga le funzioni di cui al par. 4 art. 14 esclude che la decisione presa sulla base di output di un sistema di IA ad alto rischio basato esclusivamente su dati personali sia il frutto di un trattamento totalmente automatizzato. Di conseguenza, verrebbe meno il presupposto per l’applicazione dell’articolo 22 GDPR (la presenza di trattamenti completamente automatizzati). Affinché tale esclusione sia giuridicamente fondata, è però necessario che la persona preposta a tale sorveglianza non sia un mero token, coinvolto al solo fine di eludere l’applicazione della norma, ma un soggetto qualificato che abbia l’autorità necessaria per intervenire in modo specifico e materiale nel processo decisionale individuale. Tale principio è stato chiaramente sottolineato dal Comitato Europeo per la Protezione dei Dati (EDPB) nelle Linee Guida del 2017, dove si ribadisce che il coinvolgimento umano deve essere reale, attivo e dotato di effettiva capacità decisionale.

6.    Conclusioni

L’evoluzione del principio di spiegabilità ha rappresentato una risposta normativa e giuridica fondamentale alla crescente pervasività dei sistemi decisionali automatizzati, specialmente nell’ambito dell’intelligenza artificiale. Inizialmente concepito come una mera esigenza di trasparenza, questo principio si è progressivamente integrato nelle normative europee e internazionali, assumendo una valenza essenziale non solo sotto il profilo tecnico, ma anche sotto quello della tutela giuridica degli individui.

L’introduzione dell’articolo 86 dell’AI Act segna un’importante evoluzione in questo processo, ma la sua effettività è ancora condizionata da diversi limiti pratici e interpretativi. In questo quadro, il coordinamento con il GDPR è essenziale, ma anche problematico. La sfida futura sarà quella di bilanciare la complessità tecnologica con la necessità di rendere le decisioni automatizzate pienamente compatibili con i principi di equità, giustizia e tutela dei diritti individuali. Sarà compito del legislatore europeo e di quelli nazionali colmare le lacune interpretative e assicurare che i diritti riconosciuti non restino meramente teorici.

Bibliografia

• Borges G., The right to explanation in the European AI Act, in Proceedings – 2024 IEEE Smart World Congress, SWC 2024 – 2024 IEEE Ubiquitous Intelligence and Computing, Autonomous and Trusted Computing, Digital Twin, Metaverse, Privacy Computing and Data Security, Scalable Computing and Communications, 2024, pp. 1979-1986.

• Demková S., The AI Act’s Right to Explanation: A Plea for an Integrated Remedy, in MediaLaws, 2024.

• Falletti E. – Gallese C., Credit scoring and transparency between the AI Act and the Court of Justice of the European Union, in AIMMES 2024 | Workshop on AI Bias: Measurements, Mitigation, Explanation Strategies, Amsterdam, 2023.

• Häuselmann A., Déjà vu? An Analysis of Explanations Concerning Decision Making Under the GDPR and the AI Act, in AIRe – Journal of AI Law and Regulation, 2025.

• Metikoš L. – Ausloos J., The right to an explanation in practice: insights from case law for the GDPR and the AI Act, in Law, Innovation and Technology, 17(1), 2025, pp. 205-240.

• Nannini L., Habemus a Right to an Explanation: so What? – A Framework on Transparency-Explainability Functionality and Tensions in the EU AI Act, in Proceedings of the Seventh AAAI/ACM Conference on AI, Ethics, and Society (AIES), 2024, pp. 1023-1035.

• Nicotra I.A. – Varone V., L’algoritmo, intelligente ma non troppo, in Rivista AIC, 4/2019, pp. 86-106.

• Sarra C., Dignità umana nell’era dell’intelligenza artificiale e della datificazione, Kront, 2025.

• Sarra C., Il diritto di contestazione delle decisioni automatizzate nel GDPR, in Anuario Facultad de Derecho – Universidad de Alcalá, XII, 2019, pp. 33-69.