Il processo decisionale automatizzato (ADM) nel GDPR

Introduzione

Il processo decisionale automatizzato, noto anche con la sigla anglofona ADM (Automated Decision-Making), è disciplinato all'articolo 22 del Regolamento Generale sulla Protezione dei Dati (GDPR): «l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona». Tale divieto presenta tre eccezioni:

• quando la decisione «sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento» (art. 22, par. 2, lett. a));

• qualora la decisione «sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato» (art. 22, par. 2, lett. b));

• quando «si basi sul consenso esplicito dell'interessato» (art. 22, par. 2, lett. c).

  
  

Prima di procedere nel dettaglio all'analisi dei diversi elementi costituenti l'art. 22, è doveroso soffermarsi sul «diritto» negativo riconosciuto in capo all'interessato. L'interpretazione prevalente, come già suggerito dalle linee guida del WP29/EDPB, e confermato dalla CGUE in SCHUFA (C-634/21), tende a considerare il «diritto» di cui all'art. 22, par. 1 come passivo e, quindi, meritevole di tutela a priori. Ciò significa che, indipendentemente dall'esercizio di tale diritto da parte dell'interessato, il titolare deve astenersi dall'intraprendere il trattamento automatizzato, salvo l'applicazione delle eccezioni previste al paragrafo 2.

Come menzionato supra, l'art. 22 contiene tre condizioni essenziali per la sua applicabilità: 1) deve essere presente una «decisione»; 2) la «decisione» deve essere «basata unicamente sul trattamento automatizzato»; 3) deve produrre effetti giuridici sull'interessato oppure incidere significativamente e in modo analogo sullo stesso.

1. il perimetro della «decisione»

Muovendo da quanto stabilito in SCHUFA (C-634/21), il concetto di «decisione» – la cui definizione è assente nel Regolamento – gode di estesa interpretazione, comprendendo «diversi atti che possono incidere sulla persona interessata in vari modi», nonché taluni atti preparatori. Nel caso specifico, il calcolo automatizzato di un punteggio di affidabilità creditizia da parte di un agenzia terza – Schufa, per l'appunto – è stata considerata una «decisione» poichè il decisore finale – la banca – vi ha fatto affidamento «in modo decisivo». Ciò implica che la definizione non identifica necessariamente la decisione finale ma garantisce, anzi, una più ampia protezione che tenga conto del significativo processo automatizzato sottostante, evitando scarichi di responsabilità riguardo alla determinazione finale. L'ampia portata del termine si evince anche dal considerando 71, largamente citato in SCHUFA. Tale considerando menziona la possibilità di «una misura, che valuti aspetti personali [dell'interessato]». Esso contiene inoltre alcuni esempi, non esaustivi e di varia natura, di trattamenti passibili di applicazione del divieto generale di cui all'art. 22(1), con particolare attenzione al contesto della «profilazione».

2. Classificazione della decisione come «basata unicamente sul trattamento automatizzato»

Procediamo innanzitutto a ribadire una differenza tanto basilare quanto rilevante: il «trattamento automatizzato» di cui all'art. 22, par. 1 e la «profilazione» di cui all'art. 4, par. 4 GDPR non sono termini equivalenti né intercambiabili. La profilazione è una «qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica». La definizione comprende qui un qualsiasi tipo di trattamento automatizzato, differenziandosi dal concetto di decisione «basata esclusivamente». Nel secondo caso, infatti, l'intervento umano è cruciale, in quanto preclude l'applicazione della norma, mentre elemento essenziale della profilazione è la valutazione degli aspetti personali dell'individuo. Tale distinzione è stata operata anche nelle linee guida del WP29/EDPB ove viene chiarito che, benchè la profilazione, inglobata nel par. 1 dell'art. 22, debba essere considerata in relazione al trattamento automatizzato, il «trattamento automatizzato» su cui la «decisione» si basa, può configurarsi anche senza profilazione. Si riporta di seguito, a titolo esemplificativo, l'esempio fornito dal WP29/EDPB: «infliggere una multa per eccesso di velocità esclusivamente sulla base delle prove fornite dall’autovelox è un processo decisionale automatizzato che non implica necessariamente la profilazione», tuttavia «la decisione di infliggere la multa sarebbe basata sulla profilazione se le abitudini di guida della persona in questione fossero state monitorate nel tempo e, ad esempio, l’ammontare della multa fosse il risultato di una valutazione che coinvolge altri fattori quali l’eventuale recidiva di eccesso di velocità o l’eventuale recente violazione di altre disposizioni del codice della strada».

Come appena accennato, il requisito della componente umana risulta essenziale e centrale affinché il trattamento rientri nel divieto di cui all'art. 22, par. 1. Tale intervento deve essere «significativo», influendo sulla decisione, e non costituire mero gesto simbolico. In altre parole, in titolare non può aggirare le disposizioni creando un intervento umano fittizio ad hoc. Sulla base di quanto chiarito dal Tribunale di Amsterdam (ECLI:NL:RBAMS:2024:4019), inoltre, anche nel caso in cui i parametri di un sistema automatizzato siano stati determinati da una componente umana, la decisione è comunque «basata unicamente sul trattamento automatizzato» ai sensi del GDPR, in quanto non rileva il fatto che il sistema originale sia stato creato da persone ma, bensì, che nel processo decisionale non vi sia alcun intervento umano. Un altro requisito individuato dal WP29/EDPB è che la persona incaricata della supervisione deve essere adeguatamente competente e possedere le conoscenze e la comprensione necessarie per modificare efficacemente la raccomandazione dell'algoritmo. Tale concetto è stato ribadito dalla Corte di appello di Amsterdam, nella sentenza Uber (ECLI:NL:GHAMS:2023:796), la quale ha esplicitamente richiamato le suddette linee guida. Con riguardo a quest'ultimo punto, la sentenza ECLI:NL:RBDHA:2020:1013 ha stabilito che la fornitura a un decisore umano di prove contrarie alla decisione, sotto forma di relazione di un esperto, nega la caratteristica di «basata unicamente» ai sensi dell'articolo 22 GDPR.

3. Distinzione tra «effetti giuridici» ed «effetti in modo analogo significativi»

Dal momento che il GDPR non fornisce alcuna definizione specifica in merito alle due categorie di effetti di cui all'art. 22, si farà qui nuovamente ricorso alle linee guida fornite dal WP29/EDPB.

Per quanto concerne l'individuazione degli «effetti giuridici», si possono distinguere principalmente tre possibili scenari. Il primo riguarda la capacità della decisione di incidere sui diritti giuridici della persona (e.g. libertà di associazione o di voto). La decisione automatizzata può inoltre influire, in secondo luogo, sullo status giuridico di una persona o, altresì, sui suoi diritti ai sensi di un contratto. Gli esempi riportati dalle linee guida comprendono: la cancellazione di un contratto; la concessione o alla negazione del diritto a una particolare prestazione sociale, come le prestazioni per figli a carico; il rifiuto dell’ammissione in un paese o la negazione della cittadinanza.

Meno agevole risulta invece la definizione di «effetti in modo analogo significativi [a quelli giuridici]». Come già detto, le disposizioni dell'art. 22 si applicano anche in presenza di una decisione che incida «in modo analogo significativamente» sull'individuo. Ciò implica che la soglia per definire l'impatto della decisione come «significativo» deve essere analoga a quella utilizzata per stabilire l'effetto giuridico. A tal fine gli effetti, per la loro rilevanza e/o importanza, devono essere meritevoli di attenzione. In particolare devono:

• incidere in maniera significativa sulle circostanze, sul comportamento o sulle scelte

  dell’interessato;

• avere un impatto prolungato o permanente sull’interessato;

• portare all’esclusione o alla discriminazione della persona.

Il considerando 71 del GDPR fornisce due esempi di effetti «in modo analogo significativi»: il rifiuto automatico di una domanda di credito online e pratiche di assunzione elettronica senza interventi umani.

Un ulteriore livello di complessità si manifesta in quei casi in cui gli effetti giuridici e gli effetti in modo analogo significativi coesistano quali risultanti della stessa decisione. Ne è un esempio il poc'anzi citato caso Uber, nella sentenza ECLI:NL:GHAMS:2023:793. In tale contesto la decisione unilaterale di disattivazione, da parte di Uber, degli account degli autisti è stata ritenuta in grado di produrre sia conseguenze legali, nei confronti dei conducenti, che di influenzare in modo significativo analogo gli stessi. L'effetto giuridico è rappresentato dalla risoluzione del contratto tra Uber e gli autisti (un licenziamento de facto, causato dal blocco dell'account). Gli effetti in modo analogo significativi sono stati, invece, individuati nel profondo impatto della decisione sulla vita dei conducenti. Ciò è stato ritenuto basarsi su diverse gravi conseguenze:

• la perdita di reddito, dal momento che gli autisti sono stati permanentemente impossibilitati a generare reddito utilizzando il proprio acccount nell'app Uber Driver;

• Il danno finanziario, costituito dall'incapacità di recuperare gli investimenti fatti per ottenere le licenze e acquistare i veicoli;

• le decisioni hanno comportato accuse gravi, che potrebbero portare a ripercussioni penali o negative sulle prospettive di lavoro future, ad esempio per quanto riguarda la loro licenza di taxi.

4. Conclusione

Nonostante gli sforzi interpretativi del WP29 (ora EDPB) e quanto chiarito dalla CGUE nella sentenza SCHUFA (C-634/21), la portata dell'articolo 22, par. 1 resta controversa. Permane infatti il dibattito sulla sua natura, oscillante tra l'essere un diritto dell'interessato o una proibizione in principio. Il requisito che la decisione sia «basata unicamente sul trattamento automatizzato», inoltre, è caratterizzato dalla difficoltà di distinguere nella prassi il mero intervento umano da quello «significativo», il solo che esclude l'applicazione dell'art. 22. Infine, il criterio degli effetti significativi simili richiede una costante e ulteriore valutazione giurisprudenziale per delineare con chiarezza la soglia di gravità dell'impatto, specialmente in contesti di profilazione a più stadi.