Algoritmi, diritti fondamentali e democrazia tra digital ethics e digital regulation. Intervista al Prof. Giorgio Resta

di Eduardo Meligrana

Prof. Resta, il ricorso a trattamenti algoritmici per finalità di previsione e/o di decisione è particolarmente diffuso nel settore pubblico quanto in quello privato.

Sì, si tratta ormai di una eventualità del tutto ordinaria e consueta in un contesto socio-economico che è sempre più data-driven. Facciamo qualche semplice esempio, tratto dalla prassi operativa e finanche dai repertori di giurisprudenza.

Quanto all’uso degli algoritmi nell’ambito del settore pubblico, si pensi soltanto all’uso da parte della p.a. di strumenti algoritmici per decidere questioni seriali o fondate su parametri predeterminati (come l’assegnazione degli insegnanti alle sedi scolastiche vacanti, tema recentemente portato all'attenzione del TAR Lazio); per erogare servizi sociali (in Pennsylvania, come si legge in un recente articolo pubblicato su “Nature”, è stato messo in atto un sistema di profilazione e valutazione, finalizzato all'individuazione dei minori a rischio di maltrattamenti in famiglia); per programmare le operazioni di polizia (come nel caso dell’applicativo PredPol, sperimentato anche da alcune Questure italiane), o persino - è questa la discussa frontiera della "giustizia predittiva" - per stabilire l'entità o le modalità di esecuzione della pena (emblematico è l’esempio dell'applicativo COMPAS, il software utilizzato in diverse giurisdizioni USA al fine di calcolare il rischio di recidiva e la pericolosità sociale di un soggetto sottoposto a procedimento penale).

Quanto al settore privato, si pensi al trattamento algoritmico nell’ambito dei rapporti di lavoro (in ordine alle scelte in materia di assunzione, o relative alla valutazione dell'operato dei dipendenti); alla vendita di beni e servizi (è da ciò che dipende l’applicazione di prezzi, e spesso anche condizioni d’offerta, differenziati nei rapporti on line); alla comunicazione (dal microtargeting nella comunicazione politica, all’ordinamento delle notizie rese fruibili agli utenti da un social network quale Facebook); al mercato del credito (si pensi ai meccanismi di credit scoring), sino ovviamente ai mercati finanziari (basti un rinvio al Regolamento 2017/589/UE in materia di trading algoritmico).    

Quali rischi implica però la logica connessa alle tecniche di big data analytics per i diritti fondamentali delle persone e sui processi sociali?

Il ricorso a trattamenti algoritmici, se ben congegnato, è astrattamente in grado di apportare notevoli benefici, non soltanto per la sua intrinseca attitudine alla razionalizzazione in senso weberiano del processo decisionale, con aumento dei livelli di rapidità ed efficienza rispetto ai costi, ma anche come strumento di riduzione delle disuguaglianze tramite, ad esempio, l’allocazione mirata delle prestazioni sociali, il contrasto alle frodi o all’evasione fiscale, o più in generale lo stimolo ai processi partecipativi.

Per altro verso, però, la logica stessa delle tecniche di big data analytics porta con sé diversi rischi per i diritti fondamentali delle persone, che devono essere attentamente considerati e che, tra gli altri, il bel libro di Cathy O’Neil, Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy (London, 2017) ha avuto il merito di mettere bene in luce anche tramite una narrazione intelligentemente aneddotica.

Si può osservare, in particolare, che poiché la ricostruzione di tendenze predittivamente rilevanti avviene a partire dalle occorrenze empiriche esistenti, dalle quali le macchine ricavano trend utili ad orientare la valutazione di situazioni future, l’intero sistema ha la propensione a “codificare” il passato, ingabbiando soluzioni e predizioni all’interno delle griglie fornite dai trascorsi storici e dal set di valori che ha guidato la programmazione del sistema. Ciò significa, in altri termini, che un determinato stato del mondo tende a essere cristallizzato nel processo prognostico, influenzandone i risultati e condizionando le decisioni prese a valle del trattamento automatico.

Se ciò non appare problematico quando si prendano in esame accadimenti naturali, come l’andamento delle perturbazioni per fini di previsioni meteorologiche, ben diversa è la situazione allorché le tecniche predittive si appuntino su stati dell’uomo e su processi sociali. Qui, infatti, uno dei tanti pericoli evidenti è che le condizioni di disparità sociale, esistenti in un dato momento storico, si riflettano sul giudizio prognostico tramite la costruzione di profili individuali o più spesso di gruppo, composti per inferenza da fattori come la propensione al consumo, la capacità di spesa, il luogo di residenza, i trascorsi familiari, il grado di istruzione, la storia giudiziaria, etc.

Se non adeguatamente monitorate e rese neutre rispetto ai rischi di "pregiudizio" già insiti nella selezione dei dati rilevanti, le decisioni algoritmiche che si basano su tali elementi sono atte a produrre effetti discriminatori e aggravare il peso delle disuguaglianze, come recentemente dimostrato da molti studi e rapporti internazionali.

Perché l'impatto dell'incipiente automazione sia socialmente accettabile, è necessario pre-formare le modalità di funzionamento degli algoritmi, assicurandone una sorta di legality by design, in modo da ridurre al minimo, e possibilmente eliminare, i rischi di incidenza negativa sui diritti civili, sociali e politici delle persone. Quando si parla di rischi specifici della decisione algoritmica, si allude a tre principali ordini di problemi:

  1. a) la segretezza o l’inintelligibilità della logica sottesa al processo decisionale, la quale è particolarmente acuta nel caso degli algoritmi di apprendimento automatico (problema del black box);
  2. b) l’attitudine discriminatoria dell’algoritmo (problema del bias);
  3. c) la mortificazione della persona umana, resa oggetto di decisioni interamente automatizzate (problema della dignità).

 

Alla luce di queste premesse, quali misure possono essere adottate per evitarne i pericoli da lei evidenziati?

 Io ritengo, personalmente, che per governare i problemi appena evocati non sia sufficiente affidarsi unicamente allo strumento tecnologico, quale ad esempio lo sviluppo di appositi algoritmi di auto-apprendimento volti a scovare e correggere i bias decisionali (c.d. bias busting) e a promuovere il valore della ‘correttezza’ deliberativa (fairness formulas); né a dichiarazioni d’impegno e codici di autoregolamentazione dei soggetti professionali coinvolti.

Questi sono certamente strumenti utili e meritevoli di essere incoraggiati, ma che si muovono pur sempre in una logica di autodisciplina, la quale è per propria natura soggetta soltanto a quei vincoli che la cultura degli operatori e le prassi tecnologiche condivise in un dato momento storico possano suggerire.

Dato il rango costituzionale delle situazioni incise, che spaziano dal valore dell’uguaglianza alla dignità umana, sino alla partecipazione democratica, è imprescindibile apprestare, prima ancora, un’adeguata infrastruttura istituzionale, composta di norme, rimedi e procedure adeguati agli interessi in gioco e in grado di assicurare un capillare controllo sociale sull’uso dell’algoritmo.

Si tratta, cioè, di arricchire un modello di digital ethics con un più penetrante sistema di digital regulation. 

In fatto di algoritmi, quali gli strumenti normativi individuati dal Regolamento generale per la protezione dei dati personali (GDPR)?

Il diritto europeo è in qualche modo all'avanguardia in questo settore, poiché sia a livello della normativa UE, sia a livello nazionale, sono state elaborate alcune delle prime e più rilevanti discipline in materia di decisione algoritmica, che testimoniano - pur con tutti i limiti che le caratterizzano - una chiara consapevolezza della gravità dei problemi sottostanti e dell'importanza del ricorso al diritto in quanto strumento di governo della tecnologia.

Lei faceva cenno, opportunamente, al Regolamento generale per la protezione dei dati personali (GDPR). L’art. 15 configura una prima, fondamentale, garanzia di fronte a un processo decisionale automatizzato, compresa la profilazione (ai sensi dell’art. 22), che si avvalga di dati personali: il diritto di sapere. La norma, in particolare, stabilisce il diritto di ottenere informazioni circa “la logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

Per contro, l’art. 22 fissa un limite sostanziale all’uso del trattamento algoritmico. Esso stabilisce che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Si tratta di un vero e proprio divieto, sia pur corredato da una serie di eccezioni, alla cui violazione conseguono effetti preclusivi per il titolare del trattamento. Inoltre viene fissato un limite sostanziale invalicabile, costituito dal principio per cui le decisioni algoritmiche autorizzate non possono avvalersi dei dati particolari di cui all’art. 9 (cioè i dati sulla salute, sull’orientamento sessuale, sulle opzioni ideologiche e sindacali, sulle appartenenze etniche, etc.), a meno che non sussistano le scriminanti previste dall’art. 9, par. 2, lett. a) (consenso esplicito della persona) o g) (trattamento necessario per motivi di interesse pubblico rilevante) e che non siano state adottate misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

La normativa sulla tutela dei dati soffre di limiti indubbi, specie in ordine alla sua perdurante matrice 'individualistica'; sarebbe auspicabile, infatti un potenziamento della tutela collettiva che il GDPR rimette in larga parte alla discrezione degli stati membri (art. 80). Essa, tuttavia, deve essere intesa come un tassello, certo al momento il più avanzato, di un più ampio mosaico regolatorio, al quale dovranno contribuire gli altri segmenti dell’ordinamento, e in primo luogo il diritto antidiscriminatorio (come delineato a partito dalle direttive 2000/43 CE, sull’uguaglianza razziale, 2000/78/CE sulla parità di trattamento in materia di lavoro, 2006/54/CE sull’uguaglianza di genere), il diritto dei consumatori, il diritto amministrativo e il diritto del lavoro.

Inoltre andrebbe incoraggiato il ricorso a tecniche di controllo ex-ante che contribuiscano ad orientare le modalità di impiego dell’algoritmo. Il GDPR contiene a tal proposito indicazioni importanti, che potrebbero essere ulteriormente valorizzate al fine di inglobare nel sistema normativo in oggetto l’ulteriore istanza di tutela contro gli effetti discriminatori dell’algoritmo. Tra queste meritano di essere ricordate la progettazione preventiva delle macchine in maniera ‘privacy-enhancing’ (art. 25); la valutazione di impatto da redigere qualora il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35); le certificazioni adottate ai sensi dell’art. 42.

Se poi allarghiamo allo sguardo alle varie esperienze nazionali, e penso in particolare alle riforme francesi introdotte a partire dalla legge sulla République Numérique (per una trattazione esaustiva rinvio a un saggio destinato a “Politica del diritto”), possiamo delineare un quadro abbastanza compiuto dei modelli più avanzati di governo giuridico delle decisioni algoritmiche emergenti in Europa. Provo a proporne una descrizione schematica e sintetica.

Innanzitutto è caratteristico dell’approccio europeo sottoporre a un’attenta disciplina l’ecosistema informativo che sta a monte del funzionamento degli algoritmi, fissando alcuni requisiti di qualità e quantità (esattezza, accuratezza, minimizzazione dei dati, etc.) dei dati destinati a rappresentare l’input dei processi di machine learning.

Le prime e più efficaci garanzie partono proprio dalla ‘giuridificazione’ dei fenomeni di trattamento dei dati personali e dal controllo sulla profilazione individuale. Coerente, peraltro, con questa prospettiva è il divieto di sottoporre a trattamento algoritmico i dati che attengono al nucleo duro della privacy, e cioè i dati sulla salute, sull’orientamento politico, sulle fedi religiose, sull’origine etnica, etc.

In secondo luogo si attribuisce grande rilevanza al principio della trasparenza, il quale viene declinato in forme diverse e spesso convergenti: diritto di essere informato ex ante circa l’esistenza di un trattamento automatizzato; diritto di conoscere la logica di cui tale trattamento si avvale; diritto di comprendere il modo e il grado in cui il trattamento algoritmico ha influito sui risultati della decisione che coinvolga la sfera del singolo; diritto di accedere all’algoritmo in quanto parte integrante di un procedimento amministrativo. Tutto ciò può contribuire in maniera rilevante alla ‘leggibilità’ e alla accountability degli algoritmi stessi, specie là dove si opti per un’interpretazione restrittiva delle clausole di salvaguardia poste a protezione della proprietà intellettuale e dei segreti commerciali in caso di richieste volte a conoscere la logica sottesa ai trattamenti algoritmici.

In terzo luogo, si va affermando un principio di massima, per cui l’individuo non deve essere sottoposto a una decisione integralmente automatizzata, allorché questa incida in maniera significativa sulla propria sfera giuridica. Quando ciò venga ammesso dall’ordinamento, si applicano una serie di garanzie sostanziali, tra le quali risalta lo strumento del riesame della decisione attraverso un diretto coinvolgimento dell’uomo, oltre ovviamente al controllo giudiziario ex post sulla conformità del trattamento algoritmico ai requisiti di legge.