Processi decisionali automatizzati e consenso informato: la giurisprudenza va oltre il GDPR

Processi decisionali automatizzati e consenso informato: la giurisprudenza va oltre il GDPR

Il GDPR è un punto di riferimento normativo per quanto riguarda la tutela dei dati personali. Dalla sua introduzione la giurisprudenza ne ha allargato i confini, dovendo affrontare lo sviluppo delle tecnologie digitali e l’uso sempre più ampio dell’intelligenza artificiale e di processi decisionali automatizzati.

I LIMITI DEL GDPR AI PROCESSI DECISIONALI AUTOMATIZZATI

Gli scenari indetti posti dallo sviluppo tecnologico pongono numerose questioni legate alla privacy, alle quali le istituzioni nazionali ed europee cercano di dare risposte normative in grado di tutelare maggiormente gli utenti e responsabilizzare i titolari del trattamento dei dati.

Tra le questioni più rilevanti vi è l’uso a fini decisionali di sistemi automatizzati basati sull’intelligenza artificiale.

A tal proposito, l’art.22 del GDPR impone che i cittadini non vengano sottoposti a decisioni basate unicamente sul sistemi automatizzati che producano effetti giuridici o che incidano significativamente sulla loro persona. L’articolo considera tuttavia delle eccezioni: casi in cui questo genere di trattamento sia indispensabile ai fini della stipula di un contratto, se è autorizzato dal diritto dell’Unione o dello Stato membro, se si basa sul consenso esplicito dell’interessato.

Il nodo centrale è proprio il consenso, che per essere valido deve essere informato.

CONSENSO INFORMATO: ALCUNE SENTENZE

I rapporto tra consenso informato e processi decisionali automatizzati è stato oggetto di alcune sentenze interessanti.

Una di queste è la sentenza n. 8472 del 13 dicembre 2019 con la quale il Consiglio di Stato, rifacendosi al GDPR, ha ribadito la necessità di garantire alcuni principi in caso di processi decisionali automatizzati. La sentenza si riferiva all’uso di un algoritmo da parte del MIUR per l’assegnazione dei docenti nelle scuole superiori.

I principi da garantire in caso di uso di algoritmi sono:
– la conoscibilità: gli utenti sottoposti al sistema di valutazione devono essere messi a conoscenza dell’algoritmo adottato da enti pubblici;
– la non-esclusività: alla decisione basta sull’algoritmo deve affiancarsi una valutazione umana;
– la non discriminazione: il titolare del trattamento deve minimizzare i rischi che l’algoritmo produca valutazioni errate o effetti discriminatori.

Nel caso del MIUR, per i giudici l’uso dell’algoritmo non risultava conforme a tali principi.

Più recentemente, anche la Cassazione si è espressa in materia con l’ordinanza n. 14381/2021.
La Corte è stata chiamata in causa dal Garante della Privacy che aveva presentato ricorso contro una sentenza del Tribunale di Roma che ne aveva ridimensionato un provvedimento legato a un servizio di rating reputazionale basato sull’intelligenza artificiale.

La Cassazione ha sottolineato quanto sia indispensabile che una valutazione automatizzata avvenga dopo aver ottenuto il consenso informato da parte degli utenti.
Ne consegue che non può essere ritenuto valido un consenso che non si basi su una informazione preventiva idonea, cioè che spieghi anche il funzionamento dell’algoritmo utilizzato.

“non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.

IL FUTURO

L’uso di processi decisionali automatizzati è ancora agli albori ma è indubbio che diventerà sempre più frequente. Gli ambiti di applicazione sono infatti numerosissimi, con tutti i pro e i contro che ciò comporta. Nei prossimi anni vedremo quindi crescere il numero di sentenze in materia, sempre con l’art.22 del GDPR sullo sfondo, ma con sviluppi che al momento non possiamo immaginare del tutto.

Vuoi rendere il tuo studio o la tua azienda in regola con il GDPR? Scopri la i servizi Privacy di Servicematica.

——–

LEGGI ANCHE:

Riconoscimento facciale per individuare clienti pregiudicati. Scatta la sanzione

Microsoft: basta password, l’autenticazione si fa via app

TORNA ALLE NOTIZIE

Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto