Articoli

26 Gennaio 2021
Condividi
Condividi su linkedin
Condividi su twitter
Condividi su facebook

Elaborazione algoritmica dei dati e classificazione degli utenti

Risulta, ormai, di comune percezione il ruolo dominante che gli algoritmi svolgono nell’ambito dell’elaborazione dei dati, in particolare per necessità legate all’analisi di enormi quantitativi di informazioni. Tale elaborazione, come noto, allorché coinvolga dei dati personali, assume la connotazione di un “trattamento” rientrante nel campo di applicazione della vigente normativa in materia di data protection. Il descritto scenario, quindi, caratterizzato da un elevato numero di dati personali e dal trattamento degli stessi mediante sistemi automatizzati (come quelli di elaborazione algoritmica), non può che accrescere i rischi cui sono sottoposti gli utenti interessati dal trattamento.
Quali rischi per gli interessati?

Un trattamento che, come quello in esame, si basa su meccanismi automatizzati, potrebbe dar luogo a effetti potenzialmente negativi per gli interessati, in particolar modo allorché le risultanze del trattamento restituissero degli esiti discriminatori o potenzialmente tali.

Tale eventualità, sintomo dell’ampio margine di rischio connesso a tali trattamenti, risulta ben chiara al Legislatore comunitario che, pertanto, al Considerando 71 del GDPR chiaramente prescrive, per i titolari del trattamento, la necessitò di impedire “effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero un trattamento che comporti misure aventi tali effetti”.

Analogamente, le“Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione” (“Linee Guida”) espressamente prevedono la necessità di verificare e testare gli algoritmi utilizzati “per dimostrare che stanno effettivamente funzionando come previsto e non producono risultati discriminatori, errati o ingiustificati”.

D’altronde, appare evidente come la profilazione di derivazione algoritmica potrebbe essere iniqua e creare discriminazioni, ad esempio negando l’accesso a opportunità di lavoro, credito o assicurazione oppure offrendo prodotti finanziari eccessivamente rischiosi o costosi.

Quali le misure richieste ai titolari?

In primo luogo, occorre evidenziare che il trattamento dati organizzato su base algoritmica risulta, come qualunque tipologia di trattamento, sottoposto ai principi di cui all’art. 5 GDPR.

In particolare, nel caso di specie, assume particolare rilevanza il rispetto del principio di minimizzazione dei dati, ai sensi del quale i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Aggiungere all’analisi algoritmica dati personali che non rilevano rispetto alle finalità perseguite comporterebbe sia la violazione del detto principio, sia un aumento della probabilità che le risultanze offerte dall’algoritmo risultino inesatte o discriminatorie.

A tanto si aggiunga che, laddove il trattamento correlato all’algoritmo non comporti in alcun modo l’intervento umano – sostanziandosi, pertanto, in una decisione basata unicamente sul trattamento automatizzato suscettibile di produrre effetti giuridici o comunque rilevanti sugli interessati – troverà applicazione l’art. 22 GDPR. Ai sensi di tale articolo, ciascun titolare dovrebbe garantire all’interessato il diritto di non essere sottoposto a una decisione derivante interamente da un processo automatizzato, eccetto i casi tassativi in cui la suddetta decisione:

a)         “sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento”;

b)         “sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento”;

c)         “si basi sul consenso esplicito dell’interessato”.

Si prevede, inoltre, che, sussistendo la situazione di cui alla lettera a), il titolare dovrà comunque garantire all’interessato “almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”.

Conclusione

Alla luce del sintetico approfondimento svolto emerge certamente l’elevato tasso di rischiosità connesso alle attività di trattamento di dati personali mediante elaborazione algoritmica. Da un lato, infatti, sussiste l’elevato numero di dati personali coinvolto (elemento già di per sé foriero di un rischio connesso alle conseguenze in caso di perdita dei dati), dall’altro le potenziali conseguenze discriminatorie per gli interessati nell’ipotesi in cui l’algoritmo restituisse risultati “alterati”.

Tale rischio, quindi, potrebbe essere adeguatamente affrontato solo applicando misure tecniche ed organizzative proporzionate, suscettibili di garantire, in particolare, l’esattezza dei dati trattati, il relativo aggiornamento e, ovviamente, garantirne la sicurezza in costanza di trattamento. A tal fine, lo svolgimento di una valutazione d’impatto ai sensi dell’art. 35 GDPR costituisce non solo un suggerimento ma un vero e proprio obbligo per strutturare la compliance del trattamento.

Avv. Pietro Maria Mascolo