In Francia, a seguito della riconosciuta legittimità ad utilizzare gli algoritmi nel procedimento amministrativo (con la condizione necessaria della piena intellegibilità della procedura stessa [1]) è stata affrontata la questione di legittimità costituzionale della possibilità, da parte della PA, di adottare una decisione presa esclusivamente sulla base del trattamento automatizzato dei dati personali [2].
Infatti, ciò vale per le singole decisioni amministrative purché l’algoritmo di trattamento utilizzato non copra dati sensibili, siano consentiti ricorsi amministrativi e siano fornite informazioni sull’utilizzo dell’algoritmo.
Per approfondimenti si consiglia: Manuale di diritto alla protezione dei dati personali
1. Il percorso normativo in Francia
È stata così emanata la legge finanziaria per il 2020 che autorizza le amministrazioni designate a «raccogliere ed elaborare, in via automatizzata, le informazioni pubblicate dagli utenti sui propri social network» (loi n. 2019-1479 du 28 decembre 2019 de finances pour 2020).
In particolare, su base sperimentale e per un periodo di tre anni, ai fini dell’indagine sulle violazioni e sui reati indicati dalla normativa di riferimento, si acconsente alla raccolta ed allo sfruttamento mediante trattamenti informatici ed automatizzati che non utilizzano alcun sistema di riconoscimento facciale i contenuti, liberamente accessibili sui siti web dei gestori delle piattaforme online di cui all’articolo L. 111-7, paragrafo 2, del Codice del Consumo, chiaramente resi pubblici dai loro utenti (loi n. 2019-1479 du 28 decembre 2019 de finances pour 2020, art. 154).
A tal proposito, particolare cautela aveva espresso la Commissione nazionale sull’informatica e le libertà (CNIL) osservando che l’obiettivo è quello «di consentire alle amministrazioni fiscali e doganali di utilizzare i dati resi pubblici sui social network al fine di consentire l’indagine sulle violazioni relative alle carenze fiscali e doganali» tuttavia, l’attuazione di questo nuovo tipo di trattamento, testimonia un significativo cambiamento di scala nel quadro delle prerogative affidate a tali amministrazioni per l’esercizio dei loro compiti in quanto l’attuazione di tale meccanismo riflette anche una forma di inversione dei metodi di lavoro delle amministrazioni interessate.
Il trattamento, infatti, si basa su una precedente raccolta generale di dati relativi a tutte le persone che rendono accessibili i contenuti sulle piattaforme online mirate, al fine di indirizzare le successive azioni di controllo quando il trattamento di questi dati ha rivelato dubbi, e non su una logica di trattamento mirato di tali dati quando preesistono dubbi o sospetti di commissione di una violazione [3].
Tale autorizzazione, quindi, avrebbe indotto automaticamente la PA in Francia alla rinuncia del suo potere discrezione nelle singole situazioni violando, quindi, l’art. 21 della Costituzione francese ed avendo come conseguenza nel caso di utilizzo di algoritmi c.d. ad «auto apprendimento», una mancata conoscenza delle regole decisionali adottate da parte della PA stessa. L’amministrazione abdicherebbe quindi all’esercizio del proprio potere normativo agli algoritmi che definirebbero regole proprie.
Il Consiglio costituzionale ha tuttavia respinto le perplessità sollevate in quanto le disposizioni contenute nella proposta di modifica dell’art. 10 della legge n. 78-17 du 6 janvier 1978, si limitano ad autorizzare la PA ad effettuare una valutazione individuale della singola fattispecie con l’ausilio di un algoritmo, seguendo regole e criteri definiti in anticipo dal responsabile del trattamento e dalla normativa di riferimento senza, quindi, abbandonare la giurisdizione del potere normativo.
Il Consiglio costituzionale ha, infatti, ricordato le varie condizioni a cui è soggetto l’uso esclusivo di un algoritmo per adottare una decisione amministrativa individuale: divieto assoluto di uso di un algoritmo per le decisioni giudiziarie; divieto, con alcune eccezioni, dell’uso esclusivo di un algoritmo per decisioni che producono effetti giuridici o influenzano in modo significativo la persona; eccezioni alla comunicazione dei principi e delle regole per l’attuazione di un algoritmo, tra i quali utilizzo di documenti la cui comunicazione potrebbe violare i segreti e gli interessi previsti dal paragrafo 2 dell’articolo L. 311-5 Codice dei Rapporti tra il Pubblico e l’Amministrazione (segreto della difesa nazionale, sicurezza dello Stato, ecc.).
Infine, ha ritenuto che la garanzia fornita dal legislatore che il responsabile del trattamento debba, in ogni momento, essere in grado di spiegare in dettaglio il funzionamento dell’algoritmo, vieta l’uso, come base esclusiva per una decisione, di algoritmi di «auto apprendimento» le cui espressioni non siano comprensibili alla persona che li utilizza, mentre spetta in linea di principio a quest’ultimo controllarli e convalidarli [4].
La nuova procedura, tuttavia, potrà essere utilizzata ai soli fini del perseguimento degli illeciti fiscali e doganali apponendo, inoltre, un limite alle sole informazioni pubblicate spontaneamente ovvero chiaramente rese pubbliche dagli utenti sulla piattaforma presa in esame.
Ancora, sono previste garanzie procedimentali quali l’affidamento a predisposti funzionari dell’amministrazione fiscale e dei dazi doganali con responsabilità in materia di trattamento dei dati personali e previa autorizzazione della dirigenza nazionale dell’amministrazione stessa.
Inoltre, sono previsti limiti temporali alla detenzione dei dati stessi ovvero si provvederà alla loro distruzione entro cinque giorni lavorativi dalla loro raccolta fino ad un anno nel caso in cui possano contribuire, a fini probatori, alla contestazione delle violazioni; viene tuttavia prevista la loro eventuale conservazione fino alla fine del procedimento quando siano indispensabili in procedimenti di natura penale, fiscale o doganale.
L’acceso dibattito sull’utilizzo delle informazioni raccolte tramite l’utilizzo di sistemi informatici che, come conseguenza, avvierebbero delle procedure di valutazione di un eventuale illecito prima ancora che tale evento si verifichi, pone quindi l’esigenza di un rapido rafforzamento delle garanzie inerenti agli obblighi di motivazione e trasparenza sul profilo procedimentale amministrativo.
È attuale, infatti, la proposta di un intervento ex ante (c.d. «precauzionale» ovvero di «audit») da aggiungere e quindi, precedere, il controllo giudiziale vero e proprio [5].
In particolare, la Francia sta valutando la creazione di una autorità indipendente con specifiche competenze in materie scientifiche, giuridiche ed economiche, finalizzata alla vigilanza delle procedure amministrative che si servano di strumenti algoritmici.
Viene altresì prevista, ad opera dell’autorità governativa fiscale, la compilazione di un rapporto relativo all’impatto sulla protezione e la gestione dei dati personali, da trasmettere alla Commissione nazionale per l’informatica e le libertà (CNIL) e, al termine del periodo sperimentale di tre anni, sarà trasmessa una relazione finale al Parlamento francese ed alla Commissione nazionale a fini valutativi [6].
In ultimo, si può evidenziare come, nel 2017, siano state inserite nel codice amministrativo francese delle disposizioni inerenti ai diritti garantiti (da esercitare su richiesta del soggetto interessato) a seguito di una decisione amministrativa emanata tramite l’utilizzo di un algoritmo.
La normativa individua così dei parametri di trattamento riconducibili ad un modello precostituito e verificabile (a differenza di altri ordinamenti dove la normativa si concentra su una giustificazione successiva).
La conseguenza della scelta legislativa tra la previsione di una motivazione dell’atto contenuta nel rispetto dei parametri stabiliti ex ante oppure di una giustificazione emanata ex post, comporta che se risulta evidente comprendere la motivazione per la quale la decisione sia stata adottata, tuttavia, ciò potrebbe non essere sufficiente a giustificarla; come del resto, non prevedere precedentemente un modello al quale il procedimento informatico amministrativo debba attenersi, può risultare improduttivo nella sua applicazione poiché, il successivo controllo operato dalla giustificazione, non consentirebbe di intervenire sull’efficienza generale dell’algoritmo stesso ma solo sulle sue singole applicazioni.
Potrebbero interessarti:
Il Garante sanziona la società americana che gestisce il software per il riconoscimento facciale attraverso l’uso dell’intelligenza artificiale
Nuovo algoritmo anti-evasione fiscale: approvazione del garante privacy
2. La «Decision n. 2019-796 DC»
Le perplessità dottrinali si sono manifestate, oltre che sulla già menzionata legittimità sull’utilizzo degli algoritmi nei procedimenti amministrativi, anche riguardo la costituzionalità stessa dell’art. 154 della legge finanziaria francese per il 2020 (loi n. 2019-1479).
Sollecitato da un rilevante numero di senatori e deputati francesi, si è così dovuto pronunciare il Conseil Constitutionnel sulla questione di compatibilità al dettato costituzionale del testo normativo in esame.
In particolare, le doglianze evidenziavano come l’autorizzazione ex art 154 a «raccogliere e sfruttare automaticamente i contenuti accessibili al pubblico sui siti web, ai fini di indagare sulle violazioni in materia fiscale e doganale», costituisse un sistema c.d. di «sorveglianza».
In particolare, per informazioni raccolte dai gestori delle piattaforme online, si devono intendere gli operatori che offrono «a titolo professionale, un servizio di comunicazione online al pubblico basato sul collegamento di più soggetti per la vendita di un bene, la fornitura di un servizio o lo scambio ovvero la condivisione di un contenuto, bene o servizio», il limite non è circoscritto, quindi, ai soli c.d. social network, così come espresso dal Conseil constitutionnel, Commentaire Décision n. 2019-796 DC du 27 décembre 2019 loi de finances pour 2020.
Nel dettaglio, il Consiglio costituzionale ha osservato che le disposizioni in esame autorizzano l’amministrazione a utilizzare mezzi informatici e automatizzati per raccogliere e sfruttare i contenuti accessibili sui siti web consentendo, quindi, «da un lato, di raccogliere in modo indifferenziato grandi volumi di dati, relativi a un gran numero di persone, pubblicati su tali siti e, dall’altro, di sfruttare questi dati, aggregandoli e facendo controlli incrociati e correlazioni tra di loro. In tal modo, e anche se si tratta di dati resi pubblici dagli interessati, le disposizioni controverse violano il diritto al rispetto della privacy» nonché la violazione dell’esercizio della libertà di espressione e di comunicazione, derivante dal fatto che le disposizioni controverse hanno una funzione indebita di scoraggiare l’uso di tali servizi o portare ad un loro utilizzo limitato.
Il testo adottato, infatti, avrebbe come conseguenza una compromissione del diritto alla privacy (costituzionalmente garantito) nonché l’apposizione di un limite alla libertà di espressione e comunicazione (in quanto gli utenti sarebbero soggetti ad una sorta di autocensura).
Con la Décision n° 2019-796 DC du 27 décembre 2019, il Consiglio costituzionale si è espresso a favore della conformità costituzionale dell’articolo 154 della loi n. 2019-1479.
La decisone ha argomentato rilevando come, la compatibilità dell’art. 2 della Dichiarazione dei diritti dell’uomo e del cittadino del 1789 che asserisce al rispetto della vita privata trovi, tuttavia, una sua possibile compressione (nella raccolta di dati personali, nella registrazione, nella conservazione, nella consultazione e nella loro comunicazione) in ragione di interessi di rilevanza generale. Concludendo, in ultimo, che però tale conformità deve necessariamente essere attuata in modo adeguato e proporzionato allo scopo [7]
Spetterà, conseguentemente, al potere legislativo ed in ultimo al controllo del giudice amministrativo, garantire che gli strumenti utilizzati (basati su algoritmi) ammettano la raccolta, lo sfruttamento e la conservazione dei soli dati strettamente necessari per gli scopi perseguiti dalla normativa stessa.
Viene così affermato, quindi, che le disposizioni emanate in conformità a suddetti parametri, oltre a non violare la copertura costituzionale del diritto alla privacy, non costituiscono nemmeno una «conciliazione squilibrata [8]» tra la libertà di espressione, di comunicazione e gli obiettivi perseguiti.
Si può, così concludere, affermando che risulta una chiara tendenza legislativa (avallata dalla giurisprudenza di legittimità) all’impiego e allo sfruttamento delle nuove tecnologie informatiche finalizzato al superamento delle garanzie della libertà personale degli individui [9].
Note
- [1]
Principio affermato nella «Decision n. 2018-765 DC du 12 juin 2018».
- [2]
Così come introdotto dalla modifica dell’art. 10 della loi n. 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ad opera della loi n. 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
- [3]
Commission nationale informatique e libertes, Délibération n° 2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020, p. 2.
- [4]
Decision n. 2018-765 DC du 12 juin 2018, pp. 17-19; Conseil Cosntitutionnel, Commentaire, Décision n° 2018-765 DC du 12 juin 2018, pp. 21-26.
- [5]
G. Avanzini, Decisioni amministrative e algoritmi informatici, predeterminazione, analisi predittiva e nuove forme di intellegibilità, op. cit., pp. 154-155.
- [6]
Loi n. 2019-1479 du 28 decembre 2019 de finances pour 2020, art. 154.
- [7]
Conseil constitutionnel, Décision n. 2019-796 DC du 27 décembre 2019, pp. 22-27
- [8]
Conseil constitutionnel, Commentaire Décision n. 2019-796 DC du 27 décembre 2019 loi de finances pour 2020, pp. 1-15.
- [9]
R. de Caria, Back to the Future: The Case for Constitutionalism 1.0 in the Regulation of the Algorithmic Society and of the Technology-Driven Economy op. cit., p. 95.
Volume consigliato
Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato dell’assetto normativo.
Manuale di diritto alla protezione dei dati personali
Le novità introdotte dal Regolamento Europeo 2016/679, con la modifica del nostro “Codice privacy” ad opera del D.Lgs. n. 101/2018, rendono necessario riprogrammare il modo attraverso il quale i titolari (siano essi aziende, enti pubblici o associazioni) trattano i dati personali.Si impone un cambiamento culturale e di approccio, che richiede anche una nuova consapevolezza del valore dei dati da parte dei titolari del trattamento: non si tratta più di un tema esclusivamente legale, ma di organizzazione, di gestione di processi produttivi e distributivi, di adeguatezza degli strumenti informatici utilizzati.Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato del nuovo assetto normativo.Per tali motivi, in questa nuova edizione si sono aggiunti capitoli che:• esaminano il GDPR in rapporto con Blockchain, Bitcoin, Data Protection e Intelligenza Artificiale;• illustrano il nuovo approccio delle misure di Cybersecurity, con profili pratico-operativi;• propongono un’analisi compiuta di una casistica di Data Breach;• affrontano i rapporti tra GDPR e D.Lgs. n. 231/2001, antiriciclaggio e misure di audit in campo privacy;• offrono una più capillare analisi dell’applicazione dei principi di protezione dei dati personali veicolati nel Web.MARCO MAGLIOAvvocato in Milano e Data Scientist, nel 2001 ha fondato Lucerna Iuris, il primo Network Giuridico Internazionale di studi legali specializzati nella normativa sul trattamento dei dati personali e compliance legale nelle attività di marketing. Insegna Diritto della protezione dei dati personali in corsi di specializzazione in Italia e all’estero su Data Protection e Privacy Engineering, Diritto dei consumi e del marketing. Presidente dell’Osservatorio Europeo sulla Data Protection. Presiede il Giurì per l’Autodisciplina nella comunicazione commerciale diretta e nelle vendite a distanza. È referente italiano per le attività di ricerca della American Society of Comparative Law per le tematiche della data protectiony. Ricopre incarichi scientifici e professionali fin dagli anni ‘90 promuovendo la conoscenza della normativa sui dati personali. Partecipa al Gruppo di lavoro della Division of Data Science dell’Università di Berkeley. Sostenendo l’importanza di un approccio integrato alle tematiche della Data Protection, nel 2018 ha fondato con Miriam Polini e Nicola Tilli la Global Data Protection Alliance, che unisce le competenze di legali, informatici e manager internazionali per la tutela e valorizzazione effettiva dei dati.MIRIAM POLINIAvvocato in Milano, abilitato al patrocinio avanti le Corti Superiori, è Senior Partner di SLT&Partners – Novastudia da 16 anni. Laureata all’Università degli Studi di Pavia, Dottore di ricerca in Diritto penale interno e comparato presso l’Università degli Studi “Carlo Bo” di Urbino, è stata titolare di contratti di ricerca in importanti progetti con l’Università degli Studi “Carlo Bo” di Urbino e Università degli Studi di Macerata. Ha avuto incarichi di docenza per la SSPL dell’Università degli studi “Carlo Bo” di Urbino e per il Corso “Risk Management for SME and Emerging Risk” modulo Data Protection, dell’Università di Parma. Ha collaborato con la cattedra di diritto penale commerciale e progredito dell’Università Statale di Milano, è stata tutor della scuola di specializzazione per le professioni forensi dell’Università Statale di Milano. Autrice e Co-autrice di diverse pubblicazioni, relatore in eventi di formazione è responsabile scientifica di Novastudia Formazione. È ideatore, curatore e co-autore dell’opera.NICOLA TILLIAvvocato in Milano dal 1996, Cassazionista, Founding Partner del network di studi legali internazionalistici Novastudia Professional Alliance. Autore di varie pubblicazioni per primarie case editrici giuridico-professionali. Ha collaborato negli ultimi venticinque anni con l’Istituto di diritto civile (cattedra di diritto comparato) Università Statale di Milano, Libera Università di Castellanza (LUIC), Università Bocconi di Milano, Università del Piemonte Orientale e con incarichi di docenza o lecturer presso Università degli Studi “Carlo Bo” di Urbino, LUISS di Roma, Università di Parma. Trainer di Business School Il Sole 24 Ore, IKN, AIIA (Ass. Internal Auditors) È consulente e DPO per primarie imprese.
Nicola Tilli, Marco Maglio, Miriam Polini | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento