• Privacy - Processi decisionali automatizzati e profilazione - Tecnologie dell'informazione e della comunicazione (ICT)

12 febbraio 2020

EDPB: il GDPR è in grado di proteggere gli interessati da algoritmi non corretti?

Nell'ambito della 17esima sessione plenaria, l’European Data Protection Board (EDPB) ha pubblicato una lettera in risposta ai quesiti sollevati dalla eurodeputata Sophie in’t Veld e relativi alle garanzie poste a tutela dei cittadini da algoritmi funzionanti in maniera non corretta.

La lettera affronta le 3 domande poste dalla politica olandese nella missiva inviata lo scorso 31 luglio, nell’ordine:

  • se il GDPR è in grado di tutelare in maniera sufficiente i cittadini dagli effetti di algoritmi non corretti;
  • se l’EDPB ritiene necessario l’intervento di ulteriori normative contro gli algoritmi discriminatori, anche al fine di assicurare una maggiore trasparenza sul loro funzionamento;
  • se il Board ha in piano di pubblicare delle linee guida sul punto.

In merito al primo dei quesiti sollevati, l’EDPB ha rilevato che il GDPR rappresenta (anche grazie ai principi della data protection by design & by default, di minimizzazione e dell’approccio basato sul rischio) una cornice legale robusta posta a garanzia dei dati personali dei cittadini. Difatti, tale normativa è costruita in maniera neutra proprio al fine di essere in grado di confrontarsi con qualsiasi tipo di cambiamento e/o di evoluzione tecnologica, anche se, evidenzia l’Autorità, considerate le conseguenze degli algoritmi anche in altri settori ultronei alla privacy, opportuno può risultare un continuo confronto con altre autorità regolatrici.

Il cattivo funzionamento degli algoritmi potrebbe essere dovuto, a monte, da una scelta intenzionale del suo creatore, come anche riflettere il convincimento ingiusto e/o discriminatorio della maggior parte degli individui. Qualora, infatti, un algoritmo ponga alla base del suo funzionamento dati di per se sbagliati, o relativi solo alle credenze della maggioranza, molto probabilmente il risultato a cui conduce potrà essere avvertito come discriminatorio.

Oltre ai rischi sopra paventati, gli algoritmi presentano due ulteriori problemi letti alla luce dei principi cardine alla data-protection: la tendenza a processare un grande numero di informazioni, anche dietro la comune credenza per cui più dati vengono elaborati più accurato sarà il risultato (c.d. data-maximisation), e la loro crescente complessità, elemento che li rende sempre meno trasparenti.

Premessa l’applicabilità del GDPR all’intero trattamento dei dati personali effettuato tramite algoritmi, l’EDPB ha evidenziato quali sono le disposizioni che, più di altre, soccorrono l’interprete nell’affrontare i potenziali rischi derivanti dall’uso di tali tecnologie.

Di particolare rilevanza, infatti, sono i principi dettati dagli artt. 5, 12, 14, 22, 25 e 35, disposizioni che sanciscono assiomi quali:

  • il principio di trasparenza, da cui discende la necessità di informare gli utenti sull’esistenza e sul funzionamento dell’algoritmo posto alla base del meccanismo decisionale automatico, nonché dei connessi rischi e conseguenze di una possibile profilazione;
  • la necessaria predisposizione di misure volte ad applicare in concreto i principi posti a salvaguardia della protezione dei dati e della libertà e dei diritti degli individui non solo al momento del trattamento, ma anche nello sviluppo della tecnologia;
  • assicurare la compliance alla normativa privacy ed essere capaci di dimostrarla;
  • porre in essere, in via anteriore al trattamento, una DPIA con, qualora necessario, eventuale consultazione preliminare dell’ Autorità di supervisione competente;
  • garantire il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato e produttiva di effetti giuridici sulla propria persona.

In merito agli ultimi due quesiti, l’EDPB, pur non escludendo in futuro la predisposizione di linee guida apposite, ha affermato di ritenere prematura, quantomeno al momento, la predisposizione di una normativa di dettaglio dedicata specificatamente a questo particolare tema, ritenendo più opportuno focalizzarsi sull’aggiornamento delle norme già esistenti.