Gli algoritmi governeranno il futuro? Ce lo potrà dire solo il tempo. Oggi, però, hanno un impatto significativo su diritti e libertà individuali e collettive. Pertanto, non è sufficiente che un algoritmo sia soltanto performante nel suo funzionamento ma occorrono ulteriori garanzie. Ecco perché un processo di debugging legale deve essere integrato dalla progettazione alla fase applicativa.
L’algoritmo “decodificato” dal giurista
Quali sono le componenti essenziali di un algoritmo nel momento in cui viene analizzato con le lenti di un giurista? Dal momento che è un processo decisionale automatizzato finalizzato alla risoluzione di un problema, il criterio di valutazione non può fare riferimento solamente alla qualità della risposta fornita ma anche all’impostazione della domanda, all’impatto che deriva dal suo funzionamento e ad ulteriori fattori che attengono più alla sfera dei diritti individuali e collettivi che all’ambito tecnico di efficacia.
Ragionando in tal senso diventa possibile individuare i denominatori comuni che devono essere sempre oggetto di attenta analisi sin dalla fase di progettazione: le funzioni che l’algoritmo è destinato a svolgere; le posizioni dei soggetti coinvolti come portatori di interessi; l’impatto che comporta la sua applicazione.
La definizione delle funzioni e della strategia attuata tramite l’algoritmo non può né tantomeno deve consistere in una dichiarazione di principio, ma fare riferimento al contesto operativo richiedendo riscontri concreti già nelle modalità di selezione del dataset da impiegare. Quanto va assolutamente evitato è l’eccessiva vaghezza e generalizzazione, con diluizione della finalità in mere dichiarazioni di intenti o argomenti che rivelano nient’altro che un’insufficiente attività di pianificazione. Nelle ipotesi in cui l’algoritmo viene sostanzialmente imposto, come nella casistica del rapporto pubblico-privato o dei rapporti fra privati in cui sussiste un’asimmetria tale per cui si produce una compressione della contrattazione, è particolarmente rilevante una chiara e completa definizioni innanzitutto degli scopi che lo strumento dovrà assolvere, ivi incluse le modalità del suo funzionamento e le conseguenze prodotte.
Le posizioni dei soggetti coinvolti come portatori di interessi sono le più variegate, e spaziano dalla catena dei fornitori a quanti avranno autorizzazioni di accesso e d’intervento su dati grezzi o elaborazioni, o che altrimenti dovranno applicare le conseguenze dell’output generato. Così come nell’ambito della sicurezza gli accessi devono seguire il criterio del privilegio minimo, il riparto dei ruoli deve consentire un corretto inquadramento delle responsabilità soprattutto nei rapporti con gli interessati. Anche le persone fisiche i cui dati personali sono oggetto di trattamento e sui quali impatta la decisione algoritmica devono essere considerati come stakeholder anche al di là della previsione di cui all’art. 35.9 GDPR concernente la raccolta delle “opinioni degli interessati o dei loro rappresentanti sul trattamento previsto” nel corso dello svolgimento della valutazione d’impatto sulla protezione dei dati, dal momento che uno degli argomenti di maggiore rilievo giace proprio nell’effetto – prevedibile già in fase progettuale – che comporterà l’applicazione dell’algoritmo nei confronti dei diritti e delle libertà degli interessati.
L’impatto consta di varie componenti quali ad esempio la compressione dei diritti individuali, il rischio di decisioni divergenti o di distorsioni eccessive rispetto agli scopi. Altro non è che il costo intrinseco di impiego dell’algoritmo. Nel momento dell’analisi devono essere evitati approccio eccessivamente tecno-entusiasti o luddisti, in quanto connotati da una spinta ideologica più che da riscontri pratici e orientati al conseguimento di un beneficio “sostenibile”. In questa fase si svolge il vero debugging legale, comportando una riprogettazione per l’individuazione di alternative meno impattanti, ad esempio. Se non tutto ciò che è tecnicamente fattibile può dirsi lecito, allo stesso modo non tutto ciò che è lecito può dirsi accettabile. Soprattutto vista la complessità e le accelerazioni che connotano la società digitale in cui il cittadino è immerso. Altrimenti altro non sarebbe che un suddito, incapace di esercitare o avere garanzie sui propri diritti fondamentali al di là di meri formalismi.
Debugging legale: l’equilibrio fra utilizzo efficace ed accettabile
Il contemperamento fra efficacia d’impiego – e dunque: capacità di raggiungere gli scopi e gli obiettivi individuati – ed accettabilità delle operazioni svolte tenuti conto gli impatti generati è argomento che esula dal campo tecnico ma che riguarda il giurista. Qui in parte la valutazione d’impatto sulla protezione dei dati assolve quel compito di debugging legale, che trova però piena espressione attraverso l’affiancamento nei tavoli strategici e operativi delle fasi di progettazione e monitoraggio dei risultati sia come analisi che come indicazione dei correttivi da applicare.
L’applicazione del principio di proporzionalità domina e conduce il giudizio di accettabilità d’impiego in quanto consiste in una continua valutazione di adeguatezza dei mezzi rispetto agli scopi e alle funzioni sociali assolte tanto dalle tutele da dover garantire quanto dall’utilizzo di un algoritmo. E qui sta alla sensibilità del giurista nel volere e saper considerare il contemperamento in luogo della tirannia dei diritti, per trovare il metodo per individuare un punto di equilibrio del sistema che a seconda delle evoluzioni tecnologiche e sociali sarà destinato a cambiare.
L’implementazione operativa è inoltre caratterizzata dall’incontrare una serie di problemi e criticità non noti nella fase di progettazione che dovranno essere corretti e rettificati, non più solamente a livello tecnico ma anche giuridico. Diventa di particolare rilievo che le tutele e i presidi individuati seguano le dinamiche di funzionamento e si evolvano di conseguenza. Fattore fondamentale in tal senso è la definizione di flussi informativi per la raccolta dei feedback al fine di conseguire un miglioramento continuo, per integrare la fase di monitoraggio.
La trasparenza, intesa nell’ambito più ampio dei rapporti con gli stakeholder, comporta invece l’effetto di rafforzare le responsabilità di tutti i soggetti che hanno potere di intervento sull’algoritmo ma anche di riparare alle inevitabili asimmetrie informative. Garantire la trasparenza circa gli scopi e il funzionamento di un algoritmo significa generare fiducia nel suo impiego, allargando la platea dei potenziali fruitori che potranno trarne un beneficio netto. Il cambiamento è culturale: il cittadino non è più considerato come consumatore o utente, legato al destino di dover “subire” il frutto tecnologico ma è posto nelle condizioni di comprendere, selezionare e vede tutelata la propria capacità di selezione.
A seconda del campo in cui l’algoritmo verrà impiegato ricorreranno ulteriori esigenze, derivanti sia dalla normativa di settore che dai rischi specifici, ma il criterio orientativo da seguire è in ogni caso – e altrimenti non può essere – il conseguimento di un’effettiva tutela dei diritti e delle libertà fondamentali del cittadino digitale.
Scenari futuri
Sebbene il futuro sia per sua natura ignoto e la tecnologia sia sempre destinata a generare orizzonti più ampi di quelli contemplati dal diritto cogente, la definizione di un metodo e di principi sono i filtri essenziali attraverso cui declinare ogni diritto pur nel mondo accelerato in cui gli algoritmi producono e sono destinati a produrre degli effetti. L’applicazione di un’attività di debugging legale a fianco del debugging tecnico altro non è che l’espressione di quel metodo che segue e conduce un’evoluzione digitale, senza porsi come ostacolo ma anzi correggendone la rotta affinché sia e rimanga al servizio dell’uomo. Tanto nella dimensione fisica, quanto in quella digitale che è – e altrimenti non potrebbe essere – altrettanto reale ed apprensibile.