Dopo le sentenze del TAR Lazio il Consiglio di Stato conferma che la PA può demandare le proprie decisioni a degli algoritmi, soprattutto se queste non dipendono dall’esercizio di un potere discrezionale, ma si fondano su criteri oggettivi e vincolanti. Ci sono però dei principi cardine da rispettare.
Ecco quali sono in una riflessione su agendadigitale.eu
Con due sentenze gemelle pubblicate il 13 dicembre 2019 (la n. 2936/2019 e la n. 8474/2019) il Consiglio di Stato è tornato sul tema dell’utilizzo di software automatizzati per l’adozione di decisioni di rilievo amministrativo, confermando l’impostazione già assunta nella precedente sentenza 2270/2019 di aprile 2019, ma stavolta ampliando l’excursus argomentativo e scrivendo quello che potremmo definire il vademecum per l’adozione delle decisioni algoritmiche nella pubblica amministrazione.
La vicenda si innesta in un contenzioso di cui già avevamo affrontato a sommi capi gli estremi in un precedente articolo e che vede contrapposti alcuni dei partecipanti alle procedure per il piano straordinario assunzionale dei docenti ed il MIUR.
Il Ministero, per dar seguito alla procedura, ha utilizzato un software che sulla base di parametri e criteri predefiniti, ha provveduto a valutare le domande ed assegnare in maniera automatica le vari sedi a coloro risultati idonei.
A prescindere in questa sede da alcuni tecnicismi processuali circa la legittimazione ad agire, le due sentenze sono particolarmente interessanti, e costituiscono il primo vero tentativo da parte della Corte di ultima istanza della giustizia amministrativa di ricostruire in maniera complessiva il fenomeno, dato che, in verità, la precedente pronuncia sopra citata non sembrava aver preso pienamente in considerazione anche gli aspetti inerenti all’applicazione del Regolamento Europeo sulla protezione dei dati personali (il Regolamento (UE) n. 679/2016).
Inoltre, i magistrati del Consiglio di Stato si discostano nettamente nel ragionamento, seppur arrivando alle medesime conclusioni, del Tribunale Amministrativo Regionale del Lazio, le cui sentenze erano state oggetto di impugnazioni da parte del MIUR, ciò soprattutto in merito alla legittimità dell’utilizzo di software per decisioni automatizzate nell’ambito dei procedimenti della Pubblica Amministrazione.
L’utilizzo degli algoritmi nella Pubblica Amministrazione
E’ opportuno evidenziare che il TAR Lazio nelle sentenze impugnate e decise con i due provvedimenti in commento aveva di fatto escluso la possibilità di utilizzare per l’esercizio dell’attività amministrativa, discrezionale o vincolata, algoritmi informatici per l’assunzione di decisioni automatizzate. Ciò sul presupposto che la disciplina del procedimento amministrativo di cui alla l. n. 241/1990 ponga in realtà regole e vincoli incompatibili con una piena automazione di tali processi, come ad esempio l’obbligo di individuare un responsabile del procedimento, il diritto di partecipazione da parte del cittadino, l’obbligo di motivazione del provvedimento. I giudici amministrativi di primo grado espressamente dichiaravano che “un algoritmo, quantunque, preimpostato in guisa da tener conto di posizioni personali, di titoli e punteggi, giammai può assicurare la salvaguardia delle guarentigie procedimentali che gli artt. 2, 6,7,8,9,10 della legge 7.8.1990 n. 241 hanno apprestato”.
Rispetto a tali affermazioni il Consiglio di Stato interviene in maniera categorica, precisando e ribadendo che anche la pubblica amministrazione deve poter sfruttare le rilevanti potenzialità della cosiddetta rivoluzione digitale e che, quindi, il ricorso a tali strumenti, per gli indubbi vantaggi in termini di efficienza ed economicità dell’azione amministrativa (come richiamati dallo stesso art. 1 della l. n. 241/1990) deve ritenersi pienamente legittimo anche alla luce del principio costituzionale di buon andamento dell’azione amministrativa stabilito dall’art. 97 della Costituzione.
Appare rilevante sottolineare il richiamo alla nostra Costituzione, che in tal modo legittima a livello primario l’utilizzo di siffatti strumenti e costituisce un’importante affermazione di principio da parte dei giudici dato che, in tal modo, viene eliminato qualsiasi dubbio circa la possibilità o meno che l’amministrazione possa esercitare il proprio potere autoritativo mediante gli stessi.
Anzi, il Consiglio di Stato chiarisce che in casi analoghi a quello in esame, in cui la discrezionalità amministrativa è vincolata da criteri oggettivi, l’adozione di procedure informatiche che portino direttamente alla decisione finale deve essere incoraggiata sia per i numerosi vantaggi che esse possono portare nello snellimento dell’iter procedimentali sia per le garanzie di maggiore imparzialità che si ottengono tramite le stesse.
Dopo tali pronunce, pertanto, non vi sono più dubbi sul fatto che la pubblica amministrazione possa demandare le proprie decisioni a degli algoritmi, soprattutto in quelle ipotesi in cui le decisioni da adottare non dipendono dall’esercizio di un potere discrezionale, ma si fondano su criteri oggettivi e vincolanti per il decisore pubblico. In tal senso l’utilizzo dell’algoritmo diventa uno strumento procedimentale ed istruttorio, un’espressione dell’agire dell’amministrazione, che può (e deve) organizzare la propria attività nel rispetto dei principi di efficienza e della trasparenza.
Le garanzie per l’adozione degli algoritmi: i principi di conoscibilità ed imputabilità
Proprio riprendendo il principio di trasparenza, il Consiglio di Stato interviene nel dibattito indicando, anche riprendendoli dalle norme sovranazionali, quelli che devono essere considerati i principi cardine per l’utilizzo dei software di algoritmi per le decisioni nella PA
Elementi preminenti e che costituiscono le garanzie minime per ogni ipotesi di utilizzo di algoritmi in sede di decisioni pubbliche sono infatti: a) la piena conoscibilità; b) l’imputabilità della decisione.
La piena conoscibilità
La piena conoscibilità è riferita ai meccanismi attraverso i quali si concreta la decisione amministrativa. Essi devono essere pienamente conoscibili ex ante in modo da garantire così quella trasparenza dell’azione amministrativa che seppur non richiamata espressamente nella nostra Costituzione è oramai diventata un principio fondamentale del nostro ordinamento (e di cui molti provvedimenti normativi sono applicazione, primi fra tutti il diritto di accesso amministrativo, disciplinato proprio nella l. n. 241/1990 nonché l’accesso civico generalizzato, regolato dal cd. FOIA).
I magistrati del Consiglio di Stato si soffermano particolarmente sul principio di trasparenza e piena conoscibilità chiarendo che esso deve essere garantito in tutti i suoi aspetti e che, in particolare, esso non può essere limitato da un preteso diritto alla riservatezza delle imprese produttrici del software.
E’ proprio nell’esame di tali principio che le sentenze in commento ampliano l’excursus argomentativo rispetto alla precedente pronuncia n. 2270/2019. A riprova dell’esistenza di tale obbligo generale nel nostro ordinamento, infatti, i giudici richiamano le previsioni del Regolamento (UE) n. 679/2016, ed in particolare le norme in materia di informazioni da rendere agli interessati (artt. 13 e 14) e la disciplina del diritto di accesso (art. 15). Ciò al fine di rimarcare come la norma sovranazionale abbia imposto degli obblighi informativi a coloro che effettuano trattamenti di dati personali, ed abbia riconosciuto un vero e proprio diritto, esercitabile in qualunque momento, in favore degli interessati ad ottenere tali informazioni. Il tutto anche a conferma della rilevanza della trasparenza per i soggetti coinvolti dall’attività amministrativa informatizzata.
Più in generale, si può sicuramente affermare che il principio di trasparenza trova ormai diretta applicazione anche ai sensi della previsione di cui all’art. 5, 1° comma, lett. a) del Regolamento GDPR, che ha formalizzato tale principio (non espressamente previsto nella precedente direttiva 95/46/CE) oltretutto assoggettando le violazioni dello stesso alla sanzione pecuniaria più alta prevista dalla disciplina europea.
Il principio di imputabilità
Il principio di imputabilità trova fondamento nella necessità di garantire la verifica degli esiti delle decisioni automatizzate, in termini di logicità e correttezza degli stessi. Per far ciò è necessario, quindi, che sia individuato un soggetto responsabile a cui possano essere ricondotti gli effetti dell’azione amministrativa adottata dall’algoritmo.
Il richiamo effettuato dai giudici è all’art. 22 del GDPR, che disciplina proprio le decisioni automatizzate, e che prevede un vero e proprio diritto delle persone a richiedere l’intervento di un essere umano, quindi ad individuare un centro di imputazione. Il problema, ricordano i magistrati, è affrontato anche nella Carta della Robotica del febbraio 2017 del Parlamento Europeo, in cui vengono analizzati proprio i vari criteri di imputazione della responsabilità in caso di uso di sistemi di intelligenza artificiale che prendono decisioni indipendentemente dal controllo umano.
Il vademecum per gli algoritmi per le decisioni nella PA
Partendo dai principi costituzionali di trasparenza ed efficienza della pubblica amministrazione e chiarendo l’applicabilità degli ulteriori principi di piena conoscibilità ed imputabilità i giudici amministrativi, ripercorrendo le norme sovranazionali, delineano ulteriori tre principi e due corollari generali.
L’insieme di questi principi e la loro attuazione a tutela e garanzia dei cittadini costituisce un primo tentativo di indicare una disciplina coerente per l’adozione delle decisioni algoritmiche nella pubblica amministrazione. Un vero e proprio vademecum per gli algoritmi per le decisioni nella PA proveniente dal massimo organo decisorio della giustizia amministrativa che detta, in maniera analitica e precisa, i presupposti di un uso legittimo di tali strumenti nelle decisioni amministrative.
Il vademecum si apre innanzitutto con un preambolo circa la piena legittimità dell’utilizzo dei processi decisionali automatizzati per l’esercizio del potere autoritativo, vincolato e non della pubblica amministrazione, ciò alla luce dell’art. 97 Cost.
L’utilizzo di tali strumenti deve però essere assoggettato al principio di trasparenza dell’agire amministrativo, che implica a) la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati e b) l’imputabilità della decisione all’organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all’algoritmo.
Gli algoritmi per le decisioni nella PA devono poi garantire:
- Il diritto di ciascuno a conoscere l’esistenza di processi decisionali automatizzati che lo riguardino ed in questo caso a ricevere informazioni significative sulla logica utilizzata (art. 22 GDPR);
- Il principio di non esclusività della decisione algoritmica (art. 22 GDPR);
- Il principio di non discriminazione algoritmica (considerando 71 GDPR), nel senso che l’algoritmo non deve assumere decisioni che abbiano effetti discriminatori verso determinati soggetti.
I corollari di tali principi possono essere individuati nella prevalenza del principio di trasparenza quale strumento di tutela in caso di utilizzo di algoritmi decisionali, che si concretizza nel principio di motivazione e/o giustificazione della decisione e nel fatto che è onere della pubblica amministrazione che utilizza tali strumenti quello di illustrare e provare sul piano tecnico la coincidenza tra la legalità e le operazioni algoritmiche.
Il mancato rispetto di tali principi, secondo i giudici del Consiglio di Stato, è idoneo ad inficiare l’intero metodo utilizzato dalla singola amministrazione per l’adozione della decisione amministrativa, non rilevando tanto la singola violazione di una particolare norma procedimentale, ma la violazione più generale del principio di trasparenza.