Pubblica amministrazione - Generalità, varie -  Redazione P&D - 25/01/2020

Robotica e pubblica amministrazione, Consiglio di Stato Sentenza 13 dicembre 2019, n. 8472 - Gabriele Gentilini

Si riportano di seguito alcuni punti estratti dalla decisione dell’organo giurisdizionale di cui sopra alla luce dell’avanzamento della tecnologia informatica su tutti i fronti, non di meno quello relativo ai rapporti tra pubblica amministrazione e amministrati.
Ricordiamo sulla tematica più in generale la risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla roboticahttp://www.europarl.europa.eu/doceo/document/TA-8-2017-0051_IT.html#title1- http://www.europarl.europa.eu/doceo/document/TA-8-2017-0051_IT.html#title2 dalla quale estraiamo in particolare i contenuti circa le responsabilità, segue il testo:
“Responsabilità
Z.  considerando che, grazie agli strabilianti progressi tecnologici dell'ultimo decennio, non solo oggi i robot sono in grado di svolgere attività che tradizionalmente erano tipicamente ed esclusivamente umane, ma lo sviluppo di determinate caratteristiche autonome e cognitive – ad esempio la capacità di apprendere dall'esperienza e di prendere decisioni quasi indipendenti – li ha resi sempre più simili ad agenti che interagiscono con l'ambiente circostante e sono in grado di alterarlo in modo significativo; che, in tale contesto, la questione della responsabilità giuridica derivante dall'azione nociva di un robot diventa essenziale;
AA.  considerando che l'autonomia di un robot può essere definita come la capacità di prendere decisioni e metterle in atto nel mondo esterno, indipendentemente da un controllo o un'influenza esterna; che tale autonomia è di natura puramente tecnologica e il suo livello dipende dal grado di complessità con cui è stata progettata l'interazione di un robot con l'ambiente;
AB.  considerando che più i robot sono autonomi, meno possono essere considerati come meri strumenti nelle mani di altri attori (quali il fabbricante, l'operatore, il proprietario, l'utilizzatore, ecc.); che ciò, a sua volta, pone il quesito se le regole ordinarie in materia di responsabilità siano sufficienti o se ciò renda necessari nuovi principi e regole volte a chiarire la responsabilità legale dei vari attori per azioni e omissioni imputabili ai robot, qualora le cause non possano essere ricondotte a un soggetto umano specifico, e se le azioni o le omissioni legate ai robot che hanno causato danni avrebbero potuto essere evitate;
AC.  considerando che, in ultima analisi, l'autonomia dei robot solleva la questione della loro natura alla luce delle categorie giuridiche esistenti e dell'eventuale necessità di creare una nuova categoria con caratteristiche specifiche e implicazioni proprie;
AD.  considerando che, nell'attuale quadro giuridico, i robot non possono essere considerati responsabili in proprio per atti o omissioni che causano danni a terzi; che le norme esistenti in materia di responsabilità coprono i casi in cui la causa di un'azione o di un'omissione del robot può essere fatta risalire ad uno specifico agente umano, ad esempio il fabbricante, l'operatore, il proprietario o l'utilizzatore, e laddove tale agente avrebbe potuto prevedere ed evitare il comportamento nocivo del robot; che, inoltre, i fabbricanti, gli operatori, i proprietari o gli utilizzatori potrebbero essere considerati oggettivamente responsabili per gli atti o le omissioni di un robot;
AE.  considerando che, in base all'attuale quadro giuridico, la responsabilità da prodotto (secondo la quale il produttore di un prodotto è responsabile dei malfunzionamenti) e le norme che disciplinano la responsabilità per azioni dannose (in virtù delle quali l'utente di un prodotto è responsabile di un comportamento che conduce al danno) sono applicabili ai danni causati dai robot e dall'intelligenza artificiale;
AF.  considerando che, nell'ipotesi in cui un robot possa prendere decisioni autonome, le norme tradizionali non sono sufficienti per attivare la responsabilità per i danni causati da un robot, in quanto non consentirebbero di determinare qual è il soggetto cui incombe la responsabilità del risarcimento né di esigere da tale soggetto la riparazione dei danni causati;
AG.  considerando che sono palesi le carenze dell'attuale quadro normativo anche in materia di responsabilità contrattuale, dal momento che le macchine progettate per scegliere le loro controparti, negoziare termini contrattuali, concludere contratti e decidere se e come attuarli rendono inapplicabili le norme tradizionali; considerando che ciò pone in evidenza la necessità di norme nuove, efficaci e al passo con i tempi che corrispondano alle innovazioni e agli sviluppi tecnologici che sono stati di recente introdotti e che sono attualmente utilizzati sul mercato;
AH.  considerando che, per quanto riguarda la responsabilità extracontrattuale, la direttiva 85/374/CEE riguarda solamente i danni causati dai difetti di fabbricazione di un robot e a condizione che la persona danneggiata sia in grado di dimostrare il danno effettivo, il difetto nel prodotto e il nesso di causalità tra difetto e danno e che pertanto la responsabilità oggettiva o la responsabilità senza colpa potrebbero non essere sufficienti;
AI.  considerando che, nonostante l’ambito di applicazione della direttiva 85/374/CEE, l'attuale quadro giuridico non sarebbe sufficiente a coprire i danni causati dalla nuova generazione di robot, in quanto questi possono essere dotati di capacità di adattamento e di apprendimento che implicano un certo grado di imprevedibilità nel loro comportamento, dato che imparerebbero in modo autonomo, in base alle esperienze diversificate di ciascuno, e interagirebbero con l'ambiente in modo unico e imprevedibile;
Responsabilità civile
Qualsiasi soluzione giuridica si scelga da applicare alla responsabilità per i robot e l'intelligenza artificiale in casi diversi da quelli di danni alle cose non dovrebbe in alcun modo limitare il tipo o l'entità dei danni che possono essere risarciti, né dovrebbe limitare le forme di risarcimento che possono essere offerte alla parte lesa per il semplice fatto che il danno è provocato da un soggetto non umano.
Il futuro strumento legislativo dovrebbe essere fondato su una valutazione approfondita della Commissione che stabilisca se applicare l'approccio della responsabilità oggettiva o della gestione dei rischi.
Dovrebbe inoltre essere istituito un regime assicurativo obbligatorio, che potrebbe basarsi sull'obbligo del produttore di stipulare una copertura assicurativa per i robot autonomi che produce.
Il regime assicurativo dovrebbe essere integrato da un fondo per garantire il risarcimento dei danni in caso di assenza della copertura assicurativa.
Qualunque decisione politica relativa alle norme sulla responsabilità civile applicabili ai robot e all'intelligenza artificiale dovrebbe essere presa di concerto con un progetto di ricerca e sviluppo di portata europea dedicato alla robotica e alla neuroscienza, con scienziati ed esperti in grado di valutarne tutti i rischi correlati e le possibili conseguenze.”
Ci sembra pregevole l’indicazione del legislatore europeo in tema di responsabilità secondo cui in linea di principio, una volta individuati i soggetti responsabili in ultima istanza, la loro responsabilità dovrebbe essere proporzionale all'effettivo livello di istruzioni impartite al robot e al grado di autonomia di quest'ultimo, di modo che quanto maggiore è la capacità di apprendimento o l'autonomia di un robot e quanto maggiore è la durata della formazione di un robot, tanto maggiore dovrebbe essere la responsabilità del suo formatore; osserva in particolare che, nella determinazione della responsabilità reale per il danno causato, le competenze derivanti dalla "formazione" di un robot non dovrebbero essere confuse con le competenze che dipendono strettamente dalle sue abilità di autoapprendimento; osserva che, almeno nella fase attuale, la responsabilità deve essere imputata a un essere umano e non a un robot.
Bisogna ricordarsi (come da considerando AB della citata risoluzione) che più i robot sono autonomi, meno possono essere considerati come meri strumenti nelle mani di altri attori (quali il fabbricante, l'operatore, il proprietario, l'utilizzatore, ecc.); che ciò, a sua volta, pone il quesito se le regole ordinarie in materia di responsabilità siano sufficienti o se ciò renda necessari nuovi principi e regole volte a chiarire la responsabilità legale dei vari attori per azioni e omissioni imputabili ai robot, qualora le cause non possano essere ricondotte a un soggetto umano specifico, e se le azioni o le omissioni legate ai robot che hanno causato danni avrebbero potuto essere evitate.
Trattasi chiaramente, almeno sotto il profilo civile, di materia complessa anche al fine di ricondurne  -  al livello del nostro ordinamento italiano – a quale profilo normativo, tale potrebbe inquadrarsi nell’ambito dell’art. 2050 c.c., cui si rinvia, sotto il profilo della ipotizzabile responsabilità civile extracontrattuale, non volendo trascurare quello della responsabilità contrattuale.
In questo quadro non si può trascurare quanto evidenziato nel parere del Comitato Economico e Sociale Europeo https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52016IE5369&from=NL evidenzia che “l’introduzione di una personalità giuridica per i robot o per l’IA (o i sistemi di IA), … comporterebbe un rischio inaccettabile di azzardo morale. Dal diritto in materia di responsabilità civile deriva una funzione preventiva di correzione del comportamento, la quale potrebbe venir meno una volta che la responsabilità non ricade più sul costruttore perché è trasferita sul robot (o al sistema di IA)”
Scrive infatti il comitato:
“3.33. Si discute molto sulla questione di chi debba essere ritenuto responsabile se un sistema di IA causa un danno. In particolare, nei casi in cui si tratti di sistemi che apprendono autonomamente e continuano ad apprendere anche dopo la loro messa in funzione. Il Parlamento europeo ha formulato delle raccomandazioni concernenti norme di diritto civile sulla robotica, proponendo di esaminare l'opportunità di introdurre il concetto di «personalità elettronica» per i robot, in modo tale che essi possano essere ritenuti civilmente responsabili degli eventuali danni causati. Il CESE è contrario all'introduzione di una forma di personalità giuridica per i robot o per l'IA (o i sistemi di IA), in quanto essa comporterebbe un rischio inaccettabile di azzardo morale. Dal diritto in materia di responsabilità civile deriva una funzione preventiva di correzione del comportamento, la quale potrebbe venir meno una volta che la responsabilità civile non ricade più sul costruttore perché è trasferita al robot (o al sistema di IA). Inoltre, vi è il rischio di un uso inappropriato e di abuso di uno status giuridico di questo tipo. In questo contesto, il confronto con la responsabilità limitata delle società è fuori luogo, in quanto è sempre la persona fisica a essere responsabile in ultima istanza. A tale riguardo, si dovrebbe esaminare in che misura la normativa nazionale e dell'UE vigente e la giurisprudenza in materia di responsabilità (per danno da prodotti difettosi e di rischio) e colpa propria sia sufficiente a rispondere a tale questione e, in caso contrario, quali soluzioni si impongano sul piano giuridico.”
Rimane dunque tutta la sviluppare la tematica della ipotizzabile capacità di intendere e di volere, della capacità di agire e della imputabilità degli agenti artificiali sul piano dunque civile, penale e volendo anche sul piano del diritto internazionale comprensivo di quello bellico.


Dopo avere ricordati i predetti principi derivabili o scaturibili dalla Unione europea, si riportano i passaggi salienti della decisione del Consiglio di Stato Sentenza 13 dicembre 2019, n. 8472:

“7.1 In linea generale va ribadito come anche la pubblica amministrazione debba poter sfruttare le rilevanti potenzialità della c.d. rivoluzione digitale. In tale contesto, il ricorso ad algoritmi informatici per l’assunzione di decisioni che riguardano la sfera pubblica e privata si fonda sui paventati guadagni in termini di efficienza e neutralità. In molti campi gli algoritmi promettono di diventare lo strumento attraverso il quale correggere le storture e le imperfezioni che caratterizzano tipicamente i processi cognitivi e le scelte compiute dagli esseri umani, messi in luce soprattutto negli ultimi anni da un’imponente letteratura di economia comportamentale e psicologia cognitiva. In tale contesto, le decisioni prese dall’algoritmo assumono così un’aura di neutralità, frutto di asettici calcoli razionali basati su dati.
7.2 Peraltro, già in tale ottica è emersa altresì una lettura critica del fenomeno, in quanto l’impiego di tali strumenti comporta in realtà una serie di scelte e di assunzioni tutt’altro che neutre: l’adozione di modelli predittivi e di criteri in base ai quali i dati sono raccolti, selezionati, sistematizzati, ordinati e messi insieme, la loro interpretazione e la conseguente formulazione di giudizi sono tutte operazioni frutto di precise scelte e di valori, consapevoli o inconsapevoli; da ciò ne consegue che tali strumenti sono chiamati ad operano una serie di scelte, le quali dipendono in gran parte dai criteri utilizzati e dai dati di riferimento utilizzati, in merito ai quali è apparso spesso difficile ottenere la necessaria trasparenza.
8.1 Sempre in linea generale va richiamato quanto già evidenziato dalla sezione in ordine all’elemento positivo derivante dal nuovo contesto di digitalizzazione; in proposito, non può essere messo in discussione che un più elevato livello di digitalizzazione dell’amministrazione pubblica sia fondamentale per migliorare la qualità dei servizi resi ai cittadini e agli utenti. In tale ottica lo stesso Codice dell’amministrazione digitale rappresenta un approdo decisivo in tale direzione. I diversi interventi di riforma dell’amministrazione susseguitisi nel corso degli ultimi decenni, fino alla legge n. 124 del 2015, sono indirizzati a tal fine; nella medesima direzione sono diretti gli impulsi che provengono dall’ordinamento comunitario.
8.2 Tuttavia, nel caso di specie lo scenario necessita di un approfondimento ulteriore. Non si tratta, infatti, di sperimentare forme diverse di esternazione della volontà dell’amministrazione, come nel caso dell’atto amministrativo informatico, ovvero di individuare nuovi metodi di comunicazione tra amministrazione e privati, come nel caso della partecipazione dei cittadini alle decisioni amministrative attraverso social network o piattaforme digitali, ovvero di ragionare sulle modalità di scambio dei dati tra le pubbliche amministrazioni. Nel caso dell’utilizzo di tali strumenti digitali, come avvenuto nella fattispecie oggetto della presente controversia, ci si trova dinanzi ad una situazione che, in sede dottrinaria, è stata efficacemente qualificata con l’espressione di rivoluzione 4.0 la quale, riferita all’amministrazione pubblica e alla sua attività, descrive la possibilità che il procedimento di formazione della decisione amministrativa sia affidato a un software, nel quale vengono immessi una serie di dati così da giungere, attraverso l’automazione della procedura, alla decisione finale.
9.1 Come già evidenziato nel precedente della sezione richiamato, l’utilità di tale modalità operativa di gestione dell’interesse pubblico è particolarmente evidente con riferimento a procedure, come quella oggetto del presente contenzioso, seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale. La piena ammissibilità di tali strumenti risponde ai canoni di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90), i quali, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale.
10. Peraltro, l’utilizzo di procedure informatizzate non può essere motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa. In tale contesto, infatti, il ricorso all’algoritmo va correttamente inquadrato in termini di modulo organizzativo, di strumento procedimentale ed istruttorio, soggetto alle verifiche tipiche di ogni procedimento amministrativo, il quale resta il modus operandi della scelta autoritativa, da svolgersi sulla scorta delle legislazione attributiva del potere e delle finalità dalla stessa attribuite all’organo pubblico, titolare del potere.
11. Né vi sono ragioni di principio, ovvero concrete, per limitare l’utilizzo all’attività amministrativa vincolata piuttosto che discrezionale, entrambe espressione di attività autoritativa svolta nel perseguimento del pubblico interesse. In disparte la stessa sostenibilità a monte dell’attualità di una tale distinzione, atteso che ogni attività autoritativa comporta una fase quantomeno di accertamento e di verifica della scelta ai fini attribuiti dalla legge, se il ricorso agli strumenti informatici può apparire di più semplice utilizzo in relazione alla c.d. attività vincolata, nulla vieta che i medesimi fini predetti, perseguiti con il ricorso all’algoritmo informatico, possano perseguirsi anche in relazione ad attività connotata da ambiti di discrezionalità. Piuttosto, se nel caso dell’attività vincolata ben più rilevante, sia in termini quantitativi che qualitativi, potrà essere il ricorso a strumenti di automazione della raccolta e valutazione dei dati, anche l’esercizio di attività discrezionale, in specie tecnica, può in astratto beneficiare delle efficienze e, più in generale, dei vantaggi offerti dagli strumenti stessi.
12. In tale contesto, premessa la generale ammissibilità di tali strumenti, qualificati nei termini di cui sopra al punto 10, assumono rilievo fondamentale, anche alla luce della disciplina di origine sovranazionale, due aspetti preminenti, quali elementi di minima garanzia per ogni ipotesi di utilizzo di algoritmi in sede decisoria pubblica:
a) la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati;
b) l’imputabilità della decisione all’organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all’algoritmo.
13.1 Sul versante della piena conoscibilità, rilievo preminente ha il principio della trasparenza, da intendersi sia per la stessa p.a. titolare del potere per il cui esercizio viene previsto il ricorso allo strumento dell’algoritmo, sia per i soggetti incisi e coinvolti dal potere stesso. In relazione alla stessa p.a., nel precedente richiamato la sezione ha già chiarito come il meccanismo attraverso il quale si concretizza la decisione robotizzata (ovvero l’algoritmo) debba essere “conoscibile”, secondo una declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico. Tale conoscibilità dell’algoritmo deve essere garantita in tutti gli aspetti: dai suoi autori al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti. Ciò al fine di poter verificare che i criteri, i presupposti e gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge o dalla stessa amministrazione a monte di tale procedimento e affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato. In proposito, va ribadito che, la “caratterizzazione multidisciplinare” dell’algoritmo (costruzione che certo non richiede solo competenze giuridiche, ma tecniche, informatiche, statistiche, amministrative) non esime dalla necessità che la “formula tecnica”, che di fatto rappresenta l’algoritmo, sia corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che la rendano leggibile e comprensibile. Con le già individuate conseguenze in termini di conoscenza e di sindacabilità (cfr. punto 8.3 della motivazione della sentenza 2270 cit.). In senso contrario non può assumere rilievo l’invocata riservatezza delle imprese produttrici dei meccanismi informatici utilizzati i quali, ponendo al servizio del potere autoritativo tali strumenti, all’evidenza ne accettano le relative conseguenze in termini di necessaria trasparenza.
13.2 In relazione ai soggetti coinvolti si pone anche un problema di gestione dei relativi dati. Ad oggi nelle attività di trattamento dei dati personali possono essere individuate due differenti tipologie di processi decisionali automatizzati: quelli che contemplano un coinvolgimento umano e quelli che, al contrario, affidano al solo algoritmo l'intero procedimento.
Il più recente Regolamento europeo in materia (2016/679), concentrandosi su tali modalità di elaborazione dei dati, integra la disciplina già contenuta nella Direttiva 95/46/CE con l'intento di arginare il rischio di trattamenti discriminatori per l'individuo che trovino la propria origine in una cieca fiducia nell'utilizzo degli algoritmi. In particolare, in maniera innovativa rispetto al passato, gli articoli 13 e 14 del Regolamento stabiliscono che nell'informativa rivolta all'interessato venga data notizia dell'eventuale esecuzione di un processo decisionale automatizzato, sia che la raccolta dei dati venga effettuata direttamente presso l’interessato sia che venga compiuta in via indiretta. Una garanzia di particolare rilievo viene riconosciuta allorché il processo sia interamente automatizzato essendo richiesto, almeno in simili ipotesi, che il titolare debba fornire “informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l’interessato” . In questo senso, in dottrina è stato fatto notare come il legislatore europeo abbia inteso rafforzare il principio di trasparenza che trova centrale importanza all'interno del Regolamento.

13.3 L’interesse conoscitivo della persona è ulteriormente tutelato dal diritto di accesso riconosciuto dall'articolo 15 del Regolamento che contempla, a sua volta, la possibilità di ricevere informazioni relative all'esistenza di eventuali processi decisionali automatizzati. Incidentalmente, è stato evidenziato come l’articolo 15, diversamente dagli articoli 13 e 14, abbia il pregio di prevedere un diritto azionabile dall'interessato e non un obbligo rivolto al titolare del trattamento, e permette inoltre di superare i limiti temporali posti dagli articoli 13 e 14, consentendo al soggetto di acquisire informazioni anche qualora il trattamento abbia avuto inizio, stia trovando esecuzione o abbia addirittura già prodotto una decisione. Ciò, ai fini in esame, conferma ulteriormente la rilevanza della trasparenza per i soggetti coinvolti dall’attività amministrativa informatizzata in termini istruttori e decisori.

14.1 Sul versante della verifica degli esiti e della relativa imputabilità, deve essere garantita la verifica a valle, in termini di logicità e di correttezza degli esiti. Ciò a garanzia dell’imputabilità della scelta al titolare del potere autoritativo, individuato in base al principio di legalità, nonché della verifica circa la conseguente individuazione del soggetto responsabile, sia nell’interesse della stessa p.a. che dei soggetti coinvolti ed incisi dall’azione amministrativa affidata all’algoritmo.

14.2 In tale contesto, lo stesso Regolamento predetto affianca alle garanzie conoscitive assicurate attraverso l'informativa e il diritto di accesso, un espresso limite allo svolgimento di processi decisionali interamente automatizzati. L'articolo 22, paragrafo 1, riconosce alla persona il diritto di non essere sottoposta a decisioni automatizzate prive di un coinvolgimento umano e che, allo stesso tempo, producano effetti giuridici o incidano in modo analogo sull'individuo. Quindi occorre sempre l’individuazione di un centro di imputazione e di responsabilità, che sia in grado di verificare la legittimità e logicità della decisione dettata dall’algoritmo.

14.3 In tema di imputabilità occorre richiamare, quale elemento rilevante di inquadramento del tema, la Carta della Robotica, approvata nel febbraio del 2017 dal Parlamento Europeo. Tale atto esprime in maniera efficace questi passaggi, laddove afferma che “l’autonomia di un robot può essere definita come la capacità di prendere decisioni e metterle in atto nel mondo esterno, indipendentemente da un controllo o un'influenza esterna; (…) tale autonomia è di natura puramente tecnologica e il suo livello dipende dal grado di complessità con cui è stata progettata l'interazione di un robot con l'ambiente; (…) nell'ipotesi in cui un robot possa prendere decisioni autonome, le norme tradizionali non sono sufficienti per attivare la responsabilità per i danni causati da un robot, in quanto non consentirebbero di determinare qual è il soggetto cui incombe la responsabilità del risarcimento né di esigere da tale soggetto la riparazione dei danni causati».

14.4 Quindi, anche al fine di applicare le norme generali e tradizionali in tema di imputabilità e responsabilità, occorre garantire la riferibilità della decisione finale all’autorità ed all’organo competente in base alla legge attributiva del potere.

15. A conferma di quanto sin qui rilevato, in termini generali dal diritto sovranazionale emergono tre principi, da tenere in debita considerazione nell’esame e nell’utilizzo degli strumenti informatici.

15.1 In primo luogo, il principio di conoscibilità, per cui ognuno ha diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardino ed in questo caso a ricevere informazioni significative sulla logica utilizzata. Il principio, in esame è formulato in maniera generale e, perciò, applicabile sia a decisioni prese da soggetti privati che da soggetti pubblici, anche se, nel caso in cui la decisione sia presa da una p.a., la norma del Regolamento costituisce diretta applicazione specifica dell’art. 42 della Carta Europea dei Diritti Fondamentali (“Right to a good administration”), laddove afferma che quando la Pubblica Amministrazione intende adottare una decisione che può avere effetti avversi su di una persona, essa ha l’obbligo di sentirla prima di agire, di consentirle l’accesso ai suoi archivi e documenti, ed, infine, ha l’obbligo di “dare le ragioni della propria decisione”. Tale diritto alla conoscenza dell’esistenza di decisioni che ci riguardino prese da algoritmi e, correlativamente, come dovere da parte di chi tratta i dati in maniera automatizzata, di porre l’interessato a conoscenza, va accompagnato da meccanismi in grado di decifrarne la logica.
In tale ottica, il principio di conoscibilità si completa con il principio di comprensibilità, ovverosia la possibilità, per riprendere l’espressione del Regolamento, di ricevere “informazioni significative sulla logica utilizzata”.

15.2 In secondo luogo, l’altro principio del diritto europeo rilevante in materia (ma di rilievo anche globale in quanto ad esempio utilizzato nella nota decisione Loomis vs. Wisconsin), è definibile come il principio di non esclusività della decisione algoritmica. Nel caso in cui una decisione automatizzata “produca effetti giuridici che riguardano o che incidano significativamente su una persona”, questa ha diritto a che tale decisione non sia basata unicamente su tale processo automatizzato (art. 22 Reg.). In proposito, deve comunque esistere nel processo decisionale un contributo umano capace di controllare, validare ovvero smentire la decisione automatica. In ambito matematico ed informativo il modello viene definito come HITL (human in the loop), in cui, per produrre il suo risultato è necessario che la macchina interagisca con l’essere umano.

15.3 In terzo luogo, dal considerando n. 71 del Regolamento 679/2016 il diritto europeo trae un ulteriore principio fondamentale, di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali, secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico, dello stato di salute o dell'orientamento sessuale, ovvero che comportano misure aventi tali effetti.
In tale contesto, pur dinanzi ad un algoritmo conoscibile e comprensibile, non costituente l’unica motivazione della decisione, occorre che lo stesso non assuma carattere discriminatorio. In questi casi, come afferma il considerando, occorrerebbe rettificare i dati in “ingresso” per evitare effetti discriminatori nell’output decisionale; operazione questa che richiede evidentemente la necessaria cooperazione di chi istruisce le macchine che producono tali decisioni.

16. Sulla scorta delle argomentazioni sin qui svolte, nel caso di specie l’algoritmo non risulta essere stato utilizzato in termini conformi ai principi predetti, anche in considerazione del fatto che non è dato comprendere per quale ragione le legittime aspettative di soggetti collocati in una determinata posizione in graduatoria siano andate deluse. Non può quindi ritenersi applicabile in modo indiscriminato, come si ritiene nella motivazione della sentenza di primo grado, all’attività amministrativa algoritmica, tutta la legge sul procedimento amministrativo, concepita in un’epoca nella quale l’amministrazione non era investita dalla rivoluzione tecnologica, né sono condivisibili richiami letterari, pur noti ed apprezzabili, a scenari orwelliani ( da considerarsi con cautela perché la materia merita un approccio non emotivo ma capace di delineare un nuovo equilibrio, nel lavoro, fra uomo e macchina differenziato per ogni campo di attività ). Il tema dei pericoli connessi allo strumento non è ovviato dalla rigida e meccanica applicazione di tutte le minute regole procedimentali della legge n. 241 del 1990 ( quali ad es. la comunicazione di avvio del procedimento sulla quale si appunta buona parte dell’atto di appello o il responsabile del procedimento che , con tutta evidenza, non può essere una macchina in assenza di disposizioni espresse ), dovendosi invece ritenere che la fondamentale esigenza di tutela posta dall’utilizzazione dello strumento informatico c.d. algoritmico sia la trasparenza nei termini prima evidenziati riconducibili al principio di motivazione e/o giustificazione della decisione.”